មេរោគ Botnet ដែលមានចរិតដូចពពួក Worm ផ្តោតលើឧបករណ៍ផ្ទុក Redis ដ៏ពេញនិយម

ក្រុមហេគឃ័រដែលមិនស្គាល់អត្តសញ្ញាណមួយក្រុមបានបើកការវាយប្រហារដោយប្រើមេរោគដែលមានលក្ខណៈពិសេស និងគួរឱ្យកត់សម្គាល់ដែលកំណត់គោលដៅដាក់ពង្រាយ Redis ដែលអាចចូលប្រើបានជាសាធារណៈ។ Redis គឺជាជម្រើសដ៏ពេញនិយមរបស់ក្រុមហ៊ុនធំៗដូចជា Amazon, Hulu និង Tinder សម្រាប់ការផ្ទុកទិន្នន័យ។ លក្ខណៈពិសេសដ៏គួរឱ្យចាប់អារម្មណ៍បំផុតរបស់មេរោគគឺអាកប្បកិរិយាដូចដង្កូវរបស់វា ដែលអនុញ្ញាតឱ្យវាផ្សព្វផ្សាយដោយខ្លួនឯង ឬចម្លងតាមប្រព័ន្ធនានាដោយគ្មានអន្តរាគមន៍ពីមនុស្ស បន្ទាប់ពីទទួលបានសិទ្ធិចូលប្រើបណ្តាញ ដូចដែលបានគូសបញ្ជាក់ដោយអ្នកស្រាវជ្រាវ។

ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានជួបប្រទះបញ្ហាទាក់ទងនឹងមេរោគដែលត្រូវបានគេហៅថា " P2Pinfect ." សមត្ថភាពគួរឱ្យកត់សម្គាល់របស់វាក្នុងការរីករាលដាលដោយស្វ័យប្រវត្តិ និងឆ្លងដល់ការដាក់ពង្រាយ Redis ដែលងាយរងគ្រោះផ្សេងទៀតបានទាក់ទាញចំណាប់អារម្មណ៍របស់ពួកគេ។ ឥរិយាបទផ្សព្វផ្សាយដោយខ្លួនឯងនេះបង្កើនការព្រួយបារម្ភយ៉ាងខ្លាំងព្រោះវាអាចឱ្យមេរោគពង្រីកការឈានដល់និងផលប៉ះពាល់យ៉ាងឆាប់រហ័ស។ ទោះបីជាមានការស៊ើបអង្កេតយ៉ាងទូលំទូលាយរបស់ពួកគេក៏ដោយ អ្នកស្រាវជ្រាវមិនទាន់កំណត់អត្តសញ្ញាណគោលដៅជាក់លាក់នៃមេរោគដែលស្រដៀងនឹង botnet នេះទេ ដោយបន្សល់ទុកគោលបំណងនៅពីក្រោយការដាក់ឱ្យប្រើប្រាស់របស់វាមានភាពអាថ៌កំបាំង។ ផលប៉ះពាល់ដែលអាចកើតមាននៃការគំរាមកំហែងកម្រិតខ្ពស់ និងស្វ័យភាពបែបនេះបានលើកទង់ក្រហមនៅក្នុងសហគមន៍សន្តិសុខតាមអ៊ីនធឺណិត ដោយធានាឱ្យមានការវិភាគ និងការប្រុងប្រយ័ត្នបន្ថែមទៀតដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារដែលអាចកើតមាន។

អង្គភាព 42 របស់ Palo Alto បានវិភាគយុទ្ធនាការលួចចូល ហើយរបាយការណ៍របស់ពួកគេដែលបានចេញផ្សាយនៅថ្ងៃទី 19 ខែកក្កដា បានបង្ហាញអំពីការប្រើប្រាស់មេរោគ CVE-2022-0543 ដើម្បីបញ្ជាកម្មវិធី Redis និងបញ្ចូលពួកវាទៅក្នុង botnet ។ botnet នេះរួមមានបណ្តុំនៃកុំព្យូទ័រដែលមានមេរោគនៅក្រោមការគ្រប់គ្រងរបស់ពួក Hacker ។ ខណៈពេលដែលភាពងាយរងគ្រោះដូចគ្នាត្រូវបានទទួលរងនូវការកេងប្រវ័ញ្ចពីមុនដើម្បីបញ្ចូលឧបករណ៍ទៅក្នុង Muhstik botnet ក្នុងឆ្នាំ 2022 នោះ មេរោគចុងក្រោយបំផុតគឺ P2PInfect ហាក់ដូចជាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងបណ្តាញដែលបង្កគ្រោះថ្នាក់ដោយឡែក និងមិនត្រូវបានភ្ជាប់ទៅ Muhstik នេះបើយោងតាមការរកឃើញរបស់ Unit 42។
របាយការណ៍នេះស្របនឹងការរកឃើញជាច្រើនរបស់ Unit 42 ដោយបង្ហាញថាមេរោគត្រូវបានសរសេរកូដជាភាសាកម្មវិធី Rust ហើយព្យាយាមឆ្លងមេរោគ hosts ផ្សេងទៀតនៅពេលភ្ជាប់ទៅ botnet។

