ការវាយប្រហាររបស់ GoBruteforcer Botnet

រលកថ្មីនៃសកម្មភាព GoBruteforcer កំពុងកំណត់គោលដៅយ៉ាងសកម្មទៅលើមូលដ្ឋានទិន្នន័យដែលទាក់ទងនឹងគម្រោងរូបិយប័ណ្ណគ្រីបតូ និងប្លុកឆេន។ អ្នកវាយប្រហារកំពុងសហការគ្នាផ្លាស់ប្តូរម៉ាស៊ីនមេដែលងាយរងគ្រោះទៅជាបណ្តាញ botnet ចែកចាយដែលមានសមត្ថភាពអនុវត្តការវាយប្រហារទ្រង់ទ្រាយធំប្រឆាំងនឹងសេវាកម្មទូទៅ រួមទាំង FTP, MySQL, PostgreSQL និង phpMyAdmin នៅលើប្រព័ន្ធ Linux។

យុទ្ធនាការនេះមិនមែនជាការរើសអើងនោះទេ។ ភស្តុតាងបង្ហាញពីការផ្តោតអារម្មណ៍យ៉ាងច្បាស់លាស់លើហេដ្ឋារចនាសម្ព័ន្ធដែលភ្ជាប់ទៅនឹងប្រព័ន្ធអេកូឡូស៊ីប្លុកឆេន ដែលឆ្លុះបញ្ចាំងទាំងការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ និងភាពសម្បូរបែបនៃបរិយាកាសអភិវឌ្ឍន៍ដែលមានសុវត្ថិភាពមិនល្អនៅក្នុងវិស័យនេះ។

ហេតុអ្វីបានជាយុទ្ធនាការនេះកំពុងទទួលបានសន្ទុះ

និន្នាការ​ពីរ​ដែល​កំពុង​រួម​បញ្ចូល​គ្នា​កំពុង​ជំរុញ​ឲ្យ​មាន​ការ​កើនឡើង​នៃ​ការ​ប្រើប្រាស់​បច្ចុប្បន្ន។ ទីមួយ អ្នកគ្រប់គ្រង​កំពុង​ប្រើប្រាស់​មគ្គុទ្ទេសក៍​ដាក់ពង្រាយ​ដែល​បង្កើត​ដោយ AI និង​ឧទាហរណ៍​ម៉ាស៊ីន​បម្រើ​ឡើងវិញ​កាន់តែច្រើនឡើងៗ ដែល​ភាគច្រើន​ចម្លង​ឈ្មោះ​អ្នកប្រើប្រាស់​លំនាំដើម​ខ្សោយ និង​ព័ត៌មាន​បញ្ជាក់​អត្តសញ្ញាណ​ដូចគ្នា​ដែល​មាន​នៅ​ទូទាំង​ការបង្រៀន និង​ឯកសារ​តាម​អ៊ីនធឺណិត។ ទីពីរ បណ្ដាញ​ចាស់ៗ ជាពិសេស​ការដំឡើង XAMPP បន្ត​ត្រូវ​បាន​ដាក់ពង្រាយ​ជាមួយ​សេវាកម្ម FTP ដែល​បាន​លាតត្រដាង និង​ចំណុច​ប្រទាក់​រដ្ឋបាល​ដែល​ខ្វះ​ការ​ពង្រឹង​គ្រប់គ្រាន់។

លក្ខខណ្ឌទាំងនេះរួមគ្នាផ្តល់ឱ្យអ្នកវាយប្រហារនូវផ្ទៃវាយប្រហារដែលអាចព្យាករណ៍បាន និងមានជីជាតិ។

ពីប្រភពដើមឆ្នាំ ២០២៣ ទៅជាបំរែបំរួលឆ្នាំ ២០២៥ ដ៏គ្រោះថ្នាក់ជាង

GoBruteforcer ដែលត្រូវបានគេស្គាល់ផងដែរថាជា GoBrut ត្រូវបានចងក្រងជាឯកសារដំបូងនៅក្នុងខែមីនា ឆ្នាំ២០២៣។ ការស្រាវជ្រាវដំបូងៗបានពិពណ៌នាអំពីក្រុមគ្រួសារមេរោគដែលមានមូលដ្ឋានលើ Golang ដែលត្រូវបានរចនាឡើងសម្រាប់ប្រព័ន្ធដែលស្រដៀងនឹង Unix នៅទូទាំងស្ថាបត្យកម្ម x86, x64 និង ARM។ វាបានដាក់ពង្រាយ IRC bot សម្រាប់ការបញ្ជា និងការគ្រប់គ្រង ដំឡើង web shell សម្រាប់ការចូលប្រើពីចម្ងាយជាប់លាប់ និងទាញយកម៉ូឌុល brute-force ដើម្បីស្កេនរកម៉ាស៊ីនដែលងាយរងគ្រោះបន្ថែម។

នៅខែកញ្ញា ឆ្នាំ២០២៥ ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញថា ផ្នែកខ្លះនៃបណ្តាញ botnet កំពុងដំណើរការរួមគ្នាជាមួយមេរោគមួយផ្សេងទៀតគឺ SystemBC ដែលបង្ហាញពីហេដ្ឋារចនាសម្ព័ន្ធដែលបានចែករំលែក ឬការគ្រប់គ្រងដែលសម្របសម្រួល។

