พบ Gayfemboy Botnet ที่พัฒนามาจาก Mirai Botnet ในการโจมตี DDoS

สรุปข้อมูล 

พบการโจมตีรูปแบบ Distributed Denial of Service (DDoS) ด้วยมัลแวร์ Gayfemboy Botnet ที่พัฒนามาจาก Mirai-based Botnet มุ่งเป้าโจมตีไปยัง Digital Video Recorder (DVRs), Router และอุปกรณ์ Smart Home ต่าง ๆ ในหลายประเทศทั่วโลก เช่น ประเทศจีน ประเทศสหรัฐอเมริกา ประเทศอิหร่าน ประเทศรัสเซีย และประเทศตุรกี โดยใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ Smart Home และ Router อย่าง Neterbit และ Vimar เพื่อให้ระบบของเหยื่อเกิดความขัดข้อง นอกจากนี้ Gayfemboy Botnet ยังมีฟีเจอร์ในการ Brute-forcing สำหรับ Weak Credential ของ Telnet สร้าง UPX Packer พร้อม Signature ที่สามารถใช้ Mirai-based Command ในการสั่งการทำงาน เช่น การอัปเดต Client การสแกนระบบเครือข่าย และการโจมตีแบบ DDoS

รายละเอียดการโจมตี

1. แฮกเกอร์ทำการ Compromise อุปกรณ์โดยดาวน์โหลดและติดตั้งมัลแวร์ Gayfemboy ผ่านช่องโหว่ Zero-day CVE-2024-12856 ใน Four-Faith Router โมเดล F3x24 และ F3x36 และช่องโหว่ที่ยังไม่มีการระบุ CVE ในอุปกรณ์ Neterbit และ Vimar โดยมัลแวร์ Gayfemboy จะอยู่ในรูปแบบของไฟล์ UPX Packer ที่เริ่มแรกจะระบุชื่อ Magic Number ว่า "YTSx99" และเปลี่ยนเป็น "1wom" ในเดือนมิถุนายน 2024
2. เมื่อติดตั้งสำเร็จ แฮกเกอร์สั่งมัลแวร์ทำงานบนอุปกรณ์ของเหยื่อผ่าน Command โดยให้ค้นหา Directory ที่สามารถ Write ได้จาก Root Directory และทดสอบการ Write ด้วยไฟล์ขนาด 2032 Byte ชื่อ test_write หากพบ Directory ที่สามารถ Write ได้ มัลแวร์จะ Mount Directory นี้ไปยัง /proc/<pid> 
3. แฮกเกอร์ใช้ Command ที่เฉพาะสำหรับมัลแวร์ Gayfemboy ในการดำเนินการตามกระบวนการโจมตีต่อไป เช่น การใช้ wget ดาวน์โหลดไฟล์จาก Directory chefrvmanabat และรันไฟล์โดยใช้ botid เป็นพารามิเตอร์เพื่ออัปเดตตัวเอง การใช้ Command สั่งการโจมตี DDoS และสแกนไปยัง Router และอุปกรณ์ Smart Home ต่าง ๆ ได้แก่

• ASUS Routers ผ่านการโจมตีช่องโหว่ N-day 
• Huawei Routers ผ่านช่องโหว่ CVE-2017-17215 
• Neterbit Routers 
• LB-Link Routers ผ่านช่องโหว่ CVE-2023-26801 
• Four-Faith Industrial Routers ผ่านช่องโหว่ CVE-2024-12856 
• PZT Cameras ผ่านช่องโหว่ CVE-2024-8956 และ CVE-2024-8957 
• Kguard DVR 
• Lilin DVR ผ่านช่องโหว่ RCE 
• DVRs ทั่วไป ผ่านการโจมตีอย่าง TVT editBlackAndWhiteList RCE 
• อุปกรณ์ Smart Home ของ Vimar 
• อุปกรณ์ 5G/LTE ที่มีข้อบกพร่องด้านการ Configuration และ Weak Credential

ผลกระทบจากการโจมตี 

ผลกระทบจากการโจมตีรูปแบบ DDoS ด้วยมัลแวร์ Gayfemboy Botnet ทำให้ระบบของเหยื่อที่ถูกโจมตีเกิดความขัดข้องหรือล่ม ส่งผลให้องค์กรหรือหน่วยงานนั้น ๆ การดำเนินงานของธุรกิจเกิดการชะงัก ซึ่งก่อให้เกิดการสูญเสียทางชื่อเสียงและความน่าเชื่อถือจากผู้ใช้บริการ รวมไปถึงการสูญเสียทางด้านการเงิน นอกจากนี้ผู้ใช้งาน Router และอุปกรณ์ Smart Home ต่าง ๆ เสี่ยงต่อความเป็นส่วนตัวและความปลอดภัยอีกด้วย 

คำแนะนำ

• อัปเดตระบบและซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการโจมตีผ่านช่องโหว่
• ทำการ Block IoCs เพื่อป้องกันการเชื่อมต่อไปยัง IP Address หรือ Domain ที่อันตราย 
• ปิดช่องทางการเข้าถึงโดยไม่จำเป็น เช่น การเข้าถึงโดยการ Remote และ Port ที่ไม่ได้ใช้งาน
• หมั่นเปลี่ยนรหัสผ่านบัญชี Administrator เสมอเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต 
• เปิดใช้งาน DDoS Protection เพิ่มเติม 
• การทำ Rate Limit ในการจ ากัด Traffic ของระบบ ไม่ให้เกิด Request เยอะจนเกิดผลกระทบ 
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม 
• พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
  

แหล่งอ้างอิง

https://securityonline.info/gayfemboy-botnet-leveraging-0-day-exploit-in-four-faith-industrial-routers/

https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/

https://blog.xlab.qianxin.com/gayfemboy/