AVrecon Botnet Malware

ចាប់ពីខែឧសភា ឆ្នាំ 2021 តទៅ មេរោគលីនុចលាក់បាំងយ៉ាងខ្លាំងដែលត្រូវបានគេស្គាល់ថា AVrecon ត្រូវបានគេប្រើប្រាស់ដើម្បីជ្រៀតចូលរ៉ោតទ័រការិយាល័យ/ការិយាល័យផ្ទះតូច (SOHO) ជាង 70,000 ដែលដំណើរការលើប្រព័ន្ធដែលមានមូលដ្ឋានលើលីនុច។ រ៉ោតទ័រដែលត្រូវបានសម្របសម្រួលទាំងនេះត្រូវបានបញ្ចូលទៅក្នុង botnet ដោយបម្រើគោលបំណងពីរ៖ ការបំផ្លិចបំផ្លាញកម្រិតបញ្ជូន និងបង្កើតសេវាកម្មប្រូកស៊ីលំនៅដ្ឋានដែលលាក់បាំង។ យោងតាមអ្នកជំនាញ infosec ក្នុងចំណោមឧបករណ៍ 70 000 ដែលត្រូវបានសម្របសម្រួលដោយ AVrecon ប្រហែល 40 000 ត្រូវបានបញ្ចូលទៅក្នុង botnet ។

តាមរយៈការប្រើប្រាស់ botnet នេះ ប្រតិបត្តិករនៃ AVrecon អាចលាក់បាំងនូវកិច្ចការដែលបង្កគ្រោះថ្នាក់បានយ៉ាងមានប្រសិទ្ធភាព។ សកម្មភាពទាំងនេះរួមមានវិសាលគមទូលំទូលាយ រាប់ចាប់ពីគម្រោងការផ្សាយពាណិជ្ជកម្មឌីជីថលក្លែងបន្លំ រហូតដល់ការវាយប្រហារដោយបាញ់ពាក្យសម្ងាត់។ ភាពអាចរកបាននៃសេវាកម្មប្រូកស៊ីលំនៅដ្ឋានដែលលាក់ទុកផ្តល់ឱ្យពួកគេនូវមធ្យោបាយមួយដើម្បីធ្វើអនាមិកប្រតិបត្តិការរបស់ពួកគេ និងទាញយកហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញដែលត្រូវបានសម្របសម្រួលដើម្បីអនុវត្តសកម្មភាពមិនសមរម្យរបស់ពួកគេដោយមិនបានរកឃើញ។

មេរោគ AVrecon ដំណើរការដោយស្ងៀមស្ងាត់នៅលើឧបករណ៍ដែលបំពាន

ចាប់តាំងពីការរកឃើញដំបូងរបស់ខ្លួនក្នុងខែឧសភា ឆ្នាំ 2021 AVrecon បានបង្ហាញសមត្ថភាពគួរឱ្យកត់សម្គាល់ក្នុងការគេចពីការរកឃើញ។ ដំបូងឡើយ វាបានកំណត់គោលដៅទៅលើរ៉ោតទ័រ Netgear ហើយអាចរក្សាការរកឃើញមិនឃើញអស់រយៈពេលជាង 2 ឆ្នាំ ដោយពង្រីកការឈានទៅដល់ជាបន្តបន្ទាប់ដោយចាប់យក bots ថ្មី។ ការរីកចម្រើនឥតឈប់ឈរនេះបានជំរុញឱ្យវាក្លាយជាបណ្តាញ botnets ដ៏ធំបំផុតមួយ ដែលផ្តោតលើរ៉ោតទ័រការិយាល័យ/ផ្ទះការិយាល័យតូច (SOHO) ក្នុងរយៈពេលថ្មីៗនេះ។

តួអង្គគម្រាមកំហែងនៅពីក្រោយមេរោគនេះ ហាក់ដូចជាបានផ្តោតជាយុទ្ធសាស្ត្រលើការកេងប្រវ័ញ្ចឧបករណ៍ SOHO ដែលអ្នកប្រើប្រាស់មិនសូវងាយនឹងជួសជុលប្រឆាំងនឹងភាពងាយរងគ្រោះ និងការប៉ះពាល់ (CVEs) ដែលគេស្គាល់។ តាមរយៈការអនុម័តវិធីសាស្រ្តដែលមានការប្រុងប្រយ័ត្នជាងមុន ប្រតិបត្តិករអាចដំណើរការដោយលួចលាក់សម្រាប់រយៈពេលបន្ថែម ដោយគេចចេញពីការរកឃើញអស់រយៈពេលជាង 2 ឆ្នាំ។ លក្ខណៈលាក់បាំងនៃមេរោគនេះមានន័យថាម្ចាស់ឧបករណ៍ឆ្លងមេរោគកម្រជួបប្រទះការរំខាននៃសេវាកម្មគួរឱ្យកត់សម្គាល់ ឬការបាត់បង់កម្រិតបញ្ជូន ដែលអនុញ្ញាតឱ្យ botnet បន្តមិនអាចរកឃើញបាន។

