Ebury Botnet

Malware botnet ដែលមានឈ្មោះថា Ebury បានជ្រៀតចូលប្រហែល 400,000 servers របស់ Linux ចាប់តាំងពីឆ្នាំ 2009 ជាមួយនឹង servers ជាង 100,000 ដែលនៅសល់ត្រូវបានសម្របសម្រួលនៅចុងឆ្នាំ 2023។ botnet នេះត្រូវបានទទួលស្គាល់ដោយអ្នកជំនាញខាងសន្តិសុខតាមអ៊ីនធឺណិតថាជាយុទ្ធនាការមេរោគផ្នែកខាង server ដ៏ទំនើបបំផុតមួយក្នុងគោលបំណងដើម្បីទទួលបានហិរញ្ញវត្ថុ។

តួអង្គនៅពីក្រោយ Ebury បានចូលរួមក្នុងសកម្មភាពរកប្រាក់ផ្សេងៗ ដូចជាការចែកចាយសារឥតបានការ ការបញ្ជូនបន្តចរាចរគេហទំព័រ និងការលួចព័ត៌មានសម្ងាត់។ លើសពីនេះ ពួកគេជាប់ពាក់ព័ន្ធនឹងការលួចរូបិយប័ណ្ណគ្រីបតូ តាមរយៈការវាយប្រហារ Man-in-the-Middle (MitM) និងការលួចកាតឥណទានតាមរយៈការស្ទាក់ចាប់ចរាចរណ៍បណ្តាញ ដែលជាបច្ចេកទេសដែលគេហៅជាទូទៅថាជាការស្គ្រីបលើបណ្តាញផ្នែកខាងម៉ាស៊ីនមេ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតត្រូវបានចាប់ខ្លួនដែលប្រតិបត្តិការ Ebury Botnet

Ebury បានលេចឡើងកាលពីជាង 10 ឆ្នាំមុនក្នុងអំឡុងពេលប្រតិបត្តិការ Windigo ដែលជាយុទ្ធនាការមួយដែលមានគោលបំណងសម្របសម្រួលម៉ាស៊ីនមេលីនុច។ ប្រតិបត្តិការនេះបានដាក់ពង្រាយ Ebury រួមជាមួយនឹងឧបករណ៍ផ្សេងទៀតដូចជា Cdorked និង Calfbot ដើម្បីប្តូរទិសចរាចរណ៍គេហទំព័រ និងផ្ញើសារឥតបានការ។ នៅខែសីហា ឆ្នាំ 2017 Maxim Senakh ជាជនជាតិរុស្សី ត្រូវបានកាត់ទោសឱ្យជាប់គុកជិត 4 ឆ្នាំនៅសហរដ្ឋអាមេរិក សម្រាប់ការចូលរួមរបស់គាត់ក្នុងការអភិវឌ្ឍន៍ និងថែរក្សា Ebury botnet ។

Senakh និងសហការីរបស់គាត់បានប្រើប្រាស់ Ebury botnet ដើម្បីរៀបចំចរាចរអ៊ិនធឺណិតសម្រាប់ការក្លែងបន្លំចុច និងអ៊ីម៉ែល spam ផ្សេងៗ នេះបើយោងតាមក្រសួងយុត្តិធម៌សហរដ្ឋអាមេរិក។ នេះបណ្តាលឱ្យមានការក្លែងបន្លំប្រាក់ចំណូលរាប់លានដុល្លារ។ ជាផ្នែកមួយនៃការអង្វររបស់គាត់ Senakh បានសារភាពថាបានគាំទ្រសហគ្រាសឧក្រិដ្ឋកម្មដោយបង្កើតគណនីជាមួយអ្នកចុះបញ្ជីដែនដើម្បីពង្រីកហេដ្ឋារចនាសម្ព័ន្ធ Ebury botnet និងទទួលបានប្រាក់ចំណេញផ្ទាល់ខ្លួនពីចរាចរដែលបង្កើតដោយវា។

ឧបករណ៍ឆ្លងមេរោគ Ebury Botnet តាមរយៈវ៉ិចទ័រផ្សេងៗគ្នាជាច្រើន។

ការស៊ើបអង្កេតបានបង្ហាញពីយុទ្ធសាស្ត្រជាច្រើនដែលប្រើដោយអ្នកវាយប្រហារដើម្បីចែកចាយ Ebury រួមទាំងការលួចព័ត៌មាន SSH ការបញ្ចូលព័ត៌មានសម្ងាត់ ការជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធអ្នកផ្តល់សេវាបង្ហោះ ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដូចជា Control Web Panel flaw CVE-2021-45467 និងការដឹកនាំ SSH man-in-the-middle ( MitM) ការវាយប្រហារ។

