Dark.IoT botnet napada TP-Link rutere

Iako je Mirai mreža ugašena, dostupnost njenog kôda omogućava pojavu novih botnet mreža. Tako napadač poznat pod imenom Manga, Dark Mirai i Dark.IoT zloupotreblljava neažurirane  TP-Link rutere dodavajući ih u svoju mrežu. Radi se o ranjivosti CVE-2021-41653 koju je otkrio sigurnosni istraživač Matek Kamilló početkom novembara. Konkretno, radi se o veoma popularnim uređajima TP-Link TL-WR840N EU V5 iz 2017. godine.

 

Photo by Manik Roy on Unsplash

Iz sigurnosne kompanije Fortinet kažu da napadač najvjerovatnije koristi podrazumjevanu fabričku lozinku uređaja i ranjivost koju je otkrio Matek Kamilló kako bi dobili kontrolu na  neažuriranim  TP-Link TL-WR840N ruterima. Ovo napadaču daje mogućnost da da pokrene denial of service (DDoS) ili da vrši preusmjeravanje zlonamjernog saobraćaja preko uređaja nad kojim ima kontrolu. Kako bi korisnici osigurali svoje uređaje od raznih dostupnih varijanti Mirai botnet napada, u ovoj i sličnim situacijama, potrebno je:

 

- Izvršiti ažuriranje ranjivih uređaja na zadnju verziju firmware-a;

- Promijeniti inicijalnu prijavu na uređaj i postaviti jaku lozinku sa 20 i više karaktera;

- Redovno provjeriti podešavanja DNS servera na ruteru;

- Provjeriti i aktivirati firewall koji je često isključen na kućnim verzijama uređaja;

- Isključiti sve opcije daljinskog pristupa uređaju;

- Onemogućiti UPnP i WPS, ako se ne koriste;

- Ako je ruter previše star i nije više podržan od strane proizvođača, zamjeniti ga novim.

QNAP upozorava na novi crypto-miner

Proizvođač network-attached storage (NAS) uređaj kompanija QNAP  je izdala upozorenje za korisnike povodom novog crypto-mining zlonamjernog softvera. Kompanija nije objavila nikakve detalje o ovoj vrsti napada na njihove uređaje, ali savjetuje korisnike da odmah preduzmu određene mjere zaštite. Zlonamjerni softver na zaraženom uređaju kreira proces pod nazivom [oom_reaper] koji počne da koristi oko 50% procesora i oponaša kernel proces.

 

Photo by Billy Freeman on Unsplash

 

Ovaj sigurnosni incident je još pod istragom, ali iz kompanije QNAP savjetuju korisnike da ažuriraju svoje uređaje i aplikacije na njima. Još se preporučuje da se izvrši promjena lozinki, jer se još ne zna da li se u napadu iskorištava ranjivost ili je u pitanju brute-force napada na uređaje dostupne na Internetu.

 

Ako se primijeti infekcija uređaja, QNAP preporučuje da se uređaj restartuje i instalira njihova alatka “Malware Remover” iz App Center-a. Detaljne instrukcije se mogu naći na stranici proizvođača ovdje.

Širenje zlonamjernog softvera preko reklamnog sadržaja

Sigurnosni istraživači Cisco Talos su otkrili kampanju širenja zlonamjernog softvera korištenjem reklamnog sadržaja. Korisnici na Internetu vjerovatno tražeći regularan  softver, budu preko reklamnog sadržaja upućeni na zlonamjerni sadržaj. Neke od popularnih aplikacija koje zloupotrebljavaju u ovom napadu su aplikacije za dopisivanje Viber i WeChat, kao i instalacija za video igru Battlefield. Korisnici tražeći ove aplikacije, budu preko reklamnog sadržaja usmjereni na stranice gdje preuzmu lažne instalacije za navedeni softver. Zlonamjerna kampanja je dobila ime Magnat.

