Pinakawalan na Chaos: Kinokontrol ng Condi Malware ang TP-Link Wi-Fi Router para sa Mapanirang DDoS Botnet Assaults
Ang isang bagong natuklasang malware, ang Condi, ay lumitaw bilang isang makabuluhang banta, na gumagamit ng kahinaan sa seguridad sa mga TP-Link Archer AX21 (AX1800) na mga Wi-Fi router. Ang pangunahing layunin nito ay gamitin ang mga nakompromisong device na ito, i-assemble ang mga ito sa isang malakas na Distributed Denial-of-Service (DDoS) botnet. Napansin ng mga mananaliksik ang matinding pagtaas sa intensity ng kampanya mula noong pagtatapos ng Mayo 2023.
Sino ang nasa likod ni Condi?
Ang utak sa likod ni Condi ay isang indibidwal na kilala ng online na moniker na zxcr9999 , na aktibong nagpo-promote ng kanyang mga ipinagbabawal na aktibidad sa pamamagitan ng Telegram channel na Condi Network. Simula noong Mayo 2022, pinagkakakitaan ng threat actor ang kanyang botnet sa pamamagitan ng pag-aalok ng DDoS-as-a-service at pagbebenta pa ng source code ng malware. Masusing sinuri ng mga mananaliksik sa seguridad ang malware, na natuklasan ang kakayahang alisin ang mga nakikipagkumpitensyang botnet sa parehong host. Gayunpaman, walang mekanismo ng pagtitiyaga ang Condi, na nagiging dahilan upang hindi ito makaligtas sa pag-reboot ng system.
Upang malampasan ang limitasyon ng pagtitiyaga pagkatapos ng pag-reboot ng system, kumilos si Condi sa pamamagitan ng pagtanggal ng maraming binary na responsable sa pag-shut down o pag-reboot ng system. Kasama sa mga binary na ito ang /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ huminto, at /usr/bin/halt. Kapansin-pansin na dati nang pinagsamantalahan ng Mirai botnet ang target na kahinaan.
Taliwas sa iba pang malawakang malware, ang Condi ay gumagamit ng scanner module upang matukoy ang mga TP-Link Archer AX21 na mga router na vulnerable sa CVE-2023-1389 (CVSS score: 8.8). Sa halip na gumamit ng mga malupit na pag-atake tulad ng ilang botnet, nagsasagawa si Condi ng shell script na nakuha mula sa isang malayuang server upang ideposito ang malware sa mga natukoy na device.
Ayon sa mga security analyst, maraming mga pagkakataon ng Condi ang lumitaw, na sinasamantala ang iba't ibang kilalang mga kahinaan sa seguridad upang ipalaganap. Iyon ay nagpapahiwatig na ang mga device na nagpapatakbo ng unpatched na software ay partikular na madaling ma-target ng botnet malware na ito. Bukod sa mga agresibong taktika nito sa pag-monetize, ang pangunahing layunin ng Condi ay ikompromiso ang mga device at magtatag ng isang mabigat na DDoS botnet. Ang botnet na ito ay maaaring ipaupa sa ibang mga aktor ng pagbabanta, na nagbibigay-daan sa kanila na maglunsad ng mga pag-atake sa pagbaha ng TCP at UDP sa mga naka-target na website at serbisyo.
Ang pag-neutralize sa mga botnet ay pinakamahalaga sa pagpapanatili ng isang secure at matatag na digital ecosystem. Ang mga botnet, gaya ng Condi malware, ay maaaring magsamantala ng mga kahinaan sa hindi na-patch na software at gamitin ang isang network ng mga nakompromisong device para sa mga mapaminsalang aktibidad, gaya ng mga pag-atake ng DDoS. Ang mga pag-atakeng ito ay nakakagambala sa mga online na serbisyo at makabuluhang nagbabanta sa integridad at pagkakaroon ng kritikal na imprastraktura. Ang mga indibidwal, organisasyon, at mga propesyonal sa seguridad ay dapat manatiling mapagbantay, panatilihing napapanahon ang software, at gumamit ng matatag na mga hakbang sa seguridad upang matukoy at mabawasan ang mga banta sa botnet. Sa pamamagitan ng aktibong pag-neutralize sa mga botnet, mapangalagaan natin ang ating mga digital na kapaligiran at makapag-ambag sa isang mas ligtas na online na landscape para sa lahat ng user.
