ناقل الهجوم
شبكةنوع البرامج الضارة
حصان طروادة للوصول البعيدالفئة
إنترنت الأشياء (بوت نت)الهدف
راوتر تيندا AC15 AC1900الصناعة المتأثرة
الكل (استغلال خاص بالأجهزة)ميراي آند موتانتس
تقوم برامج Mirai الضارة بفحص الإنترنت بحثًا عن أجهزة إنترنت الأشياء التي تعمل على معالج Argonaut RISC Core (ARC)، الذي يقوم بتشغيل إصدار مجرد من نظام التشغيل Linux. يحتوي هذا البرنامج الضار على جميع إمكانيات الفيروس/الدورة/حصان طروادة. بعض الأنواع المعروفة من ميراي الموجودة في البرية هي أوكيرو وساتوري وماسوتا وبيور ماسوتا. بدأت Mirai عملياتها في الجزء الأخير من عام 2016، ونشرت شفرة المصدر الخاصة بها والتي أدت إلى ظهور العديد من المسوخ أو المتغيرات في البرية. استهدفت Mirai في الغالب مزودي الخدمة. تينت
تينت
عبارة عن شبكة إنترنت الأشياء تعتمد على شفرة مصدر Mirai، مع وظائف إضافية لتنفيذ الأوامر والتجوال عبر الإنترانت عبر أجهزة التوجيه المخترقة، على عكس Mirai التي تنظم عادةً هجمات DDoS. يستخدم هذا النوع من Mirai وظائف التحكم المخصصة التالية أيضًا:
- بروكسي SOCKS5 لأجهزة التوجيه
- العبث بنظام DNS الخاص بجهاز التوجيه على مستوى جهاز التوجيه
- جداول IP المخصصة لإعادة توجيه حركة المرور
- تنفيذ أوامر النظام المخصصة
- WebSocket عبر بروتوكول TLS [WSS] للاتصال C2
- غلاف عكسي
- الترقية الذاتية
استغلال 0 يوم
يستغل Ttint ثغرتين، تم تصحيح إحداهما مؤخرًا (CVE-2020-10987) والأخرى لا تزال غير معلنة وغير مصححة. تستهدف الثغرة الأمنية التي تم تصحيحها مؤخرًا (CVE-2020-10987) أجهزة توجيه Tenda AC15 AC1900، والتي تسمح للمهاجمين بتنفيذ أوامر النظام التعسفية عبر معلمة «DeviceName» POST.[/vc_wp_text] [vc_wp_text]
التأثير
- يستهدف Ttint أجهزة توجيه Tenda لبناء الروبوتات. ونتيجة لذلك، سيكون أي مستهلك يستخدم أجهزة البائع هدفًا للهجوم.
- بمجرد اختراق جهاز التوجيه، يمكن للمهاجم الوصول إلى الشبكة الداخلية خلف جهاز التوجيه، مما يتيح الهجمات على الأجهزة الأخرى.
- يتمتع حصان طروادة Remote Access بقدرات تجسس ويمكنه إنشاء بصمة رقمية لضحاياه.
- يمكن أن تؤدي هجمات DDoS من قبل الروبوتات إلى تعطيل الخدمات الهامة مما يؤدي إلى التوقف عن العمل، مما يؤثر على توفر الأعمال للعملاء ويؤدي في النهاية إلى خسارة مالية.
- محملة بالقدرة على معالجة حركة مرور الشبكة، يتم اختراق السرية والنزاهة.
- البريد العشوائي.
- يسرق Ttint معلومات بطاقة الائتمان.
- تقوم شبكة إنترنت الأشياء هذه بالاحتيال على النقرات.
- كما أنها قادرة على حل تحديات CAPTCHA الضعيفة على مواقع الويب.
نقاط الضعف الأخرى في تيندا AC15 AC1900 هي:CVE-2020—10986CVE-2020—10988CVE-2020—10989CVE-2020—15916[/vc_wp_text] [vc_wp_text]
IOC
الملكية الفكرية
34.92.85.21 34.92.139.186 43.249.29.56 45.249.92.60 45.249.92.72 103.60.220.48 103.108.142.92 103.243.183.248تجزئات MD5
3e6a16bcf7a9e9e0be25 ae28551150f54ee942a0153 ed74eb9a98f7ad321ec976bff8b6f606e795385b84437d1e10a733f71eb6ca905e8904d0fb785fb43a89 قدم مكعب f71f2fced 35 fba 8612 إعلان 07174c5cb2b438ba6d809 f1f71 c776376d293cfc0f745941 ce1 ec024 cb86b1fd244 f373 قدم × 45 بوصة 46 415 × 41831 درجة فهرنهايت 138 قدم × 306 درجةC2
الكمبيوتر المحمول باستخدام الحاسب الآلي 2.com: 23231back.notepod2.com: 80Q9 يو في في بي بي. نوت بود 2.com: 443جهاز كمبيوتر محمول UHYG 8V 2.com: 5001رابط
http://45.112.205.60/td[.]shhttp://45.112.205.60/ttint[.]i686http://45.112.205.60/ttint[.]arm5elhttp://45.112.205.60/ttint[.]mipselhttp://34.92.139.186:5001/bot/get[.]shhttp://34.92.139.186:5001/bot/ttint[.]mipselhttp://34.92.139.186:5001/bot/ttint[.]x86_64[/vc_wp_text] [vc_wp_text]
تدابير وقائية
- إدارة التصحيح والتحديثات المناسبة.
- نشر حلول EDR/XDR الفعالة والقوية على أنظمة نقطة النهاية.