Kekacauan yang Dilepaskan: Condi Malware Mengambil Kawalan Penghala Wi-Fi TP-Link untuk Serangan Botnet DDoS yang Memusnahkan

Satu perisian hasad yang baru ditemui, Condi, telah muncul sebagai ancaman yang ketara, memanfaatkan kelemahan keselamatan dalam penghala Wi-Fi TP-Link Archer AX21 (AX1800). Objektif utamanya ialah untuk memanfaatkan peranti yang terjejas ini, memasangnya menjadi botnet Penafian Perkhidmatan (DDoS) Teragih yang berkuasa. Penyelidik telah mencatatkan peningkatan mendadak dalam intensiti kempen sejak akhir Mei 2023.

Siapa di Sebalik Condi?

Dalang di sebalik Condi ialah individu yang dikenali oleh moniker dalam talian zxcr9999 , yang secara aktif mempromosikan aktiviti terlarangnya melalui saluran Telegram Condi Network. Bermula pada Mei 2022, pelaku ancaman telah mengewangkan botnetnya dengan menawarkan DDoS-sebagai-perkhidmatan dan juga menjual kod sumber perisian hasad. Penyelidik keselamatan telah menganalisis perisian hasad dengan teliti, mendedahkan keupayaannya untuk menghapuskan botnet yang bersaing pada hos yang sama. Walau bagaimanapun, Condi tidak mempunyai mekanisme kegigihan, menyebabkan ia tidak dapat bertahan daripada but semula sistem.

Untuk mengatasi had kegigihan selepas but semula sistem, Condi mengambil tindakan dengan memadamkan berbilang binari yang bertanggungjawab untuk menutup atau but semula sistem. Binari ini termasuk /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ berhenti, dan /usr/bin/halt. Perlu diingat bahawa botnet Mirai sebelum ini mengeksploitasi kelemahan yang disasarkan.

Bertentangan dengan perisian hasad lain yang meluas, Condi menggunakan modul pengimbas untuk mengenal pasti penghala TP-Link Archer AX21 yang terdedah kepada CVE-2023-1389 (skor CVSS: 8.8). Daripada menggunakan serangan kekerasan seperti sesetengah botnet, Condi melaksanakan skrip shell yang diperoleh daripada pelayan jauh untuk mendepositkan perisian hasad pada peranti yang dikenal pasti.

Menurut penganalisis keselamatan, beberapa contoh Condi telah muncul, mengeksploitasi pelbagai kelemahan keselamatan yang diketahui untuk disebarkan. Itu menunjukkan bahawa peranti yang menjalankan perisian yang tidak ditambal sangat terdedah untuk disasarkan oleh perisian hasad botnet ini. Selain daripada taktik pengewangannya yang agresif, objektif utama Condi adalah untuk menjejaskan peranti dan mewujudkan botnet DDoS yang menggerunkan. Botnet ini kemudiannya boleh disewakan kepada pelaku ancaman lain, membolehkan mereka melancarkan serangan banjir TCP dan UDP pada tapak web dan perkhidmatan yang disasarkan.

Meneutralkan botnet adalah penting dalam mengekalkan ekosistem digital yang selamat dan stabil. Botnet, seperti perisian hasad Condi, boleh mengeksploitasi kelemahan dalam perisian yang tidak ditambal dan memanfaatkan rangkaian peranti yang terjejas untuk aktiviti berbahaya, seperti serangan DDoS. Serangan ini mengganggu perkhidmatan dalam talian dan mengancam integriti dan ketersediaan infrastruktur kritikal dengan ketara. Individu, organisasi dan profesional keselamatan mesti kekal berwaspada, memastikan perisian dikemas kini dan menggunakan langkah keselamatan yang teguh untuk mengesan dan mengurangkan ancaman botnet. Dengan meneutralkan botnet secara aktif, kami boleh melindungi persekitaran digital kami dan menyumbang kepada landskap dalam talian yang lebih selamat untuk semua pengguna.