C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner. Miasma angrep rammer Microsoft på GitHub.
C0XMO Botnet Utvider Gafgyt med Avanserte DDoS og Spredningsfunksjoner
Sikkerhetsforskere hos Fortinet har avdekket en ny variant av Gafgyt-botnettet, kalt C0XMO, som retter seg mot DD-WRT rutere og en rekke andre enheter på tvers av arkitekturer som ARM, MIPS, PowerPC, SuperH, x86 og x86_64. Botnettet utnytter blant annet CVE-2021-27137, en uautentisert buffer overflow-sårbarhet som muliggjør fjernkjøring av kode. Malware benytter også brute force-angrep mot Telnet og SSH tjenester med svake passord for videre spredning. Etter kompromittering installerer den persistensmekanismer via cron-jobber og oppstarts-skript, samtidig som den fjerner konkurrerende botnett og sikkerhetsverktøy fra infiserte systemer. C0XMO kommuniserer med en hardkodet C2 server og støtter hele 19 ulike DDoS angrepsmetoder, inkludert TCP, UDP, SYN og ICMP floods, samt NTP og Memcached amplifiseringsangrep. Fortinet beskriver botnettet som betydelig mer avansert og modulært enn tidligere Gafgyt varianter, med mulighet for løpende utvidelse av funksjonalitet og målplattformer.
CVE-koder: CVE-2021-27137
Anbefalinger: Oppdater berørte enheter med tilgjengelige sikkerhetsoppdateringer umiddelbart. Bytt standard og svake passord på SSH og Telnet tjenester til unike og sterke brukerdetaljer. Deaktiver Telnet og ekstern administrasjon dersom det ikke er nødvendig. Overvåk nettverk for uvanlig skanning mot porter som 22, 23, 80, 443, 7547, 8080 og 8443. Gjennomfør regelmessige revisjoner av IoT enheter, rutere og DVR systemer for å identifisere kompromittering og ukjente persistensmekanismer.
Miasma angrep rammer Microsoft på GitHub
En pågående supply chain kampanje kalt Miasma har kompromittert 73 GitHub repositories tilknyttet Microsoft (Azure, Azure‑Samples, Microsoft og MicrosoftDocs). GitHub har deaktivert repoene etter brudd på vilkår. Blant de rammede er sentrale Durable Task‑prosjekter på tvers av flere språk.
Angrepet knyttes til en re‑kompromittering av "durabletask" og utnytter tillitsmodellen i open source: ondsinnet kode publiseres med legitime nøkler. I nyere tilfeller ble skadevare pushet direkte til GitHub‑repos og trigges når utviklere åpner dem i verktøy som VS Code eller AI‑kodingsagenter.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.