Ослобођени хаос: злонамерни софтвер Цонди преузима контролу над ТП-Линк Ви-Фи рутерима за разорне ДДоС нападе на ботнет

Новооткривени малвер, Цонди, појавио се као значајна претња, користећи безбедносну рањивост у ТП-Линк Арцхер АКС21 (АКС1800) Ви-Фи рутерима. Његов примарни циљ је да искористи ове компромитоване уређаје, састављајући их у моћни ботнет дистрибуираног ускраћивања услуге (ДДоС). Истраживачи су приметили нагли пораст интензитета кампање од завршетка маја 2023.

Ко стоји иза Кондија?

Мозак који стоји иза Кондија је појединац познат под онлајн надимком зкцр9999 , који активно промовише своје незаконите активности преко Телеграм канала Цонди Нетворк. Почевши од маја 2022. године, актер претње је монетизовао свој ботнет нудећи ДДоС-као-услугу, па чак и продајући изворни код малвера. Истраживачи безбедности су темељно анализирали малвер, откривајући његову способност да елиминише конкурентске ботнете на истом хосту. Међутим, Цондију недостаје механизам постојаности, што га чини неспособним да преживи поновно покретање система.

Да би превазишао ограничење постојаности након поновног покретања система, Цонди предузима акцију брисањем више бинарних датотека одговорних за гашење или поновно покретање система. Ове бинарне датотеке укључују /уср/сбин/ребоот, /уср/бин/ребоот, /уср/сбин/схутдовн, /уср/бин/схутдовн, /уср/сбин/поверофф, /уср/бин/поверофф, /уср/сбин/ стоп, и /уср/бин/халт. Вреди напоменути да је Мираи ботнет раније искористио циљану рањивост.

За разлику од другог распрострањеног малвера, Цонди користи модул скенера да идентификује ТП-Линк Арцхер АКС21 рутере који су рањиви на ЦВЕ-2023-1389 (ЦВСС резултат: 8,8). Уместо да користи брутефорце нападе као што су неки ботнетови, Цонди извршава схелл скрипту добијену са удаљеног сервера за депоновање малвера на идентификоване уређаје.

Према безбедносним аналитичарима, појавило се више инстанци Цонди-ја, који користе различите познате безбедносне пропусте за ширење. То указује да су уређаји са незакрпљеним софтвером посебно подложни мети овог малвера за ботнет. Поред агресивне тактике монетизације, Цондијев примарни циљ је да компромитује уређаје и успостави огроман ДДоС ботнет. Овај ботнет се затим може изнајмити другим актерима претњи, омогућавајући им да покрену ТЦП и УДП флоод нападе на циљане веб локације и услуге.

Неутрализација ботнета је најважнија за одржавање безбедног и стабилног дигиталног екосистема. Ботнети, као што је малвер Цонди, могу да искористе рањивости у незакрпљеном софтверу и искористе мрежу компромитованих уређаја за штетне активности, као што су ДДоС напади. Ови напади ометају онлајн услуге и значајно угрожавају интегритет и доступност критичне инфраструктуре. Појединци, организације и професионалци за безбедност морају да буду на опрезу, да ажурирају софтвер и примењују робусне безбедносне мере за откривање и ублажавање претњи ботнет-а. Активном неутрализацијом ботнета можемо да заштитимо наше дигитално окружење и допринесемо безбеднијем окружењу на мрежи за све кориснике.