Một phiên bản mới của botnet Mirai khét tiếng, được đặt tên là Nexcorium, đã xuất hiện và đang nhắm mục tiêu một cách tích cực vào các thiết bị ghi hình video kết nối internet. Theo nghiên cứu mối đe dọa gần đây từ FortiGuard Labs của Fortinet, các tác nhân đe dọa đang khai thác một lỗ hổng CVE đã biết về chèn lệnh để chiếm đoạt các hệ thống TBK DVR và xây dựng một mạng botnet tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn.
Nexcorium: Biến Thể Botnet Mirai Tấn Công Thiết Bị IoT
Nexcorium đại diện cho một thế hệ tiếp theo của các biến thể botnet dựa trên Mirai, vốn nổi tiếng với khả năng tận dụng các thiết bị IoT kém bảo mật. Với mục tiêu mở rộng quy mô và phạm vi ảnh hưởng, Nexcorium tập trung vào việc chiếm quyền điều khiển các thiết bị ghi hình kỹ thuật số (DVR) dễ bị tổn thương, biến chúng thành một phần của mạng lưới tấn công.
Các nhà nghiên cứu đã chỉ ra rằng Nexcorium chia sẻ kiến trúc nền tảng với các biến thể Mirai truyền thống. Điều này bao gồm việc sử dụng các cấu hình được mã hóa XOR và các thành phần mô-đun, cho phép botnet duy trì tính linh hoạt và khó bị phát hiện. Sự xuất hiện của Nexcorium nhấn mạnh mối đe dọa liên tục từ việc vũ khí hóa các thiết bị IoT cũ.
Khai Thác Lỗ Hổng CVE-2024-3721 trong Hệ Thống TBK DVR
Chi tiết về Lỗ hổng CVE và Cơ chế Khai thác
Chiến dịch của Nexcorium đặc biệt nhắm vào các mẫu TBK DVR-4104 và DVR-4216 bằng cách khai thác lỗ hổng CVE-2024-3721. Đây là một lỗ hổng OS command injection (chèn lệnh hệ điều hành) cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống của thiết bị.
Bằng cách thao túng các đối số trong hệ thống của thiết bị, kẻ tấn công có thể chèn và thực thi một script tải xuống (downloader script) độc hại. Script này đóng vai trò là cầu nối để triển khai các tải trọng (payload) cần thiết, khởi đầu quá trình lây nhiễm botnet.
Dấu hiệu nhận biết tấn công mạng ban đầu
Trong giai đoạn khai thác, lưu lượng mạng đã được quan sát cho thấy một tiêu đề HTTP tùy chỉnh: X-Hacked-By: Nexus Team – Exploited By Erratic. Dấu hiệu này đã dẫn đến việc FortiGuard Labs gán chiến dịch này cho một tác nhân đe dọa tương đối chưa được biết đến, được định danh là “Nexus Team”.
Mặc dù chi tiết cụ thể về Nexus Team còn hạn chế, sự xuất hiện của tiêu đề tùy chỉnh này cung cấp một dấu hiệu rõ ràng về nguồn gốc của tấn công mạng, giúp các nhà phân tích bảo mật trong việc truy vết và hiểu rõ hơn về hoạt động của nhóm này.
Cơ Chế Hoạt Động của Nexcorium sau khi Thâm Nhập
Triển khai Payload Đa Kiến Trúc
Khi script tải xuống được thực thi thành công, nó sẽ tìm nạp các payload hỗ trợ nhiều kiến trúc bộ xử lý khác nhau. Các kiến trúc này bao gồm ARM, MIPS và x86-64, đảm bảo khả năng tương thích rộng rãi với nhiều loại thiết bị IoT mục tiêu. Sau khi cài đặt, một thông báo trên console sẽ hiển thị nội dung: nexuscorp has taken control, xác nhận quyền kiểm soát của botnet.
Duy trì Quyền Truy Cập Bền Vững (Persistence)
Để duy trì quyền truy cập lâu dài vào các hệ thống đã bị xâm nhập, mã độc Nexcorium thiết lập cơ chế tồn tại bền vững thông qua bốn cơ chế riêng biệt. Điều này khác biệt so với việc chỉ dựa vào một tệp cấu hình duy nhất, làm cho việc loại bỏ botnet trở nên khó khăn hơn.
Các cơ chế này giúp botnet đảm bảo vị thế của mình trên thiết bị, ngay cả sau khi khởi động lại hệ thống hoặc các nỗ lực dọn dẹp ban đầu. Để hiểu rõ hơn về các cơ chế này, bạn có thể tham khảo báo cáo chi tiết của Fortinet: Tracking Mirai Variant Nexcorium: A Vulnerability-Driven IoT Botnet Campaign.