លើសពីនេះ តួអង្គគំរាមកំហែងត្រូវបានគេសង្កេតឃើញប្រើប្រាស់អត្តសញ្ញាណក្លែងក្លាយ ឬលួចលាក់ ដើម្បីលាក់បាំងសកម្មភាពរបស់ពួកគេ។ ពួកគេបានសម្របសម្រួលហេដ្ឋារចនាសម្ព័ន្ធដែលត្រូវបានប្រើប្រាស់ដោយតួអង្គព្យាបាទផ្សេងទៀត ដោយដាក់ពង្រាយមេរោគ Ebury ដើម្បីសម្រេចបាននូវគោលបំណងរបស់ពួកគេ និងធ្វើឱ្យមានការភ័ន្តច្រឡំដល់កិច្ចខិតខំប្រឹងប្រែងដើម្បីតាមដានពួកគេ។

ជាឧទាហរណ៍ អ្នកវាយប្រហារបានសម្របសម្រួលម៉ាស៊ីនមេដែលទទួលខុសត្រូវក្នុងការប្រមូលទិន្នន័យពី Vidar Stealer ។ ពួកគេបានប្រើប្រាស់អត្តសញ្ញាណលួចដែលទទួលបានតាមរយៈ Vidar Stealer ដើម្បីជួលហេដ្ឋារចនាសម្ព័ន្ធម៉ាស៊ីនមេ និងធ្វើសកម្មភាពដោយចេតនាបំភ័ន្តដល់ការអនុវត្តច្បាប់។ ក្នុងករណីមួយផ្សេងទៀត Ebury ត្រូវបានប្រើដើម្បីរំលោភលើប្រព័ន្ធរបស់អ្នកនិពន្ធ Mirai botnet ម្នាក់ដោយទទួលបានលេខកូដមុនពេលចេញផ្សាយជាសាធារណៈ។

អ្នកវាយប្រហារបានប្រើប្រាស់ Ebury ដើម្បីបញ្ជូនបន្ទុកគំរាមកំហែងបន្ថែម

មេរោគដំណើរការជា backdoor និង SSH credential thief ដែលអាចឱ្យអ្នកវាយប្រហារណែនាំនូវ payloads បន្ថែមដូចជា HelimodSteal, HelimodProxy និង HelimodRedirect ដោយហេតុនេះពង្រីកការទៅដល់របស់ពួកគេនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល។ កំណែថ្មីបំផុតរបស់ Ebury ត្រូវបានកំណត់អត្តសញ្ញាណគឺ 1.8.2 ។

ឧបករណ៍ទាំងនេះត្រូវបានតម្រង់ទៅរកការរកប្រាក់ពីម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួលតាមរយៈមធ្យោបាយផ្សេងៗ។ យុទ្ធសាស្ត្ររកប្រាក់រួមមានការលួចព័ត៌មានកាតឥណទាន ការលួចចម្លងរូបិយបណ្ណរូបិយប័ណ្ណ ការបញ្ជូនបន្តចរាចរណ៍ ការផ្សព្វផ្សាយសារឥតបានការ និងការលួចព័ត៌មានសម្ងាត់។

មុខងារ HelimodSteal, HelimodRedirect និង HelimodProxy ជាម៉ូឌុលម៉ាស៊ីនមេ HTTP ដើម្បីស្ទាក់ចាប់សំណើ HTTP POST ប្តូរទិសចរាចរ HTTP ទៅកាន់ការផ្សាយពាណិជ្ជកម្ម និងចរាចរប្រូកស៊ីសម្រាប់ការចែកចាយសារឥតបានការ។ ក្រុមនេះក៏ប្រើប្រាស់ម៉ូឌុលខឺណែលដែលមានឈ្មោះថា KernelRedirect ដោយប្រើប្រាស់ទំពក់ Netfilter ដើម្បីកែប្រែចរាចរណ៍ HTTP និងបើកការបញ្ជូនបន្ត។ HelimodSteal ត្រូវបានរចនាឡើងជាពិសេសដើម្បីចាប់យកទិន្នន័យកាតឥណទានដែលបានដាក់ស្នើទៅហាងអនឡាញ ដើរតួជាអ្នកស្កែនបណ្តាញផ្នែកខាងម៉ាស៊ីនមេ ដើម្បីទាញយកព័ត៌មានរសើបនេះពីម៉ាស៊ីនមេដែលមានមេរោគ។

អ្នកវាយប្រហារក៏ប្រើកម្មវិធីដើម្បីលាក់បាំង និងអនុញ្ញាតឱ្យមានចរាចរព្យាបាទតាមរយៈជញ្ជាំងភ្លើង រួមជាមួយនឹងស្គ្រីប Perl សម្រាប់ការវាយប្រហារទ្រង់ទ្រាយធំនៅក្នុងមជ្ឈមណ្ឌលទិន្នន័យរបស់អ្នកផ្តល់សេវាបង្ហោះ។ ពួកគេកំណត់គោលដៅទ្រព្យសម្បត្តិដ៏មានតម្លៃដើម្បីលួច cryptocurrency ពីកាបូប។