ទោះយ៉ាងណាក៏ដោយវាត្រូវបានគេរកឃើញភាពខុសគ្នាគួរឱ្យកត់សម្គាល់ពីរ។ ទីមួយ គំរូមេរោគដែលត្រូវបានវិភាគដោយអ្នកស្រាវជ្រាវរបស់ពួកគេមិនបានទាញយកប្រយោជន៍ពី CVE-2022-0543 ជាចំណុចចូលដំណើរការដំបូងឡើយ។ ទីពីរ P2Pinfect បានកំណត់គោលដៅទាំង Windows និង Linux Redis instances ។ ពួកគេបានកត់សម្គាល់ថាការប្រើភាសាសរសេរកម្មវិធី Rust បានអនុញ្ញាតឱ្យមេរោគដំណើរការលើប្រព័ន្ធប្រតិបត្តិការ Windows និង Linux ខណៈពេលដែលធ្វើឱ្យវាពិបាកសម្រាប់អ្នកវិភាគក្នុងការវិភាគកូដ។ គោលបំណង និងអត្តសញ្ញាណរបស់អ្នកនៅពីក្រោយមេរោគនេះ នៅតែមិនច្បាស់លាស់។ ទោះបីជាប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលទាញ "ឯកសាររុករករ៉ែ" វាហាក់ដូចជាមិនអនុវត្តកិច្ចការរុករករ៉ែគ្រីបតូទេ។ "អ្នករុករករ៉ែ" នេះអាចមានសក្តានុពលជាកន្លែងដាក់សម្រាប់ការចែកចាយ crypto-mining នាពេលអនាគតដោយអ្នកគំរាមកំហែង។ ស្រដៀងគ្នានេះដែរ អង្គភាពទី 42 បានសង្កេតឃើញករណីនៃពាក្យ "អ្នករុករករ៉ែ" នៅក្នុងកញ្ចប់ឧបករណ៍គំរាមកំហែងរបស់ P2PInfect ប៉ុន្តែមិនបានរកឃើញភស្តុតាងច្បាស់លាស់នៃប្រតិបត្តិការរុករករ៉ែ crypto ។

មេរោគមានគោលបំណងពីរ។ ទីមួយ វាអនុញ្ញាតឱ្យពួក Hacker ការពារម៉ាស៊ីនមេ Redis ពីអ្នកគំរាមកំហែងផ្សេងទៀតដែលព្យាយាមសម្របសម្រួលវា ខណៈពេលដែលធានាឱ្យម៉ាស៊ីនមេបន្តដំណើរការដោយស្របច្បាប់ ដូច្នេះជៀសវាងការរកឃើញដោយម្ចាស់របស់វា។ នៅពេលឆ្លងមេរោគ ម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួលក្លាយជាធាតុផ្សំនៃ botnet ពីមិត្តភ័ក្តិ។ ការកំណត់រចនាសម្ព័ន្ធនេះអនុញ្ញាតឱ្យមានការទំនាក់ទំនងយ៉ាងរលូនរវាងថ្នាំង botnet ទាំងអស់ ដោយមិនត្រូវការម៉ាស៊ីនមេ Ccommand-and-Control (C2) កណ្តាល។ អ្នកស្រាវជ្រាវណែនាំថាពាក្យបញ្ជាចាប់ផ្តើមដោយការបញ្ជូនសារដែលបានចុះហត្ថលេខាលើបណ្តាញ។ មេរោគនេះកំណត់គោលដៅម៉ាស៊ីនបន្ថែមដើម្បីផ្សព្វផ្សាយការឆ្លងដោយការប្រមូលផ្តុំបញ្ជីអ្នកប្រើប្រាស់ អាសយដ្ឋាន IP និងសោចូលប្រើប្រាស់សម្រាប់ពិធីការទំនាក់ទំនងបណ្តាញ SSH ។ នៅពេលដែលម៉ាស៊ីនថ្មីបានចូលប្រើ មេរោគនឹងចម្លងខ្លួនវា ដូចជាវាឆ្លងមេរោគដំបូងទៅកាន់ម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល។ នោះពាក់ព័ន្ធនឹងការទាញយកច្បាប់ចម្លងពីខ្លួនវាពីម៉ាស៊ីនមេ HTTP ដែលភ្ជាប់មកជាមួយ ហើយដំណើរការវាជាមួយនឹងបញ្ជីថ្នាំងជាអាគុយម៉ង់ ដោយហេតុនេះពង្រីកការឈានទៅដល់ប្រព័ន្ធដែលងាយរងគ្រោះផ្សេងទៀត។

មេរោគ Botnet ដែលមានចរិតដូចពពួក Worm ផ្តោតលើឧបករណ៍ផ្ទុក Redis ដ៏ពេញនិយម រូបថតអេក្រង់