Matrix Botnet Khai Thác Thiết Bị IoT Trong Chiến Dịch DDoS Rộng Rãi

Tổng Quan

Một tác nhân đe dọa có tên Matrix đã được liên kết với một chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) rộng rãi. Chiến dịch này tận dụng các lỗ hổng và cấu hình sai trong các thiết bị Internet of Things (IoT) để biến chúng thành một mạng botnet gây rối loạn.

Chi Tiết Chiến Dịch

• Phương pháp tấn công: Chiến dịch này là một “cửa hàng một điểm đến” toàn diện cho việc quét, khai thác lỗ hổng, triển khai phần mềm độc hại và thiết lập các bộ công cụ tấn công. Điều này thể hiện một cách tiếp cận tự làm tất cả trong các cuộc tấn công mạng.
• Nguồn gốc và mục tiêu: Có bằng chứng cho thấy chiến dịch này là công việc của một tác nhân đơn lẻ, có thể là một “script kiddie” có nguồn gốc từ Nga. Các cuộc tấn công chủ yếu nhắm vào các địa chỉ IP ở Trung Quốc, Nhật Bản, và ở mức độ thấp hơn là Argentina, Úc, Brazil, Ai Cập, Ấn Độ và Hoa Kỳ. Việc không có Ukraine trong danh sách nạn nhân cho thấy động cơ tài chính là chính.

• Phương thức tấn công: Các chuỗi tấn công được đặc trưng bởi việc khai thác các lỗ hổng bảo mật đã biết cũng như các thông tin đăng nhập mặc định hoặc yếu để truy cập vào một loạt các thiết bị kết nối internet như camera IP, DVR, bộ định tuyến và thiết bị viễn thông.

• Công cụ và kỹ thuật: Tác nhân đe dọa đã lợi dụng các máy chủ Telnet, SSH và Hadoop bị cấu hình sai, đặc biệt tập trung vào các dải địa chỉ IP liên quan đến các nhà cung cấp dịch vụ đám mây như AWS, Microsoft Azure và Google Cloud. Hoạt động độc hại này dựa vào một loạt các script và công cụ công khai có sẵn trên GitHub, cuối cùng triển khai phần mềm độc hại Mirai botnet và các chương trình liên quan đến DDoS khác trên các thiết bị và máy chủ bị xâm nhập.

Công Cụ và Dịch Vụ

• Công cụ sử dụng: Bao gồm PYbot, pynet, DiscordGo, Homo Network (một chương trình JavaScript thực hiện tấn công flood HTTP/HTTPS), và một công cụ có thể vô hiệu hóa ứng dụng Microsoft Defender Antivirus trên máy Windows.

• Dịch vụ DDoS thuê: Chiến dịch này được quảng cáo như một dịch vụ DDoS thuê thông qua một bot Telegram có tên “Kraken Autobuy”, cho phép khách hàng chọn từ các gói khác nhau để thực hiện các cuộc tấn công đổi lấy thanh toán bằng tiền điện tử.

Khuyến Nghị Bảo Mật

• Thực hành bảo mật cơ bản: Chiến dịch này, mặc dù không quá phức tạp, cho thấy cách các công cụ dễ tiếp cận và kiến thức kỹ thuật cơ bản có thể cho phép các cá nhân thực hiện một cuộc tấn công đa diện trên nhiều lỗ hổng và cấu hình sai trong các thiết bị kết nối mạng. Điều này nhấn mạnh tầm quan trọng của việc giải quyết các thực hành bảo mật cơ bản như thay đổi thông tin đăng nhập mặc định, bảo mật các giao thức quản trị và cập nhật firmware kịp thời để bảo vệ chống lại các cuộc tấn công cơ hội rộng rãi như thế này.

Tham Khảo

1. Matrix Botnet Exploits IoT Devices in Widespread DDoS Botnet Campaign
2. Script Kiddie ‘Matrix’ Builds Massive Botnet
3. ‘Matrix’ Hackers Deploy Massive New IoT Botnet for DDoS Attacks