Μια ενημερωμένη έκδοση ενός κακόβουλου λογισμικού botnet που ονομάζεται KmsdBot στοχεύει τώρα συσκευές Internet of Things (IoT), διακλαδίζοντας ταυτόχρονα τις δυνατότητές του και το attack surface.
Δείτε επίσης: Pôle emploi – Γαλλία: Εκτέθηκαν στοιχεία 10 εκατομμυρίων ατόμων
Δείτε επίσης: Microsoft: Η ομάδα Flax Typhoon χρησιμοποιεί LOLBins για να αποφύγει την ανίχνευση
Η πιο πρόσφατη έκδοση που εντοπίστηκε στις 16 Ιουλίου 2023, έρχεται μήνες μετά την αποκάλυψη ότι το botnet προσφέρεται ως υπηρεσία DDoS-for-hire σε άλλους απειλητικούς παράγοντες. Το γεγονός ότι συντηρείται ενεργά δείχνει την αποτελεσματικότητά του σε επιθέσεις στον πραγματικό κόσμο.
Το KmsdBot καταγράφηκε για πρώτη φορά από την εταιρεία υποδομής ιστού και ασφάλειας τον Νοέμβριο του 2022. Ο κύριος στόχος του είναι να επιτεθεί σε ιδιωτικούς gaming servers και παρόχους cloud hosting, αν και αργότερα στράφηκε και εναντίον ορισμένων ιστότοπων της ρουμανικής κυβέρνησης και ισπανικών εκπαιδευτικών ιστοσελίδων.
Το κακόβουλο λογισμικό σχεδιάστηκε για να σαρώνει τυχαίες διευθύνσεις IP για ανοιχτές θύρες SSH και να κάνει brute-force
το σύστημα με μια λίστα κωδικών πρόσβασης που λήφθηκε από έναν εξυπηρετητή που ελέγχεται από τον εισβολέα. Οι νέες ενημερώσεις περιλαμβάνουν και σάρωση Telnet καθώς και τη δυνατότητα να καλύπτει περισσότερες αρχιτεκτονικές επεξεργαστών που συνήθως βρίσκονται στις συσκευές IoT.Δείτε επίσης: Kroll: Ανακοίνωσε παραβίαση δεδομένων (ξεκίνησε από SIM swapping)
Η επίθεση κατά του Telnet επιτυγχάνεται με το να ληφθεί ένα αρχείο κειμένου (telnet.txt) που περιέχει μια λίστα με κοινά χρησιμοποιούμενους αδύναμους κωδικούς πρόσβασης και τις συνδυασμένες τους εκδοχές για μια μεγάλη ποικιλία εφαρμογών, εκμεταλλευόμενη κυρίως το γεγονός ότι πολλές συσκευές IoT έχουν τα προεπιλεγμένα credentials τους αμετάβλητα.
Πηγή πληροφοριών: thehackernews.com