کمیته رکن چهارم – اخیرا محققان امنیتی نوع جدیدی از بات نت ها به نام Hoaxcalls را شناسایی کردند که از طریق بهره برداری از آسیب پذیری کد از راه دور (RCE پچ نشده) در ابزار ZyXEL Cloud CNM SecuManager توزیع می شود. Zyxel Cloud CNM secuManagr یک نرم افزار مدیریت در شبکه است که جهت ارائه یک کنسول یکپارچه برای نظارت و مدیریت گیت وی های امنیتی طراحی شده است.
بات نت Hoaxcalls ابتدا در تاریخ ۳ آوریل توسط تیم تحقیقاتی Palo Alto کشف شد. این بات نت معروف از طریق ۲ آسیب پذیری که پچ شده بود توزیع میگردید و دارای تقریبا ۱۶ بردار حمله DDoS بود. نسخه قبلی بات نت از سه بردار حمله DDoS استفاده میکرد که شامل UDP ، DNS و HEX flood بود و برای حمله به شبکه قربانی از آسیب پذیری های تزریق RCE و SQL بهره برداری می کرد.
نوع جدید این بات نت که به روز شده است قابلیت های حمله جدیدی را در مقایسه با نمونه قبلی دارد که در هنگام نظارت بر کمپین XTC Mirai کشف شد.
بهره برداری از ZyXEL Cloud CNM SecuManager
در تاریخ ۲۰ آوریل، محققان امنیتی Radware از یک کمپین جدید حملات سایبری پرده برداشتند. این کمپین با استفاده از آسیب پذیری پچ نشده در ZyXEL Cloud CNM SecuManager اقدام به حملات بات نتی می کردند.روش فعلی این کمپین، توزیع بات نت هایی حاوی تغییرات عمده نسبت به حملات قبلی با ۱۹ بردار حمله DDoS است.
Zyxel Cloud CNM دارای آسیب پذیری اجرای کد از راه دور (RCE) است که مهاجمان می توانند از راه دور از طریق تماس های API در مسیر زیر بهره برداری کنند.
/ live / CPEManager / AXCampaignManager / delete_cpes_by_ids? Cpe_ids =
مطابق گزارش Radware: “حمله فوق با اجرای (Remote Code (RCE و با اکسپلویت کردن API ناامن ناشی از فرآخوانی نا امن ()eval صورت می گیرد.”
HTTPOPTION – http option flood
HTTPDELETE – http delete flood
HTTPTRACE – http trace flood
HTTPPOST – http post flood
HTTPHEAD – http head flood
HTTPGET – http get flood
HTTPPUT – http put flood
VSE 32 0 0 10 – vse flood
SYN 32 0 10 – syn flood
RST 32 0 10 – rst flood
PSH 32 0 10 – psh flood
TCP 32 0 10 – tcp flood
URG 32 0 10 – urg flood
ACK 32 0 10 – ack flood
FIN 32 0 10 – fin flood
UDP 32 10 – udp flood
HEX – hex flood
DNS – dns resolver flood
BLACKNURSE – blacknurse flood
محققان امنیتی بر این باورند که مهاجمان سایبری در پشت این کارزار حملات تلاش می کنند تا آسیب پذیری های جدیدی پیدا کنند و از آنها برای ساختن بات نت ها استفاده کنند . این آسیب پذیری ها کمک می کنند تا حملات DDoS در مقیاس وسیع تری انجام شود.
گزارش کامل عملکرد Hoaxcalls DDoS Botnet را می توانید در این لینک مطالعه کنید.
منبع: ایران سایبر
