Mã độc RustoBot đang khai thác lỗ hổng trên router TOTOLINK và DrayTek tại Việt Nam, Nhật Bản, Đài Loan, Mexico để tấn công DDoS và chiếm quyền điều khiển.
FortiGuard Labs vừa công bố phát hiện chiến dịch tấn công mạng quy mô lớn sử dụng botnet RustoBot, một loại mã độc mới được viết bằng ngôn ngữ Rust – nổi tiếng với tính an toàn bộ nhớ và hiệu suất cao. RustoBot hiện đang khai thác lỗ hổng bảo mật trên các thiết bị router TOTOLINK và DrayTek, ảnh hưởng đến hệ thống mạng tại Việt Nam, Nhật Bản, Đài Loan và Mexico.
Các lỗ hổng nghiêm trọng bị khai thác
RustoBot tấn công vào các lỗ hổng đã tồn tại từ lâu trên router, bao gồm:
Những lỗ hổng này cho phép thực thi mã từ xa, tạo điều kiện để mã độc RustoBot được tải xuống thiết bị qua các công cụ như wget hoặc tftp.
RustoBot hỗ trợ nhiều kiến trúc thiết bị phổ biến như arm5, arm6, arm7, mips, mpsl và x86, với tải trọng nhắm chủ yếu vào các thiết bị TOTOLINK dùng kiến trúc mpsl.
Điểm nổi bật của RustoBot là khả năng ẩn mã độc thông qua mã hóa XOR và thao tác trên Global Offset Table (GOT), khiến việc phân tích đảo ngược trở nên rất khó khăn.
Khi đã xâm nhập thành công, RustoBot thực hiện 2 hành vi chính:
Cấu hình sau giải mã cho thấy mã độc sử dụng các tên miền như dvrhelper.anondns.net trỏ về địa chỉ IP điều khiển 5.255.125.150 để nhận lệnh tấn công.
Danh sách các thiết bị được xác định dễ bị tấn công:
Trước diễn biến phức tạp của các chiến dịch tấn công nhắm vào thiết bị mạng, đặc biệt là sự xuất hiện của mã độc RustoBot, các tổ chức cần tăng cường biện pháp bảo vệ hệ thống hạ tầng mạng. WhiteHat khuyến nghị:
Việc kết hợp các biện pháp kỹ thuật với quy trình kiểm soát thay đổi rõ ràng sẽ giúp giảm thiểu nguy cơ bị khai thác, đồng thời nâng cao khả năng phát hiện sớm các cuộc tấn công mạng hiện đại.
