Unleashed Chaos: มัลแวร์ Condi เข้าควบคุมเราเตอร์ Wi-Fi ของ TP-Link เพื่อทำลายล้าง DDoS Botnet Assaults

Condi มัลแวร์ที่เพิ่งค้นพบได้กลายเป็นภัยคุกคามที่สำคัญ โดยใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในเราเตอร์ Wi-Fi TP-Link Archer AX21 (AX1800) วัตถุประสงค์หลักคือการควบคุมอุปกรณ์ที่ถูกบุกรุกเหล่านี้ ประกอบเข้ากับบ็อตเน็ตแบบกระจายการปฏิเสธการให้บริการ (DDoS) ที่ทรงพลัง นักวิจัยตั้งข้อสังเกตว่าความเข้มข้นของการรณรงค์เพิ่มขึ้นอย่างรวดเร็วตั้งแต่สิ้นสุดในเดือนพฤษภาคม 2566

ใครอยู่เบื้องหลัง Condi?

ผู้บงการเบื้องหลัง Condi เป็นบุคคลที่รู้จักกันในชื่อเล่นออนไลน์ zxcr9999 ซึ่งส่งเสริมกิจกรรมที่ผิดกฎหมายของเขาอย่างแข็งขันผ่านช่องทางโทรเลข Condi Network ตั้งแต่เดือนพฤษภาคม 2022 ผู้คุกคามได้สร้างรายได้จากบ็อตเน็ตของเขาโดยเสนอบริการ DDoS-as-a-a-a และแม้กระทั่งขายซอร์สโค้ดของมัลแวร์ นักวิจัยด้านความปลอดภัยได้วิเคราะห์มัลแวร์อย่างถี่ถ้วน ค้นพบความสามารถในการกำจัดบอทเน็ตที่แข่งขันกันบนโฮสต์เดียวกัน อย่างไรก็ตาม Condi ขาดกลไกการคงอยู่ ทำให้ไม่สามารถอยู่รอดได้จากการรีบูตระบบ

เพื่อเอาชนะข้อจำกัดของการคงอยู่หลังจากรีบูตระบบ Condi จะดำเนินการโดยการลบไบนารีหลายตัวที่รับผิดชอบในการปิดระบบหรือรีบูตระบบ ไบนารีเหล่านี้รวมถึง /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ หยุด และ /usr/bin/หยุด เป็นที่น่าสังเกตว่าก่อนหน้านี้ Mirai botnet ใช้ประโยชน์จากช่องโหว่ที่เป็นเป้าหมาย

Condi ใช้โมดูลสแกนเนอร์เพื่อระบุเราเตอร์ TP-Link Archer AX21 ที่เสี่ยงต่อ CVE-2023-1389 (คะแนน CVSS: 8.8) ตรงกันข้ามกับมัลแวร์อื่นๆ ที่แพร่หลาย แทนที่จะใช้การโจมตีแบบเดรัจฉานอย่างบ็อตเน็ต Condi ดำเนินการเชลล์สคริปต์ที่ได้รับจากเซิร์ฟเวอร์ระยะไกลเพื่อฝากมัลแวร์ไว้ในอุปกรณ์ที่ระบุ

นักวิเคราะห์ด้านความปลอดภัยกล่าวว่า Condi หลายกรณีเกิดขึ้นโดยใช้ช่องโหว่ด้านความปลอดภัยที่รู้จักเพื่อเผยแพร่ นั่นแสดงว่าอุปกรณ์ที่ใช้ซอฟต์แวร์ที่ไม่ได้แพตช์มีความอ่อนไหวเป็นพิเศษต่อการตกเป็นเป้าหมายของมัลแวร์บอตเน็ตนี้ นอกเหนือจากกลยุทธ์การสร้างรายได้ที่ก้าวร้าวแล้ว วัตถุประสงค์หลักของ Condi คือการประนีประนอมอุปกรณ์และสร้างบอตเน็ต DDoS ที่น่าเกรงขาม บอตเน็ตนี้สามารถเช่าให้กับผู้คุกคามรายอื่นได้ ทำให้สามารถเปิดการโจมตีแบบท่วมท้น TCP และ UDP บนเว็บไซต์และบริการที่เป็นเป้าหมายได้

การทำให้บอตเน็ตเป็นกลางเป็นสิ่งสำคัญยิ่งในการรักษาระบบนิเวศดิจิทัลที่ปลอดภัยและมีเสถียรภาพ บอตเน็ต เช่น มัลแวร์ Condi สามารถใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ไม่ได้แพตช์ และควบคุมเครือข่ายของอุปกรณ์ที่ถูกบุกรุกสำหรับกิจกรรมที่เป็นอันตราย เช่น การโจมตี DDoS การโจมตีเหล่านี้ขัดขวางบริการออนไลน์และคุกคามความสมบูรณ์และความพร้อมใช้งานของโครงสร้างพื้นฐานที่สำคัญอย่างมาก บุคคล องค์กร และผู้เชี่ยวชาญด้านความปลอดภัยต้องเฝ้าระวัง ปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ และใช้มาตรการรักษาความปลอดภัยที่เข้มงวดเพื่อตรวจจับและบรรเทาภัยคุกคามจากบ็อตเน็ต ด้วยการทำให้บ็อตเน็ตเป็นกลาง เราสามารถปกป้องสภาพแวดล้อมดิจิทัลของเราและมีส่วนทำให้ภูมิทัศน์ออนไลน์ปลอดภัยยิ่งขึ้นสำหรับผู้ใช้ทุกคน