Cảnh báo mạng Botnet MyloBot lan rộng toàn cầu lây nhiễm hơn 50.000 thiết bị mỗi ngày
Theo
các nhà nghiên cứu của công ty an ninh mạng BitSight (Mỹ), một mạng Botnet có
tên gọi là “MyloBot” đã lây lan và xâm nhập trên hàng nghìn hệ thống, hầu hết ở
Ấn Độ, Hoa Kỳ, Indonesia và Iran. Các phát hiện mới từ BitSight chỉ ra rằng hiện
có hơn 50.000 hệ thống bị nhiễm mỗi ngày.
Trong quá trình phân
tích về cơ sở hạ tầng của MyloBot, các nhà nghiên cứu cho biết các kết nối đến
với dịch vụ proxy có tên “BHProxies”, cho thấy rằng các máy bị xâm nhập sẽ được
sử dụng bởi dịch vụ proxy này.
Được biết, mạng Botnet MyloBot xuất hiện vào năm 2017 và lần đầu tiên được công
ty bảo mật Deep Instinct (Israel) báo cáo vào năm 2018. Báo cáo này chỉ ra các
kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống của mạng
Botnet này.
“Điều khiến Mylobot
trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau
khi lây nhiễm vào máy chủ. Điều này có nghĩa là lúc nào Mylobot cũng có
thể tải xuống mã độc bất kỳ mà các tin tặc mong muốn", các nhà nghiên cứu
tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Mỹ) cho biết.
Vào năm 2022, một
phiên bản mới của Mylobot đã được phát hiện triển khai các payload độc hại để gửi email tống tiền các nạn nhân
trong một chiến dịch tấn công mạng nhằm kiếm về số Bitcoin trị giá hơn 2.700
USD.
Các
giai đoạn thực thi của MyloBot
MyloBot sử dụng trình
tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó không
hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện.
Chức năng chính của Botnet là thiết lập kết nối với tên miền C2 được mã hóa
cứng nhúng trong mã độc và chờ nhận lệnh để thực thi. BitSight cho biết: “Khi
Mylobot nhận được lệnh từ C2, nó sẽ biến máy tính bị nhiễm thành một
proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng
được gửi qua máy chủ C2 để chỉ huy và kiểm soát".
Các phiên bản tiếp
theo của Botnet này được trang bị thêm tính năng của một trình tải xuống. Trình
tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một
thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Một trong những địa
chỉ IP trong cơ sở hạ tầng C2 của MyloBot đã được tìm thấy và có kết nối với một
tên miền có tên “clients.bhproxies[.]com” thông qua một truy vấn DNS ngược
(Reverse DNS). Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch
lớn hơn.
BitSight cho biết họ
đã bắt đầu đánh sập MyloBot vào tháng 11/2018, tuy nhiên đến nay mạng botnet
này vẫn đang tiếp tục phát triển theo thời gian.
Nguồn:
https://antoanthongtin.vn/