بات نت AIRASHI
یک آسیبپذیری روز صفر در مسیریابهای cnPilot کمبیوم شبکه به جدیدترین ابزار برای مجرمان سایبری تبدیل شده است که یک نوع باتنت AISURU به نام AIRASHI را به کار میگیرند. این کمپین که از ژوئن 2024 فعال است، از این نقص برای سازماندهی حملات قدرتمند انکار سرویس توزیع شده (DDoS) سوء استفاده می کند. محققان امنیتی جزئیات مربوط به آسیب پذیری را برای محدود کردن استفاده نادرست از آن در حالی که تحقیقات در حال انجام است، پنهان کرده اند.
فهرست مطالب
تاریخچه آسیب پذیری های مورد بهره برداری
بات نت AIRASHI به یک بردار حمله محدود نمی شود. این یک سری از آسیبپذیریها، از جمله CVE-2013-3307، CVE-2016-20016، CVE-2017-5259، CVE-2018-14558، CVE-2020-25499، CVE-2020-20015، CVE-2020-33015، CVE-2013-3307، و CVE-2022-40005، CVE-2022-44149، CVE-2023-287 و سایر نقص های موجود در دوربین های IP AVTECH، DVR های LILIN و دستگاه های Shenzhen TVT. AIRASHI با بهرهبرداری از این طیف گسترده از نقاط ضعف، به رشد و پیشرفت خود ادامه میدهد.
قابلیتهای حمله DDoS: نگاهی دقیقتر
اپراتورهای پشتیبان AIRASHI از فعالیت های خود خجالتی نیستند و نتایج آزمایش قابلیت های DDoS بات نت خود را در تلگرام ارسال می کنند. داده های تاریخی نشان می دهد که ظرفیت حمله آن در حدود 1-3 ترابیت بر ثانیه تثبیت شده است. از نظر جغرافیایی، بیشتر دستگاههای در معرض خطر در برزیل، روسیه، ویتنام و اندونزی قرار دارند. با این حال، اهداف در مناطقی مانند چین، ایالات متحده، لهستان و روسیه متمرکز هستند، جایی که عملیات مضر باتنت بیشترین اختلال را ایجاد کرده است.
تکامل AISURU به AIRASHI
AIRASHI از باتنت AISURU سرچشمه میگیرد که قبلاً در آگوست 2024 در جریان یک حمله DDoS در Steam که همزمان با انتشار بازی Black Myth: Wukong بود، شناسایی شد. پس از توقف موقت فعالیتهای خود در سپتامبر 2024، باتنت با ویژگیهای بهروزرسانیشده با کد «kitty» دوباره ظهور کرد و تا نوامبر بهعنوان AIRASHI اصلاح شد.
یک بات نت دو منظوره: AIRASHI-DDoS و AIRASHI-Proxy
AIRASHI به دو شکل مجزا فعالیت می کند:
- AIRASHI-DDoS : این نوع که در اواخر اکتبر 2024 شناسایی شد، بر حملات DDoS تمرکز دارد، اما قابلیتهای خود را به اجرای دستور دلخواه و دسترسی معکوس به پوسته گسترش میدهد.
- AIRASHI-Proxy : این تغییر که در دسامبر 2024 رونمایی شد، عملکرد پروکسی را اضافه میکند و نشاندهنده تنوع خدمات فراتر از عملیات DDoS است.
پیشبرد ارتباطات و رمزگذاری
برای اطمینان از عملیات ایمن و کارآمد، AIRASHI از یک پروتکل شبکه جدید استفاده می کند که از الگوریتم های رمزگذاری HMAC-SHA256 و CHACHA20 استفاده می کند. در حالی که AIRASHI-DDoS از 13 نوع پیام متمایز پشتیبانی می کند، AIRASHI-Proxy از رویکرد ساده تری با پنج نوع پیام استفاده می کند. علاوه بر این، باتنت بهصورت پویا روشهای خود را برای بازیابی جزئیات سرور Command-and-Control (C2) از طریق کوئریهای DNS تنظیم میکند.
باتنتها و دستگاههای اینترنت اشیا: یک تهدید دائمی سایبری
این یافتهها بهرهبرداری مداوم مجرمان سایبری از آسیبپذیریهای دستگاه اینترنت اشیا را نشان میدهد. دستگاه های اینترنت اشیا هم به عنوان نقطه ورود برای بازیگران بد و هم به عنوان پایه ای برای ساخت بات نت های قوی عمل می کنند. با استفاده از این دستگاههای آسیبدیده، بازیگران تهدید قدرت حملات DDoS را تقویت میکنند و نیاز حیاتی به افزایش امنیت دستگاه در اکوسیستم اینترنت اشیا را نشان میدهند.
