TuxBot v3 Evolution: Mối đe dọa IoT mới với dấu vết từ AI
Các nhà nghiên cứu tại Unit 42 vừa phát hiện TuxBot v3 Evolution, một framework botnet IoT phức tạp có dấu hiệu được phát triển với sự hỗ trợ từ các mô hình ngôn ngữ lớn...
Các chuyên gia an ninh mạng tại Palo Alto Networks Unit 42 vừa công bố báo cáo về TuxBot v3 Evolution, một framework botnet IoT mới. Điểm đáng chú ý nhất của mã độc này là sự hiện diện của các đoạn mã và chú thích cho thấy nó được phát triển với sự trợ giúp từ các mô hình ngôn ngữ lớn (LLM).
Table Of Content
Dấu ấn của AI trong mã nguồn
Theo Unit 42, mặc dù LLM đã hỗ trợ đắc lực cho kẻ tấn công trong việc xây dựng cấu trúc botnet, nhưng kết quả không hoàn hảo. Các nhà nghiên cứu tìm thấy nhiều đoạn mã chứa các suy luận “chain-of-thought” của AI bị bỏ sót trong phần chú thích, cùng với đó là một số chức năng không hoạt động chính xác do lỗi logic mà lẽ ra có thể được khắc phục nếu có sự kiểm duyệt thủ công kỹ lưỡng.
Kiến trúc đa nền tảng và khả năng tấn công
TuxBot v3 Evolution là một framework dạng module với cấu trúc tinh vi:
- Bot agent: Được viết bằng C, hỗ trợ biên dịch chéo cho nhiều kiến trúc chip như ARM, MIPS, x86_64 và RISC-V.
- C2 Server: Xây dựng bằng Go, tích hợp bảng điều khiển DDoS-for-hire.
- Cơ chế tấn công: Sử dụng danh sách 1.496 cặp thông tin đăng nhập để brute-force Telnet và khai thác hơn 30 lỗ hổng (vulnerability) trên các thiết bị IoT.
- Persistence: Duy trì sự hiện diện trên thiết bị bị nhiễm thông qua systemd, cron job và tiến trình watchdog.
Để giao tiếp với máy chủ C2, mã độc này sử dụng kênh TCP mã hóa, kết hợp với nhiều cơ chế dự phòng như DGA (Domain Generation Algorithm), giao thức P2P, IRC, DNS TXT và HTTP polling. Ngoài ra, nó còn tích hợp các tính năng chống phân tích (anti-debugging/anti-VM) để né tránh sự phát hiện.
Liên hệ với hệ sinh thái Keksec
Phân tích kỹ thuật cho thấy TuxBot v3 Evolution có mối liên hệ mật thiết với các botnet như Mirai, AISURU và Wuhan, đồng thời vay mượn một phần từ bộ công cụ MHDDoS. Các nhà nghiên cứu nhận định rằng TuxBot thuộc sở hữu của nhóm Keksec – một nhóm tội phạm mạng nổi tiếng với việc vận hành song song nhiều biến thể botnet IoT.
Mặc dù một số thành phần trong phiên bản hiện tại chưa hoàn thiện, sự kết hợp giữa kiến trúc botnet truyền thống và khả năng tự động hóa từ AI cho thấy xu hướng phát triển mã độc ngày càng tinh vi và nhanh chóng hơn, cho phép một cá nhân đơn lẻ có thể tạo ra các công cụ tấn công đa năng.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.