Aquabot Botnet

វ៉ារ្យ៉ង់ botnet ដែលមានមូលដ្ឋានលើ Mirai ដែលត្រូវបានគេស្គាល់ថា Aquabot ត្រូវបានគេរកឃើញថាកំពុងព្យាយាមយ៉ាងសកម្មក្នុងការទាញយកកំហុសសុវត្ថិភាពដែលប៉ះពាល់ដល់ទូរស័ព្ទ Mitel ។ អ្នកវាយប្រហារមានបំណងរួមបញ្ចូលឧបករណ៍ទាំងនេះទៅក្នុង botnet ដែលអាចចាប់ផ្តើមការវាយប្រហារ Distributed Denial-of-Service (DDoS) ។

ភាពងាយរងគ្រោះនៅក្នុងការផ្តោត៖ CVE-2024-41710

កំហុសសុវត្ថិភាពគោលដៅ CVE-2024-41710 មានពិន្ទុ CVSS 6.8 ហើយកើតចេញពីភាពងាយរងគ្រោះនៃពាក្យបញ្ជានៅក្នុងដំណើរការចាប់ផ្ដើម។ កំហុសនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តនៅក្នុងបរិយាកាសប្រតិបត្តិការរបស់ទូរស័ព្ទ។

ឧបករណ៍ដែលរងផលប៉ះពាល់ និងព័ត៌មានលម្អិតអំពីបំណះ

ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់ម៉ូដែលទូរសព្ទ Mitel ជាច្រើន រួមមាន 6800 Series, 6900 Series, 6900w Series SIP Phones និង 6970 Conference Unit។ Mitel បានដោះស្រាយបញ្ហានេះនៅក្នុងខែកក្កដា ឆ្នាំ 2024 ប៉ុន្តែការកេងប្រវ័ញ្ចភស្តុតាងនៃគំនិត (PoC) បានក្លាយជាសាធារណៈនៅក្នុងខែសីហា ដែលអាចបើកទ្វារសម្រាប់តួអង្គគំរាមកំហែង។

ភាពងាយរងគ្រោះច្រើនជាងមួយនៅក្នុង Play

លើសពី CVE-2024-41710 Aquabot ត្រូវបានគេសង្កេតឃើញកំណត់គោលដៅលើភាពងាយរងគ្រោះបន្ថែម រួមមាន CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 និង CVE-2023-2023. botnet ក៏បានព្យាយាមទាញយកកំហុសការប្រតិបត្តិកូដពីចម្ងាយនៅក្នុងឧបករណ៍ Linksys E-series ដែលបង្ហាញពីផ្ទៃវាយប្រហារយ៉ាងទូលំទូលាយ។

Aquabot: Botnet ផ្អែកលើ Mirai ដែលមានប្រវត្តិ

Aquabot គឺជា botnet ដែលបានមកពីក្របខ័ណ្ឌ Mirai ដ៏ល្បីល្បាញ ដែលត្រូវបានរចនាឡើងយ៉ាងច្បាស់លាស់សម្រាប់ប្រតិបត្តិការការវាយប្រហារ DDoS ។ អ្នកស្រាវជ្រាវបាននឹងកំពុងតាមដានសកម្មភាពរបស់វាតាំងពីខែវិច្ឆិកា ឆ្នាំ 2023 ដោយមានភស្តុតាងនៃការវិវត្តជាបន្តបន្ទាប់។

ការទាញយកគុណវិបត្តិ: យន្តការវាយប្រហារ

សញ្ញាដំបូងនៃការកេងប្រវ័ញ្ចសកម្មប្រឆាំងនឹង CVE-2024-41710 បានលេចចេញនៅដើមខែមករា ឆ្នាំ 2025។ អ្នកវាយប្រហារដាក់ពង្រាយមេរោគ botnet ដោយដំណើរការស្គ្រីបសែល ដែលទាញយកបន្ទុកគំរាមកំហែងដោយប្រើពាក្យបញ្ជា 'wget' ។ វិធីសាស្ត្រវាយប្រហារប្រហាក់ប្រហែលនឹងការកេងប្រវ័ញ្ច PoC ដែលមានជាសាធារណៈ។