 

Kada korisnici pokrenu instalaciju, ne dolazi do instalacije navedenog softvera, već se pokreće instalacija softvera za krađu lozinki, backdoor softvera i zlonamjernog dodatka za Internet pretraživač Google Chrome. Softver za krađu lozinki je poznat pod nazivom Redline i to je sasvim običan zlonamjerni softver koji krade korisnička imena i lozinke koje nađe na zaraženom sistemu. Backdoor softver, kojeg su sigurnosni istraživači nazvali MagnatBackdoor, na Windows operativnom sistemu tajno konfiguriše remote desktop protocol (RDP) pristup, dodaje novog korisnika i omogućava redovno javljanje serveru pod kontrolom napadača. Na ovaj način napadač dobija pristup uređaju preko RDP konekcije. Google Chrome zlonamjerni dodatk, nazvan MagnatExtension, omogućava napadaču krađu podataka direktno iz Internet pretraživača: mogućnost snimanja ekrana, krađe kolačića (cookies), krađe unesenih podatka u obrasce za prijavu, kao i funkcionalnost keylogger-a koji snima sve što korisnik ukuca u pretraživač. Dodatak se ne nalazi u Chrome prodavnici, već ga isporučuje napadač.

 

Prema navodima sigurnosnih istraživača, cilj ove kampanje je iskorištavanje prikupljenih podataka od strane napadača ili njihova prodaja na Mračnom Internetu. Kampanja Magnat je prisutna od 2018. godine u određenom intenzitetu i vidljiv je konstantan razvoj i napredak od strane napadača. Primjera radi,  softvera za krađu lozinki Azorult je 2020. godine u februaru zamijenjen sa softverom Redline pošto je ažuriranje Google Chrome verzija 80 poremetilo njegovo funkcionisanje. Tokom godina, vidljiva su i unapređenja na MagnatBackdoor i MagnatExtension, pa je vrlo vjerovatno da će se to i nastaviti. Ovakva vrsta sigurnosne prijetnje zahtjeva dobru antivirusnu zaštitu, filtriranje mrežnog sadržaja i budnost samih korisnika.

AnyDesk softver iskorišten za širenje ransomware-a

 

AnyDesk je softver koji omogućava daljinski pristup personalnim računarima i drugim uređajima, omogućavajući daljinsko upravljanje, razmjenu dokumenta i VPN funkcionalnost. Nažalost, zbog svoje namjene često je na meti napadača. U ovom slučaju napadači koriste namjenu i popularnost AnyDesk softvera za širenje Babuk ransomware-a.

 

Kada korisnik pokuša da preuzme AnyDesk aplikaciju sa Internet stranice, može da otvori lažnu Internet stranicu koja izgleda isto kao i prava. Preuzimanjem AnyDesk softvera sa takve Internet stranice, dolazi i do preuzimanja  ransomware-a. Pokretanjem instalacije dolazi do instalacije Allakore RAT klijenta i alata za preuzimanje Babuk ransomware-a. Tokom proces instalacije vrši se gašenje Windows User Account Controls (UAC),  gašenje Windows Defender-a i određene putanje se izuzimaju od skeniranja. Pored toga, vrši se pretraga za drugim antivirusnim softverima, traži se od korisnika njihovo brisanje, a nakon toga i provjera da li je to urađeno. Kako bi se dodatno osigurao, zlonamjerni softver će onemogućiti i Task manager i dodatno onemogućiti sve module Windows Defender-a. Na kraju kako bi se zadovoljila potreba korisnika i izbjegla sumnja, AnyDesk će biti stvarno instaliran na uređaju.

 

Lažna Internet stranica - Izvor: Quick Heal blog

Trenutno se ne može identifikovati napadač odgovoran za ovaj napad. Smatra se da ovaj način infekcije može imati uticaj na veliki broj korisnika AnyDesk softvera. Korisnici bi trebali da budu oprezni i da softver preuzimaju isključivo sa službene stranice proizvođača. Takođe, potrebno je koristiti provjereno antivirusno rješenje i voditi računa da je uvijek ažurirano.