Kỹ Thuật Né Tránh Phát Hiện
Sau khi thiết lập vững chắc, Nexcorium thực hiện một bước quan trọng để né tránh các nhà phân tích bảo mật. Botnet sẽ xóa tệp nhị phân gốc của nó khỏi đường dẫn thực thi. Kỹ thuật này gây khó khăn cho việc phân tích tĩnh và động, làm chậm quá trình hiểu biết về cách thức hoạt động của mã độc và phát triển các biện pháp đối phó.
Mục Tiêu Chính: Thực Hiện Các Cuộc Tấn Công DDoS
Giao Tiếp với Máy Chủ C2 và Nhận Chỉ Thị
Mục tiêu chính của chiến dịch Nexus Team là khởi động các cuộc tấn công DDoS gây thiệt hại lớn. Dựa trên việc giải mã bảng cấu hình của mã độc bởi FortiGuard Labs, Nexcorium giao tiếp với một máy chủ Command-and-Control (C2) tập trung để nhận các chỉ thị tấn công.
Hệ thống C2 này đóng vai trò trung tâm trong việc điều phối các thiết bị bị lây nhiễm, cho phép tác nhân đe dọa kiểm soát hàng nghìn hoặc hàng triệu thiết bị để thực hiện các cuộc tấn công mạng quy mô lớn.
Danh Mục Các Kỹ Thuật Tấn Công DDoS
Thay vì chỉ tập trung vào một kiểu tấn công hẹp, botnet này được trang bị một kho vũ khí đa năng các kỹ thuật làm ngập lụt (flood techniques). Sự đa dạng này cho phép Nexcorium thực hiện các cuộc tấn công mạng phức tạp và khó phòng thủ, thích nghi với các mục tiêu và biện pháp bảo vệ khác nhau.
Các kỹ thuật tấn công DDoS bao gồm:
- UDP Flood: Gửi một lượng lớn gói UDP đến máy chủ mục tiêu để làm quá tải tài nguyên mạng.
- TCP ACK Flood: Gửi các gói TCP ACK mà không có yêu cầu SYN trước, gây tiêu tốn tài nguyên trên máy chủ mục tiêu.
- TCP SYN Flood: Gửi các gói TCP SYN để khởi tạo kết nối nhưng không hoàn tất bắt tay ba bước, làm cạn kiệt bảng kết nối của máy chủ.
- SMTP Flood: Gửi một lượng lớn yêu cầu SMTP không hợp lệ để làm quá tải máy chủ thư điện tử.
- TCP PSH Flood: Tận dụng cờ PSH trong tiêu đề TCP để gửi dữ liệu ngay lập tức, thường để làm quá tải các ứng dụng.
- VSE Query Flood: Các cuộc tấn công chuyên biệt nhắm vào các dịch vụ trò chơi dựa trên Valve Server Query.
- UDP Blast Attacks: Gửi một lượng lớn dữ liệu UDP không cần thiết đến mục tiêu, gây tắc nghẽn băng thông.
Khuyến Nghị Bảo Mật và Biện Pháp Phòng Ngừa
Phát hiện về Nexcorium là một lời nhắc nhở mạnh mẽ về sự cần thiết của việc bảo vệ các thiết bị IoT. Để giảm thiểu rủi ro từ lỗ hổng CVE-2024-3721 và các mối đe dọa tương tự, các chuyên gia bảo mật khuyến nghị các tổ chức thực hiện ngay lập tức các biện pháp sau:
- Cập nhật bản vá ngay lập tức: Khẩn trương áp dụng các bản vá bảo mật cho lỗ hổng CVE-2024-3721 trên tất cả các hệ thống TBK DVR bị ảnh hưởng. Đây là biện pháp phòng thủ quan trọng nhất để ngăn chặn khai thác.
- Thay thế thông tin đăng nhập mặc định: Thay đổi tất cả thông tin đăng nhập mặc định của nhà sản xuất bằng mật khẩu mạnh, duy nhất và thường xuyên cập nhật. Nhiều cuộc tấn công mạng botnet lợi dụng mật khẩu yếu hoặc mặc định.
- Phân đoạn mạng: Cô lập các thiết bị IoT dễ bị tổn thương khỏi cơ sở hạ tầng quan trọng bằng cách sử dụng phân đoạn mạng. Điều này giới hạn phạm vi ảnh hưởng của một thiết bị bị xâm nhập và tăng cường an ninh mạng tổng thể.
- Giám sát lưu lượng bất thường: Thực hiện giám sát mạng liên tục để phát hiện các mẫu lưu lượng bất thường hoặc dấu hiệu của việc thiết bị IoT đã bị chiếm quyền.
Bằng cách chủ động thực hiện các biện pháp này, các tổ chức có thể nâng cao khả năng phòng thủ chống lại các biến thể botnet Mirai như Nexcorium và bảo vệ hệ thống khỏi các cuộc tấn công mạng nghiêm trọng.
