Các nhà nghiên cứu bảo mật đã phát hiện ra một botnet khổng lồ đã tấn công 40.000 máy chủ, modem và các thiết bị kết nối internet thuộc nhiều doanh nghiệp, tổ chức trên toàn thế giới. Sau khi phát hiện ra botnet VPNFilter malware ngày 11/06/2018.

Chiến dịch Operation này đã lây nhiễm malware và inject mã độc để tiếp quản các máy chủ, trang web trên khắp thế giới bằng cách sử dụng các kỹ thuật tấn công khác nhau bao gồm khai thác các lỗ hổng, mật khẩu và cài đặt yếu.

Theo GuardiCore, Operation Prowli đã tấn công hơn 40.000 máy nạn nhân từ hơn 9.000 doanh nghiệp thuộc nhiều lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục và chính phủ.

Dưới đây là danh sách các thiết bị và dịch vụ bị nhiễm phần mềm độc hại Prowli:

• Máy chủ Drupal và WordPress CMS lưu trữ các trang web phổ biến.
• Joomla! máy chủ chạy tiện ích mở rộng K2
• Máy chủ sao lưu chạy phần mềm HP Data Protector
• Modem DSL
• Máy chủ có cổng SSH mở
• Cài đặt PhpMyAdmin
• NFS boxes
• Máy chủ có cổng SMB bị lộ
• Lỗ hổng của thiết bị IoT
• Tất cả các mục tiêu trên đã bị lây nhiễm bằng cách sử dụng các lỗ hổng đã biết hoặc dự đoán các thông tin xác thực.

Prowli inject malware khai thác tiền ảo

Operation Prowli sử dụng các kỹ thuật khác nhau như đánh cắp tài khoản bằng thuật toán thử mật khẩu tự động brute force để lây lan phần mềm độc hại và xâm nhập các thiết bị, chẳng hạn như máy chủ web, modem và thiết bị Internet-of-Things (IoT). GuardiCore phát hiện ra rằng những kẻ tấn công đằng sau Prowli tập trung vào việc kiếm tiền chứ không phải nhắm đến mục đích chính trị hay gián điệp.

Theo báo cáo, các máy tính bị xâm nhập đã bị nhiễm Monero (XMR) và virut r2r2- một phần mềm độc hại được viết bằng Golang, lây lan sau khi hacker đánh cắp mật khẩu bằng thuật toán brute-force SSH, các mã độc của Prowli sau đó sẽ tự động gửi thông báo để có thể lan truyền làm tăng số lượng nạn nhân.

Nói cách khác, bằng cách tạo ngẫu nhiên các khối địa chỉ IP, r2r2 cố gắng tạo các thông tin đăng nhập SSH bằng tên người dùng/mật khẩu và sau đó phát tán một loạt mã độc lên tài khoản đã chiếm được.

Các lệnh này sẽ tải xuống nhiều bản sao cho các kiến trúc CPU khác nhau, một trình khai thác tiền điện tử và tệp cấu hình từ một máy chủ được mã hóa từ xa.

Kẻ tấn công cũng lừa người dùng cài đặt tiện ích mở rộng độc hại (Malicious Extensions)

Bên cạnh việc khai thác tiền ảo, kẻ tấn công cũng đang sử dụng một webshell mã nguồn mở được gọi là “WSO Web Shell” để sửa đổi các máy chủ bị xâm nhập, cuối cùng cho phép kẻ tấn công chuyển hướng khách truy cập trang web đến các trang web giả mạo để cài đặt các extension độc hại.

Nhóm GuardiCore đã truy tìm chiến dịch trên nhiều mạng lưới trên toàn thế giới và tìm thấy chiến dịch Prowli liên kết với các ngành khác nhau.

“Trong khoảng thời gian 3 tuần, chúng tôi đã bắt được hàng chục cuộc tấn công như vậy mỗi ngày đến từ hơn 180 IP từ nhiều quốc gia và tổ chức khác nhau”, các nhà nghiên cứu cho biết. “Những cuộc tấn công này đã dẫn chúng tôi đến điều tra cơ sở hạ tầng của kẻ tấn công và khám phá một hoạt động rộng lớn tấn công nhiều dịch vụ (operation attacking multiple services).”

Cách bảo vệ thiết bị của bạn khỏi các cuộc tấn công Malware giống như Prowli

Vì những kẻ tấn công đang sử dụng kết hợp các lỗ hổng đã biết và thông tin xác thực để thỏa hiệp thiết bị, người dùng nên đảm bảo hệ thống của họ được vá và cập nhật và luôn sử dụng mật khẩu mạnh cho thiết bị của họ

Hơn nữa, người dùng cũng nên cân nhắc việc khóa các hệ thống và phân đoạn các hệ thống dễ bị tổn thương hoặc khó bảo mật, để tách chúng ra khỏi phần còn lại của mạng. Ngoài ra, người dùng nên chủ động xác định chính xác các vấn đề bảo mật, lỗ hổng trên website để kịp thời xử lý.

Hiểm họa từ công nghệ IOT =>> XEM TẠI ĐÂY

Tham khảo: CyStack Platform.