បំរែបំរួលបំបាំងកាយ និងកម្រិតខ្ពស់ជាងនេះ។

វ៉ារ្យ៉ង់ Aquabot ដែលពាក់ព័ន្ធនឹងការវាយប្រហារទាំងនេះ ហាក់ដូចជាការវាយលុកទីបីនៃមេរោគ។ វាណែនាំមុខងារ 'report_kill' ប្រលោមលោក ដែលរាយការណ៍ត្រឡប់ទៅម៉ាស៊ីនមេ Command-and-Control (C2) នៅពេលណាដែលដំណើរការ botnet ត្រូវបានបញ្ចប់។ ទោះយ៉ាងណាក៏ដោយ មិនមានភស្តុតាងដែលថាមុខងារនេះបង្កឱ្យមានការឆ្លើយតបភ្លាមៗពីម៉ាស៊ីនមេនោះទេ។

លើសពីនេះ វ៉ារ្យ៉ង់ថ្មីនេះបន្លំខ្លួនជា 'httpd.x86' ដើម្បីជៀសវាងការរកឃើញ និងត្រូវបានកម្មវិធីដើម្បីបញ្ចប់ដំណើរការជាក់លាក់ ដូចជាសែលមូលដ្ឋាន។ ការកែលម្អទាំងនេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដើម្បីធ្វើឱ្យ Aquabot កាន់តែគេចចេញ និងមានសក្តានុពលរកឃើញសកម្មភាព botnet ប្រកួតប្រជែង។

ការលក់ការចូលប្រើ៖ ប្រតិបត្តិការ DDoS សម្រាប់ជួលនៅក្រោមដី

សញ្ញាចង្អុលទៅតួអង្គគំរាមកំហែងនៅពីក្រោយ Aquabot ផ្តល់ botnet របស់ពួកគេជាសេវាកម្ម DDoS នៅលើ Telegram ។ ពួកគេដំណើរការក្រោមឈ្មោះក្លែងក្លាយដូចជា Cursinq Firewall, The Eye Services និង The Eye Botnet ដោយប្រើប្រាស់ម៉ាស៊ីនដែលសម្របសម្រួលដើម្បីផ្តល់នូវសមត្ថភាពវាយប្រហារដល់អតិថិជនដែលបង់ប្រាក់។

រូបភាពធំជាងនេះ៖ ការគំរាមកំហែងដ៏យូរអង្វែងរបស់ Mirai

ការកើតឡើងវិញនៃការគំរាមកំហែងដែលមានមូលដ្ឋានលើ Mirai ដូចជា Aquabot បង្ហាញពីហានិភ័យបន្តដែលទាក់ទងនឹងឧបករណ៍ដែលភ្ជាប់អ៊ីនធឺណិត។ ឧបករណ៍ទាំងនេះជាច្រើនទទួលរងពីសុវត្ថិភាពមិនគ្រប់គ្រាន់ កម្មវិធីហួសសម័យ ឬព័ត៌មានបញ្ជាក់អត្តសញ្ញាណលំនាំដើម ដែលធ្វើឱ្យពួកវាក្លាយជាគោលដៅងាយស្រួលសម្រាប់ការកេងប្រវ័ញ្ច។

យុត្តិកម្មដែលបំភាន់ពីអ្នកវាយប្រហារ

តួអង្គគំរាមកំហែងតែងតែអះអាងថាប្រតិបត្តិការ botnet របស់ពួកគេគឺសុទ្ធសាធសម្រាប់ការធ្វើតេស្ត ឬគោលបំណងអប់រំ ដោយព្យាយាមបំភាន់អ្នកស្រាវជ្រាវ និងការអនុវត្តច្បាប់។ ទោះជាយ៉ាងណាក៏ដោយ ការវិភាគបន្ថែមជាញឹកញាប់បង្ហាញពីចេតនាពិតរបស់ពួកគេ - ការផ្តល់ជូននូវសេវាកម្ម DDoS ឬអួតដោយបើកចំហអំពីសកម្មភាព botnet របស់ពួកគេនៅក្នុងវេទិការក្រោមដី និងបណ្តាញ Telegram ។