InfectedSlurs Botnet

មេរោគ botnet ដែលបានរកឃើញនាពេលថ្មីៗនេះ 'InfectedSlurs' កំពុងប្រើប្រាស់ភាពងាយរងគ្រោះសូន្យថ្ងៃចំនួនពីរសម្រាប់ Remote Code Execution (RCE) ដើម្បីសម្របសម្រួលឧបករណ៍រ៉ោតទ័រ និងឧបករណ៍ថតវីដេអូ (NVR)។ កម្មវិធីគំរាមកំហែងនេះគ្រប់គ្រងឧបករណ៍ដែលឆ្លងមេរោគ ដោយបញ្ចូលពួកវាទៅក្នុង DDoS (Distributed Denial of Service) swarm ដែលទំនងជាត្រូវបានជួលសម្រាប់ចំណេញផ្នែកហិរញ្ញវត្ថុ។ អ្នកវិភាគណែនាំថា សញ្ញាដំបូងនៃសកម្មភាពរបស់ botnet ត្រលប់ទៅចុងឆ្នាំ 2022 ប៉ុន្តែវាត្រូវបានរកឃើញជាលើកដំបូងនៅក្នុងខែតុលា ឆ្នាំ 2023។

InfectedSlurs Botnet បានគ្រប់គ្រងដើម្បីរក្សានៅក្រោមរ៉ាដា

អ្នកវិភាគបានរកឃើញអាកប្បកិរិយាគួរឱ្យសង្ស័យដែលពាក់ព័ន្ធនឹងការស៊ើបអង្កេតប្រេកង់ទាបព្យាយាមផ្ទៀងផ្ទាត់តាមរយៈសំណើ POST បន្ទាប់មកដោយការព្យាយាមចាក់ពាក្យបញ្ជា។ ដោយប្រើប្រាស់ទិន្នន័យដែលមាន អ្នកស្រាវជ្រាវបានធ្វើការស្កេនយ៉ាងទូលំទូលាយនៅលើអ៊ីនធឺណិត ហើយបានកំណត់ថាឧបករណ៍ដែលរងផលប៉ះពាល់ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុមហ៊ុនផលិត NVR ជាក់លាក់មួយ។ ការរកឃើញរបស់ពួកគេបានបង្ហាញថា botnet កេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះនៃការប្រតិបត្តិកូដពីចម្ងាយ (RCE) ដែលមិនបានរាយការណ៍ ដើម្បីទទួលបានការចូលឧបករណ៍ដោយគ្មានការអនុញ្ញាត។

នៅពេលត្រួតពិនិត្យកាន់តែជិត វាត្រូវបានបង្ហាញថាមេរោគទាញយកអត្ថប្រយោជន៍ពីព័ត៌មានសម្ងាត់លំនាំដើមដែលមាននៅក្នុងសៀវភៅណែនាំរបស់អ្នកលក់សម្រាប់ផលិតផល NVR ផ្សេងៗ។ វាប្រើប្រាស់ព័ត៌មានបញ្ជាក់អត្តសញ្ញាណទាំងនេះដើម្បីដំឡើងម៉ាស៊ីនភ្ញៀវ bot និងអនុវត្តសកម្មភាពព្យាបាទផ្សេងទៀត។ ស្វែងយល់បន្ថែមលើការស៊ើបអង្កេត វាត្រូវបានគេរកឃើញថា botnet ក៏កំណត់គោលដៅរ៉ោតទ័រ LAN ឥតខ្សែដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយ ដែលពេញនិយមក្នុងចំណោមអ្នកប្រើប្រាស់តាមផ្ទះ និងសណ្ឋាគារ។ រ៉ោតទ័រនេះងាយនឹងមានបញ្ហា RCE សូន្យថ្ងៃផ្សេងទៀតដែលត្រូវបានកេងប្រវ័ញ្ចដោយមេរោគសម្រាប់សកម្មភាពរបស់វា។

InfectedSlurs បង្ហាញពីការកែលម្អតិចតួចលើ Mirai

មេរោគដែលបានកំណត់អត្តសញ្ញាណ ដែលមានឈ្មោះថា 'InfectedSlurs' ដោយអ្នកស្រាវជ្រាវ ទទួលបានឈ្មោះរបស់វាពីការប្រើប្រាស់ភាសាប្រមាថដែលមានវត្តមាននៅក្នុងដែន Command-and-Control (C2, C&C) និងខ្សែអក្សររឹង។ ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលហាក់ដូចជាជួយសម្រួលដល់ប្រតិបត្តិការរបស់ hailBot បង្ហាញការផ្តោតអារម្មណ៍គួរឱ្យកត់សម្គាល់។ ការគំរាមកំហែងនេះត្រូវបានកំណត់ថាជាប្រភេទ JenX Mirai ។ លើសពីនេះ ការស៊ើបអង្កេតបានរកឃើញគណនី Telegram ដែលជាប់ទាក់ទងនឹងចង្កោម ទោះបីជាគណនីនេះត្រូវបានលុបតាំងពីពេលនោះមកក៏ដោយ។

អ្នកប្រើប្រាស់នៅពីក្រោយគណនីនេះបានចែករំលែករូបថតអេក្រង់ដែលបង្ហាញពីរូបយន្តជិតមួយម៉ឺននាក់ដោយប្រើពិធីការ Telnet និង bots បន្ថែមចំនួន 12,000 ដែលកំណត់គោលដៅលើប្រភេទឧបករណ៍/ម៉ាកជាក់លាក់ដូចជា 'Vacron,' 'ntel,' និង 'UTT-Bots'។

តាមការវិភាគ ការកែប្រែកូដតិចតួចបំផុតត្រូវបានកំណត់បើប្រៀបធៀបទៅនឹង Mirai Botnet ដើម ដែលបង្ហាញថា InfectedSlurs ដំណើរការជាឧបករណ៍ DDoS ដែលអាចផ្សព្វផ្សាយដោយខ្លួនឯង។ វាគាំទ្រការវាយប្រហារដែលប្រើ SYN, UDP និង HTTP GET ស្នើសុំទឹកជំនន់។

ស្រដៀងទៅនឹង Mirai ដែរ InfectedSlurs ខ្វះយន្តការតស៊ូ។ ដោយសារមិនមានបំណះដែលអាចប្រើបានសម្រាប់ឧបករណ៍ដែលរងផលប៉ះពាល់ ការរំខានជាបណ្ដោះអាសន្ន botnet អាចសម្រេចបានដោយការចាប់ផ្ដើមឧបករណ៍ NVR និងរ៉ោតទ័រឡើងវិញ។