នៅពេលដែលរ៉ោតទ័រត្រូវបានឆ្លងមេរោគនោះ មេរោគនឹងបន្តបញ្ជូនព័ត៌មានរបស់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដែលបានបង្កប់។ ក្រោយមក ម៉ាស៊ីនដែលលួចចូលទទួលបានការណែនាំដើម្បីបង្កើតការប្រាស្រ័យទាក់ទងជាមួយសំណុំនៃម៉ាស៊ីនមេដាច់ដោយឡែកដែលគេស្គាល់ថាជាម៉ាស៊ីនមេ C2 ដំណាក់កាលទីពីរ។ ក្នុងអំឡុងពេលស៊ើបអង្កេតរបស់ពួកគេ អ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់ម៉ាស៊ីនមេគ្រប់គ្រងដំណាក់កាលទីពីរសរុបចំនួន 15 ។ ម៉ាស៊ីនមេទាំងនេះបានដំណើរការតាំងពីខែតុលាឆ្នាំ 2021 យ៉ាងតិចណាស់ ដែលកំណត់ដោយព័ត៌មានវិញ្ញាបនបត្រ x.509 ។

វត្តមានរបស់ម៉ាស៊ីនមេ C2 ដំណាក់កាលទី 2 ទាំងនេះបង្ហាញពីហេដ្ឋារចនាសម្ព័ន្ធ និងស្ថាប័នដ៏ទំនើបដែលត្រូវបានជួលដោយតួអង្គគំរាមកំហែងនៅពីក្រោយមេរោគ។ វាគូសបញ្ជាក់បន្ថែមអំពីបញ្ហាប្រឈមដែលប្រឈមមុខដោយអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតក្នុងការប្រយុទ្ធប្រឆាំង និងកាត់បន្ថយផលប៉ះពាល់នៃ botnet ជាប់លាប់ និងពិបាកយល់នេះ។

ឧបករណ៍ SOHO ដែលត្រូវបានសម្របសម្រួលអាចនាំឱ្យមានផលវិបាកធ្ងន់ធ្ងរ

នៅក្នុងសេចក្តីណែនាំប្រតិបត្តិការចង (BOD) ដែលទើបចេញដោយទីភ្នាក់ងារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ (CISA) ទីភ្នាក់ងារសហព័ន្ធរបស់សហរដ្ឋអាមេរិកត្រូវបានតម្រូវឱ្យចាត់វិធានការជាបន្ទាន់ដើម្បីការពារឧបករណ៍បណ្តាញដែលបង្ហាញដោយអ៊ីនធឺណិត រួមទាំងរ៉ោតទ័រ SOHO ។ ការណែនាំនេះតម្រូវឱ្យភ្នាក់ងារសហព័ន្ធពង្រឹងឧបករណ៍ទាំងនេះក្នុងរយៈពេល 14 ថ្ងៃបន្ទាប់ពីការរកឃើញ ដើម្បីការពារការប៉ុនប៉ងបំពានដែលអាចកើតមាន។

ហេតុផលនៅពីក្រោយភាពបន្ទាន់នេះគឺថាការសម្របសម្រួលប្រកបដោយជោគជ័យនៃឧបករណ៍បែបនេះនឹងផ្តល់ឱ្យអ្នកគំរាមកំហែងនូវសមត្ថភាពក្នុងការបញ្ចូលរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធវាយប្រហាររបស់ពួកគេ។ នេះ, ជាវេន, នឹងបម្រើជា launchpad សម្រាប់ចលនានៅពេលក្រោយចូលទៅក្នុងបណ្តាញខាងក្នុងនៃអង្គភាពគោលដៅ, ដូចដែលបានសង្កត់ធ្ងន់ដោយ CISA នៅក្នុងការព្រមានរបស់ពួកគេ។

ការប្រើប្រាស់ AVrecon ដោយតួអង្គគំរាមកំហែងបម្រើគោលបំណងពីរ៖ ចរាចរប្រូកស៊ី និងចូលរួមក្នុងសកម្មភាពមិនសមរម្យដូចជាការបាញ់ពាក្យសម្ងាត់។ ម៉ូឌុល operandi ខុសគ្នានេះកំណត់វាខុសពីការរកឃើញពីមុនរបស់យើងនៃមេរោគដែលមានមូលដ្ឋានលើរ៉ោតទ័រ ដែលផ្តោតជាចម្បងលើការកំណត់គោលដៅបណ្តាញដោយផ្ទាល់។

ទំនាញនៃការគំរាមកំហែងនេះកើតឡើងពីការពិតដែលថារ៉ោតទ័រ SOHO ជាធម្មតាដំណើរការនៅខាងក្រៅបរិវេណសុវត្ថិភាពធម្មតា។ អាស្រ័យហេតុនេះ សមត្ថភាពរបស់អ្នកការពារក្នុងការរកឃើញសកម្មភាពមិនមានសុវត្ថិភាពត្រូវបានថយចុះយ៉ាងខ្លាំង។ ស្ថានភាពនេះបង្ហាញពីសារៈសំខាន់ដ៏សំខាន់នៃការធានាឧបករណ៍ទាំងនេះភ្លាមៗ ដើម្បីកាត់បន្ថយហានិភ័យនៃការរំលោភដែលអាចកើតមាន និងបង្កើនសុវត្ថិភាពបណ្តាញទាំងមូល។