لاحظ Netlab وتقنيات عمليات جديدة الروبوتات يستغل اثنين تندا الموجه نقاط الضعف 0 يوما لتثبيت الوصول طروادة عن بعد (RAT).
تم العثور على الروبوتات التي يطلق عليها اسم Ttint لتكون نشطة منذ نوفمبر 2019 ، إلى جانب إمكانات DDoS التي تتضمن 12 وظيفة وصول عن بعد
هجوم Ttint IoT Botnet
استخدم المهاجمون الثغرة الأمنية الخاصة بجهاز توجيه Tenda التالية لمدة 0 يومًا (CVE-2018-14558 & CVE-2020-10987) لتوزيع عينات Ttint.
Tint Remote Access Trojan استنادًا إلى كود Mirai ، ويتضمن 10 تعليمات هجوم Mirai DDoS و 12 تعليمات تحكم مثل Socket5 proxy لأجهزة التوجيه ، والتلاعب بـ DNS الخاص بالموجه ، وإعداد iptables ، وتنفيذ أوامر النظام المخصصة
بمجرد أن يتم تنفيذ Ttint "فإنه يحذف ملفاته ، ويتلاعب بالرقابة ، ويمنع الجهاز من إعادة التشغيل ، فإنه يعمل كمثيل واحد عن طريق ربط المنفذ ؛ ثم يعدل اسم العملية لإرباك المستخدم ؛ يقوم أخيرًا بإنشاء اتصال مع C2 الذي تم فك تشفيره ، معلومات جهاز الإبلاغ
يدعم Ttint Bot 22 أمرًا و 10 أوامر DDoS موروثة من Mirai و 12 أمرًا جديدًا.
يدعم Ttint Bot 22 أمرًا و 10 أوامر DDoS موروثة من Mirai و 12 أمرًا جديدًا.
هوية شخصية تعليمات
0 attack_udp_generic
1 attack_udp_vse
2 attack_udp_dns
9 attack_udp_plain
3 attack_tcp_flag
4 attack_tcp_pack
5 attack_tcp_xmas
6 attack_grep_ip
7 attack_grep_eth
10 attack_app_http
12 قم بتشغيل الأمر "nc"
13 قم بتشغيل الأمر "ls"
15 نفذ أوامر النظام
16 العبث بجهاز التوجيه DNS
18 الإبلاغ عن معلومات الجهاز
14 تكوين iptables
11 قم بتشغيل الأمر "ifconfig"
17 الخروج الذاتي
19 افتح وكيل Socks5
20 أغلق بروكسي Socks5
21 الترقية الذاتية
22 قذيفة عكسية
وفقًا لتحليل Netlab ، "استخدم المهاجم أولاً عنوان IP لخدمة السحابة الإلكترونية من Google ، ثم تحول إلى مزود استضافة في هونغ كونغ".
يتم تشفير جميع الاتصالات مع خادم C2 وللاتصال ، فإنه يستخدم بروتوكول WSS (WebSocket عبر TLS).
كما هو الحال مع أي تقنية جديدة ، تعد إنترنت الأشياء بأن تكون مستقبل الإنترنت ، حيث توفر اتصالاً أفضل وسهولة في استخدام الأجهزة التي نستخدمها ، ولكن كما يظهر هذان الهجومان من الروبوتات ، يجب وضع قدر مساوٍ من الضغط على الأمان.
يوصى مستخدمو جهاز التوجيه Tenda بالتحقق من البرامج الثابتة لأجهزتهم وإجراء التحديث اللازم ، هنا يمكنك العثور على IoCs.