قیمت چند مجوز تخفیف
پایگاه داده تهدید بات نت ها Kimwolf Botnet Campaign

Kimwolf Botnet Campaign

تا Mezo در بات نت ها
ترجمه به:

محققان امنیتی یک بات‌نت عظیم متمرکز بر اندروید به نام Kimwolf را کشف کرده‌اند که با سوءاستفاده از شبکه‌های پروکسی مسکونی، بیش از دو میلیون دستگاه را به خطر انداخته است. این بدافزار، سخت‌افزارهای مصرفی روزمره را به یک پلتفرم حمله جهانی تبدیل می‌کند، بی‌سروصدا ترافیک مخرب را هدایت می‌کند و عملیات انکار سرویس توزیع‌شده (DDoS) را در مقیاس بزرگ امکان‌پذیر می‌سازد. مشاهدات نشان می‌دهد که تقریباً ۱۲ میلیون آدرس IP منحصر به فرد در هر هفته وجود دارد که نشان‌دهنده وسعت فوق‌العاده این عملیات است.

ریشه‌ها، تکامل و پیوندها به AISURU

کیم‌ولف اولین بار در دسامبر ۲۰۲۵ به صورت عمومی مورد تجزیه و تحلیل قرار گرفت، زمانی که محققان پیوندهای فنی و زیرساختی قوی با بات‌نت دیگری به نام AISURU را شناسایی کردند. شواهد نشان می‌دهد که کیم‌ولف حداقل از آگوست ۲۰۲۵ فعال بوده و نشان‌دهنده تکامل AISURU مبتنی بر اندروید است. محققان به طور فزاینده‌ای معتقدند که این بات‌نت چندین کمپین DDoS رکوردشکن را که تا پایان سال گذشته مشاهده شده بود، راه‌اندازی کرده است.

ردپای جهانی عفونت و دستگاه‌های هدف

اگرچه کیم‌ولف حضور جهانی دارد، اما آلودگی‌ها به شدت در ویتنام، برزیل، هند و عربستان سعودی متمرکز شده‌اند. بخش قابل توجهی از سیستم‌های آلوده، تلویزیون‌های هوشمند و گیرنده‌های دیجیتال غیررسمی اندروید هستند که بسیاری از آنها با تنظیمات پیش‌فرض ناامن عرضه می‌شوند.

حداقل ۶۷٪ از دستگاه‌های متصل، یک سرویس Android Debug Bridge (ADB) غیرمجاز را در معرض نمایش قرار می‌دهند که آنها را برای کنترل از راه دور باز می‌گذارد. محققان گمان می‌کنند که بسیاری از این محصولات قبل از رسیدن به دست مصرف‌کنندگان، از قبل با کیت‌های توسعه نرم‌افزار (SDK) مرتبط با پروکسی بارگذاری می‌شوند و عملاً آنها را در اکوسیستم‌های پروکسی ثبت می‌کنند که بعداً به کانال‌های توزیع بدافزار تبدیل می‌شوند.

چگونه کیم‌ولف کنترل را گسترش داده و حفظ می‌کند

اپراتورهای کیم‌ولف برای اسکن اینترنت به دنبال دستگاه‌های اندرویدی که سرویس‌های ADB در معرض خطر را اجرا می‌کنند، به شبکه‌های پروکسی مسکونی بزرگ متکی هستند. پس از شناسایی، بدافزار از راه دور نصب می‌شود و دستگاه را به یک رله ترافیک و گره حمله تبدیل می‌کند. محموله اصلی یک شنونده روی پورت ۴۰۸۶۰ باز می‌کند و ارتباط خروجی با ۸۵.۲۳۴.۹۱[.]۲۴۷:۱۳۳۷ برقرار می‌کند که از آن دستورات عملیاتی را دریافت می‌کند.

تا دسامبر ۲۰۲۵، آلودگی‌ها به آدرس‌های IP پروکسی اجاره شده از IPIDEA مستقر در چین ردیابی شدند، ارائه‌دهنده‌ای که خود را به عنوان پیشروترین سرویس IP پروکسی در جهان با بیش از ۶.۱ میلیون IP به‌روزرسانی‌شده روزانه و ۶۹۰۰۰ آدرس جدید در هر روز تبلیغ می‌کند. در ۲۷ دسامبر، IPIDEA پس از آنکه شواهدی مبنی بر تونل‌زنی مهاجمان از طریق نرم‌افزار پروکسی نصب‌شده توسط مشتری برای رسیدن به دستگاه‌های داخلی آشکار شد، یک به‌روزرسانی امنیتی را منتشر کرد که دسترسی به شبکه‌های محلی و پورت‌های حساس را مسدود می‌کرد.

