Sau khi phát hiện ra botnet VPNFilter malware, các nhà nghiên cứu bảo mật phát hiện ra một botnet khổng lồ khác đã tấn công 40.000 máy chủ, modem và các thiết bị kết nối internet thuộc nhiều doanh nghiệp, tổ chức trên toàn thế giới.

Với tên gọi Operation Prowli, chiến dịch này đã lây nhiễm malware và inject mã độc để tiếp quản các máy chủ, trang web trên khắp thế giới bằng cách sử dụng các kỹ thuật tấn công khác nhau bao gồm khai thác các lỗ hổng, mật khẩu và cài đặt yếu.

Được phát hiển bởi các nhà nghiên cứu thuộc security team của GuardiCore, Operation Prowli đã tấn công hơn 40.000 máy nạn nhân từ hơn 9.000 doanh nghiệp thuộc nhiều lĩnh vực khác nhau, bao gồm các tổ chức tài chính, giáo dục và chính phủ.

Dưới đây là danh sách các thiết bị và dịch vụ bị nhiễm phần mềm độc hại Prowli:

• Máy chủ Drupal và WordPress CMS lưu trữ các trang web phổ biến.

• Joomla! máy chủ chạy tiện ích mở rộng K2

•  Máy chủ sao lưu chạy phần mềm HP Data Protector

• Modem DSL

• Máy chủ có cổng SSH mở

• Cài đặt PhpMyAdmin

• NFS boxes

• Máy chủ có cổng SMB bị lộ

• Lỗ hổng của thiết bị IoT

Tất cả các mục tiêu trên đã bị lây nhiễm bằng cách sử dụng các lỗ hổng đã biết hoặc dự đoán các thông tin xác thực.

Prowli inject malware đào tiền ảo

Vì những kẻ tấn công đằng sau cuộc tấn công Prowli đang sử dụng các thiết bị và trang web bị nhiễm để khai thác tiền điện tử hoặc chạy một tập lệnh chuyển hướng chúng đến các trang web độc hại, các nhà nghiên cứu tin rằng họ tập trung hơn vào việc kiếm tiền thay vì truyền bá hoặc gián điệp.

Theo các nhà nghiên cứu của GuardiCore, các thiết bị bị xâm nhập đã bị nhiễm một máy khai thác tiền điện tử Monero (XMR) và “r2r2” – một phần mềm độc hại được viết bằng Golang thực thi các cuộc tấn công brute-force SSH từ các thiết bị bị nhiễm, cho phép phần mềm độc hại Prowli chiếm đoạt thiết bị mới.

Nói một cách đơn giản, “r2r2 tạo ngẫu nhiên các khối địa chỉ IP và cố gắng cố gắng đăng nhập SSH bằng từ các thông tin đăng nhập phổ biến. Một khi nó phá vỡ, nó chạy một loạt lệnh trên nạn nhân”, các nhà nghiên cứu giải thích.

Các lệnh này sẽ tải xuống nhiều bản sao cho các kiến trúc CPU khác nhau, một trình khai thác tiền điện tử và tệp cấu hình từ một máy chủ được mã hóa từ xa.

Kẻ tấn công cũng lừa người dùng cài đặt tiện ích mở rộng độc hại (Malicious Extensions)

Bên cạnh việc khai thác tiền điện tử, kẻ tấn công cũng đang sử dụng một webshell mã nguồn mở được gọi là “WSO Web Shell” để sửa đổi các máy chủ bị xâm nhập, cuối cùng cho phép kẻ tấn công chuyển hướng khách truy cập trang web đến các trang web giả mạo để cài đặt các extension độc hại.

Nhóm GuardiCore đã truy tìm chiến dịch trên nhiều mạng lưới trên toàn thế giới và tìm thấy chiến dịch Prowli liên kết với các ngành khác nhau.

“Trong khoảng thời gian 3 tuần, chúng tôi đã bắt được hàng chục cuộc tấn công như vậy mỗi ngày đến từ hơn 180 IP từ nhiều quốc gia và tổ chức khác nhau”, các nhà nghiên cứu cho biết. “Những cuộc tấn công này đã dẫn chúng tôi đến điều tra cơ sở hạ tầng của kẻ tấn công và khám phá một hoạt động rộng lớn tấn công nhiều dịch vụ (operation attacking multiple services).”

Cách bảo vệ thiết bị của bạn khỏi các cuộc tấn công Malware giống như Prowli

Vì những kẻ tấn công đang sử dụng kết hợp các lỗ hổng đã biết và thông tin xác thực để thỏa hiệp thiết bị, người dùng nên đảm bảo hệ thống của họ được vá và cập nhật và luôn sử dụng mật khẩu mạnh cho thiết bị của họ.

Hơn nữa, người dùng cũng nên cân nhắc việc khóa các hệ thống và phân đoạn các hệ thống dễ bị tổn thương hoặc khó bảo mật, để tách chúng ra khỏi phần còn lại của mạng.

Cuối tháng trước, một botnet khổng lồ, được gọi là VPNFilter, đã phát hiện một nửa triệu bộ định tuyến và thiết bị lưu trữ từ một loạt các nhà sản xuất ở 54 quốc gia với phần mềm độc hại có khả năng tiến hành các hoạt động mạng, giám sát và man-in-the-middle attacks.