Cyberthreat.id - Malware baru bernama Condi diamati mengeksploitasi kerentanan keamanan di router Wi-Fi TP-Link Archer AX21 (AX1800) untuk mengikat perangkat ke botnet denial-of-service (DDoS) terdistribusi.

Fortinet FortiGuard Labs mengatakan kepada The Hacker News, kampanye telah meningkat sejak akhir Mei 2023. Condi adalah karya aktor ancaman yang menggunakan alias online zxcr9999 di Telegram dan menjalankan saluran Telegram bernama Condi Network untuk mengiklankan warez mereka.

"Saluran Telegram dimulai pada Mei 2022, dan pelaku ancaman telah memonetisasi botnetnya dengan menyediakan layanan DDoS dan menjual kode sumber malware," kata peneliti keamanan Joie Salvio dan Roy Tay.

Analisis artefak malware mengungkapkan kemampuannya untuk menghentikan botnet pesaing lainnya di host yang sama. Namun, itu tidak memiliki mekanisme kegigihan, yang berarti program tidak dapat bertahan dari reboot sistem.

Untuk mengatasi batasan ini, malware menghapus beberapa binari yang digunakan untuk mematikan atau mem-boot ulang sistem -

• /usr/sbin/reboot
• /usr/bin/reboot
• /usr/sbin/shutdown
• /usr/bin/shutdown
• /usr/sbin/poweroff
• /usr/bin/poweroff
• /usr/sbin/halt
• /usr/bin/halt

Condi, menurut The Hacker News, tidak seperti beberapa botnet yang menyebar melalui serangan brute-force, memanfaatkan modul pemindai yang memeriksa perangkat TP-Link Archer AX21 yang rentan dan, jika demikian, mengeksekusi skrip shell yang diambil dari server jarak jauh untuk menyimpan malware.

Secara khusus, pemindai memilih router yang rentan terhadap CVE-2023-1389 (skor CVSS: 8.8), bug injeksi perintah yang sebelumnya dieksploitasi oleh botnet Mirai.

Fortinet mengatakan menemukan sampel Condi lain yang mengeksploitasi beberapa kelemahan keamanan yang diketahui untuk penyebaran, menunjukkan bahwa perangkat lunak yang tidak ditambal berisiko menjadi sasaran malware botnet.

Mengesampingkan taktik monetisasi yang agresif, Condi bertujuan untuk menjerat perangkat untuk membuat botnet DDoS yang kuat yang dapat disewa oleh aktor lain untuk mengatur serangan banjir TCP dan UDP di situs web dan layanan.

"Kampanye malware, terutama botnet, selalu mencari cara untuk berkembang," kata para peneliti. "Memanfaatkan kerentanan yang baru ditemukan (atau diterbitkan) selalu menjadi salah satu metode favorit mereka."

Perkembangan tersebut terjadi ketika Pusat Tanggap Darurat Keamanan AhnLab (ASEC) mengungkapkan bahwa server Linux yang dikelola dengan buruk dilanggar untuk mengirimkan bot DDoS seperti ShellBot dan Tsunami (alias Kaiten) serta secara diam-diam menyalahgunakan sumber daya untuk penambangan cryptocurrency.

"Kode sumber Tsunami tersedia untuk umum sehingga digunakan oleh banyak pelaku ancaman," kata ASEC. "Di antara berbagai kegunaannya, sebagian besar digunakan dalam serangan terhadap perangkat IoT. Tentu saja, ini juga secara konsisten digunakan untuk menargetkan server Linux."

Rantai serangan memerlukan kompromi server menggunakan serangan kamus untuk mengeksekusi skrip shell nakal yang mampu mengunduh malware tahap berikutnya dan mempertahankan akses pintu belakang yang persisten dengan menambahkan kunci publik ke file .ssh/authorized_keys.\

Malware botnet Tsunami yang digunakan dalam serangan itu adalah varian baru yang disebut Ziggy yang memiliki kesamaan yang signifikan dengan kode sumber aslinya. Ini lebih lanjut menggunakan obrolan relai Internet (IRC) untuk perintah-dan-kontrol (C2).

Juga digunakan selama intrusi adalah seperangkat alat tambahan untuk eskalasi hak istimewa dan mengubah atau menghapus file log untuk menyembunyikan jejak dan menghalangi analisis.

"Administrator harus menggunakan kata sandi yang sulit ditebak untuk akun mereka dan mengubahnya secara berkala untuk melindungi server Linux dari serangan brute force dan serangan kamus serta memperbarui ke tambalan terbaru untuk mencegah serangan kerentanan," kata ASEC.[]