تحلیلگران، افشای اطلاعات ایجاد شده توسط این تکنیک را بی‌سابقه توصیف کردند که میلیون‌ها سیستم مصرف‌کننده را مستقیماً در مسیر سوءاستفاده خودکار قرار می‌دهد.

کسب درآمد: پروکسی‌ها، پیلودها و حملات پولی

از همان ابتدا، انگیزه‌های مالی کیم‌ولف مشخص بود. اپراتورها به شدت زیرساخت‌های خود را تجاری‌سازی کردند و از طریق کانال‌های مختلف، دستگاه‌های آسیب‌دیده را به دارایی‌های سودآور تبدیل کردند:

  • فروش دسترسی پروکسی مسکونی، که با قیمت ارزان 0.20 دلار برای هر گیگابایت یا حدود 1400 دلار در ماه برای پهنای باند نامحدود تبلیغ می‌شد، که باعث شد بسیاری از سرویس‌های پروکسی به سرعت از آن استفاده کنند.
  • استقرار SDK های کسب درآمد ثانویه، به ویژه SDK Plainproxies Byteconnect، که وظایف پروکسی پولی را از یک سرور فرمان به دستگاه‌های آلوده از طریق ۱۱۹ سرور رله اختصاصی هدایت می‌کند.
  • سوءاستفاده از بات‌نت برای عملیات جرایم سایبری، از جمله فعالیت‌های گسترده DDoS و کمپین‌های مشاهده‌شده‌ی جعل اعتبارنامه علیه سرویس‌های IMAP و پلتفرم‌های آنلاین محبوب.

وجود دستگاه‌های تلویزیون از پیش آلوده‌شده و ادغام SDKهای اشتراک‌گذاری پهنای باند تجاری، قویاً نشان‌دهنده‌ی همکاری عمیق‌تر بین اپراتورهای بات‌نت و بخش‌هایی از اقتصاد پروکسی است.

اقدامات دفاعی و کاهش ریسک

برای کاهش تهدیدات مشابه، اقدامات هماهنگ در هر دو محیط ارائه دهندگان خدمات و کاربران نهایی مورد نیاز است:

  • شبکه‌های پروکسی باید ترافیکی که به مقصد محدوده آدرس‌های RFC 1918 است را مسدود کنند و از دسترسی مشتریان خارجی به شبکه‌های خصوصی داخلی که دستگاه‌های مصرف‌کننده در آن قرار دارند، جلوگیری کنند.
  • سازمان‌ها و افراد باید دسترسی احراز هویت نشده به ADB را در سیستم‌های اندروید، به ویژه دستگاه‌های تعبیه‌شده و دستگاه‌های اینترنت اشیا که اغلب با پیش‌فرض‌های ناامن عرضه می‌شوند، غیرفعال یا محدود کنند.

بدون این کنترل‌ها، اکوسیستم‌های پروکسی مسکونی همچنان پوشش ایده‌آلی برای استقرار بدافزار در مقیاس بزرگ و گسترش بات‌نت فراهم می‌کنند.

پرطرفدار

Kimwolf Botnet Campaign

بات نت ها
محققان امنیتی یک بات‌نت عظیم متمرکز بر اندروید به نام Kimwolf را کشف کرده‌اند که با سوءاستفاده از شبکه‌های پروکسی مسکونی، بیش از دو میلیون دستگاه را به خطر انداخته است. این بدافزار، سخت‌افزارهای مصرفی روزمره را به یک پلتفرم حمله جهانی تبدیل می‌کند، بی‌سروصدا ترافیک مخرب را هدایت می‌کند و عملیات انکار سرویس توزیع‌شده (DDoS) را در مقیاس بزرگ امکان‌پذیر می‌سازد. مشاهدات نشان می‌دهد که تقریباً ۱۲...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
29,237
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...