Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng mới đang âm thầm lan rộng, nhắm trực tiếp vào các thiết bị IoT như đầu ghi hình và bộ định tuyến, khiến giới chuyên gia an ninh mạng đặc biệt lo ngại. Biến thể botnet Mirai mang tên Nexcorium được xác định là trung tâm của làn sóng tấn công này, với khả năng chiếm quyền điều khiển thiết bị và triển khai các cuộc tấn công từ chối dịch vụ (DDoS) quy mô lớn.
Theo các báo cáo nghiên cứu từ Fortinet FortiGuard Labs và Palo Alto Networks Unit 42, mục tiêu chính của chiến dịch là các thiết bị DVR của TBK và router Wi-Fi đã ngừng hỗ trợ của TP-Link. Những thiết bị này thường tồn tại lỗ hổng bảo mật nhưng không còn được cập nhật bản vá, trở thành “mảnh đất màu mỡ” cho tin tặc khai thác.
Cụ thể, kẻ tấn công lợi dụng lỗ hổng CVE-2024-3721 để xâm nhập hệ thống, từ đó tải xuống và cài đặt mã độc Nexcorium. Sau khi xâm nhập thành công, phần mềm độc hại sẽ thiết lập quyền kiểm soát, kết nối với máy chủ điều khiển từ xa và chờ lệnh thực hiện các cuộc tấn công DDoS thông qua nhiều giao thức khác nhau.
Không dừng lại ở một thiết bị, Nexcorium còn có khả năng lây lan trong mạng nội bộ. Mã độc tích hợp cơ chế dò quét và tấn công brute-force bằng cách sử dụng danh sách tài khoản, mật khẩu mặc định để truy cập các thiết bị khác thông qua giao thức Telnet. Khi xâm nhập thành công, nó thiết lập cơ chế duy trì hoạt động lâu dài và xóa dấu vết nhằm tránh bị phát hiện.
Song song đó, các chuyên gia cũng ghi nhận hoạt động dò quét nhắm vào lỗ hổng CVE-2023-33538 trên các dòng router đã hết vòng đời. Dù các cuộc tấn công chưa đạt hiệu quả cao, nguy cơ vẫn hiện hữu do thiết bị không còn được hỗ trợ cập nhật.
Thực tế cho thấy, sự bùng nổ của thiết bị IoT trong đời sống kéo theo những rủi ro bảo mật ngày càng lớn. Nhiều thiết bị được triển khai với cấu hình mặc định, mật khẩu yếu hoặc không được cập nhật, vô tình mở cửa cho các cuộc tấn công mạng.
Trước tình hình này, các chuyên gia khuyến cáo người dùng cần chủ động nâng cao nhận thức bảo mật, thay đổi mật khẩu mặc định, cập nhật firmware thường xuyên và đặc biệt là thay thế các thiết bị đã ngừng hỗ trợ. Trong bối cảnh các mối đe dọa ngày càng tinh vi, việc bảo vệ hệ thống không chỉ là lựa chọn mà đã trở thành yêu cầu bắt buộc để đảm bảo an toàn thông tin trong kỷ nguyên số.
Theo các báo cáo nghiên cứu từ Fortinet FortiGuard Labs và Palo Alto Networks Unit 42, mục tiêu chính của chiến dịch là các thiết bị DVR của TBK và router Wi-Fi đã ngừng hỗ trợ của TP-Link. Những thiết bị này thường tồn tại lỗ hổng bảo mật nhưng không còn được cập nhật bản vá, trở thành “mảnh đất màu mỡ” cho tin tặc khai thác.
Cụ thể, kẻ tấn công lợi dụng lỗ hổng CVE-2024-3721 để xâm nhập hệ thống, từ đó tải xuống và cài đặt mã độc Nexcorium. Sau khi xâm nhập thành công, phần mềm độc hại sẽ thiết lập quyền kiểm soát, kết nối với máy chủ điều khiển từ xa và chờ lệnh thực hiện các cuộc tấn công DDoS thông qua nhiều giao thức khác nhau.
Không dừng lại ở một thiết bị, Nexcorium còn có khả năng lây lan trong mạng nội bộ. Mã độc tích hợp cơ chế dò quét và tấn công brute-force bằng cách sử dụng danh sách tài khoản, mật khẩu mặc định để truy cập các thiết bị khác thông qua giao thức Telnet. Khi xâm nhập thành công, nó thiết lập cơ chế duy trì hoạt động lâu dài và xóa dấu vết nhằm tránh bị phát hiện.
Song song đó, các chuyên gia cũng ghi nhận hoạt động dò quét nhắm vào lỗ hổng CVE-2023-33538 trên các dòng router đã hết vòng đời. Dù các cuộc tấn công chưa đạt hiệu quả cao, nguy cơ vẫn hiện hữu do thiết bị không còn được hỗ trợ cập nhật.
Thực tế cho thấy, sự bùng nổ của thiết bị IoT trong đời sống kéo theo những rủi ro bảo mật ngày càng lớn. Nhiều thiết bị được triển khai với cấu hình mặc định, mật khẩu yếu hoặc không được cập nhật, vô tình mở cửa cho các cuộc tấn công mạng.
Trước tình hình này, các chuyên gia khuyến cáo người dùng cần chủ động nâng cao nhận thức bảo mật, thay đổi mật khẩu mặc định, cập nhật firmware thường xuyên và đặc biệt là thay thế các thiết bị đã ngừng hỗ trợ. Trong bối cảnh các mối đe dọa ngày càng tinh vi, việc bảo vệ hệ thống không chỉ là lựa chọn mà đã trở thành yêu cầu bắt buộc để đảm bảo an toàn thông tin trong kỷ nguyên số.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
