Theo The Hacker News, phiên bản mới của botnet được báo cáo bởi đơn vị 42 của Palo Alto Networks với tên V3G4, gắn với 3 chiến dịch khác nhau và có khả năng do cùng một tác giả thực hiện.
Các nhà nghiên cứu cho biết khi xâm nhập các thiết bị thông qua lỗi bảo mật, kẻ tấn công sẽ kiểm soát và trở thành một phần của mạng botnet. Tin tặc có khả năng sử dụng chúng để tiến hành các cuộc tấn công như từ chối dịch vụ phân tán (DDoS).
Các cuộc tấn công chủ yếu nhằm vào các máy chủ và thiết bị mạng chạy Linux đang phơi nhiễm 13 lỗ hổng dẫn đến thực thi mã từ xa (RCE). Một số lỗi được xác định là nghiêm trọng thuộc về các trung tâm dữ liệu và Máy chủ cộng tác Atlassian, bộ định tuyến DrayTek Vigor, Airspan AirSpot và camera IP Geutebruck... Lỗ hổng lâu đời nhất trong danh sách bị khai thác là CVE-2012-4869, khiến có thể thực thi mã từ xa trên giao diện người dùng FreePBX.
V3G4 nguy hiểm vì botnet này nhắm vào thiết bị Linux và IoT để mở rộng mạng lưới tấn công
CHỤP MÀN HÌNH
Mạng botnet này khi đã xâm nhậm thành công còn thực hiện chấm dứt các mạng botnet cạnh tranh khác như Mozi, Okami và Yakuza. V3G4 còn có bộ thông tin xác thực đăng nhập mặc định được sử dụng để thực hiện các cuộc tấn công qua Telnet/SSH và lây lan sang các máy khác. Nó cũng liên hệ với máy chủ điều khiển để chờ lệnh khởi chạy các cuộc tấn công DDoS nhằm vào các mục tiêu.
Dù vậy theo các nhà nghiên cứu, những lỗ hổng được đề cập có độ phức tạp ít hơn so với các biến thể trước đây, nhưng chúng vẫn là lỗi bảo mật quan trọng dẫn đến thực thi mã từ xa. Để ngăn chặn các cuộc tấn công từ các biến thể botnet, người quản trị cần nhanh chóng áp dụng các bản vá và cập nhật cần thiết, đồng thời bảo mật thiết bị bằng mật khẩu mạnh.
Bình luận