ពាក់កណ្តាលឆ្នាំ ២០២៥ បានសម្គាល់ឃើញពីការលោតផ្លោះផ្នែកបច្ចេកទេសដ៏សំខាន់មួយ។ អ្នកវិភាគបានកំណត់អត្តសញ្ញាណវ៉ារ្យ៉ង់កម្រិតខ្ពស់ជាងនេះ ដែលមានរូបយន្ត IRC ដែលត្រូវបានសរសេរឡើងវិញនៅក្នុង Golang យន្តការរក្សាបានប្រសើរឡើង សមត្ថភាពបិទបាំងដំណើរការ និងបញ្ជីព័ត៌មានបញ្ជាក់អត្តសញ្ញាណដែលគ្រប់គ្រងដោយថាមវន្ត ដែលអាចត្រូវបានធ្វើបច្ចុប្បន្នភាពតាមតម្រូវការ។

យុទ្ធសាស្ត្រ​បញ្ជាក់​អត្តសញ្ញាណ​ដែល​បង្កើត​ឡើង​ដោយ AI និង​ទម្លាប់​របស់​អ្នកអភិវឌ្ឍន៍

សមាសភាគកម្លាំង brute-force របស់មេរោគនេះពឹងផ្អែកលើការរួមបញ្ចូលគ្នានៃឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ទូទៅដូចជា 'myuser:Abcd@123' ឬ 'appeaser:admin123456'។ ទាំងនេះមិនមែនជាការជ្រើសរើសចៃដន្យទេ។ ជាច្រើនមានប្រភពមកពីការបង្រៀនមូលដ្ឋានទិន្នន័យ ឯកសារបង្ហោះ និងឧទាហរណ៍អ្នកលក់ - សម្ភារៈដែលត្រូវបានបញ្ចូលយ៉ាងទូលំទូលាយទៅក្នុងសាជីវកម្មបណ្តុះបណ្តាលគំរូភាសាធំៗ។ ជាលទ្ធផល ឧបករណ៍ AI ជារឿយៗបង្កើតលំនាំដើមដូចគ្នានៅក្នុងបំណែកកំណត់រចនាសម្ព័ន្ធដែលបានបង្កើត ដោយធ្វើឱ្យស្តង់ដារព័ត៌មានសម្ងាត់ខ្សោយនៅទូទាំងការដាក់ពង្រាយដោយអចេតនា។

ឈ្មោះអ្នកប្រើប្រាស់បន្ថែមនៅក្នុងការបង្វិលយោងទៅលើលំហូរការងាររូបិយប័ណ្ណគ្រីបតូ (ដូចជា 'cryptouser,' 'appcrypto,' 'crypto_app,' និង 'crypto') ឬកំណត់គោលដៅជាពិសេសទៅលើបរិស្ថាន phpMyAdmin រួមទាំង 'root,' 'wordpress,' និង 'wpuser'។

អ្នកវាយប្រហាររក្សាបណ្តុំពាក្យសម្ងាត់ដែលមានស្ថេរភាព និងមានទំហំតូចសម្រាប់យុទ្ធនាការនីមួយៗ ដោយធ្វើឱ្យបញ្ជីភារកិច្ចនីមួយៗស្រស់ឡើងវិញពីមូលដ្ឋាននោះ ខណៈពេលដែលបង្វិលឈ្មោះអ្នកប្រើប្រាស់ និងការបន្ថែមជំនាញច្រើនដងក្នុងមួយសប្តាហ៍។ ការវាយប្រហារ FTP ត្រូវបានព្យាបាលខុសគ្នា៖ ប្រព័ន្ធគោលពីរ bruteforcer មានសំណុំព័ត៌មានបញ្ជាក់អត្តសញ្ញាណដែលបានអ៊ិនកូដយ៉ាងតឹងរ៉ឹង ដែលផ្គូផ្គងយ៉ាងជិតស្និទ្ធទៅនឹងជង់បង្ហោះគេហទំព័រ និងគណនីសេវាកម្មលំនាំដើម។

សមត្ថភាពខ្សែសង្វាក់នៃការឆ្លងមេរោគ និង Botnet

ការឈ្លានពានដែលត្រូវបានគេសង្កេតឃើញភាគច្រើនចាប់ផ្តើមជាមួយនឹងសេវាកម្ម FTP ដែលប៉ះពាល់នឹងអ៊ីនធឺណិតនៅលើម៉ាស៊ីនមេ XAMPP។ នៅពេលដែលទទួលបានសិទ្ធិចូលប្រើ អ្នកវាយប្រហារផ្ទុកឡើងនូវ PHP web shell។ បន្ទាប់មក shell នោះត្រូវបានប្រើដើម្បីទាញយក និងប្រតិបត្តិ bot IRC ដែលបានធ្វើបច្ចុប្បន្នភាពតាមរយៈស្គ្រីប shell ដែលត្រូវបានរចនាឡើងសម្រាប់ស្ថាបត្យកម្មរបស់ម៉ាស៊ីន។

បន្ទាប់ពីការសម្របសម្រួល ប្រព័ន្ធដែលឆ្លងមេរោគអាចត្រូវបានប្រើប្រាស់ឡើងវិញតាមវិធីជាច្រើន៖

• វាដំណើរការម៉ូឌុល brute-force ដើម្បីព្យាយាមចូលប្រឆាំងនឹងសេវាកម្ម FTP, MySQL, PostgreSQL និង phpMyAdmin នៅទូទាំងអ៊ីនធឺណិត។
• វាបង្ហោះ និងចែកចាយបន្ទុកផ្ទុកមេរោគដែលមានគំនិតអាក្រក់ទៅកាន់ម៉ាស៊ីនដែលទើបរងការគំរាមកំហែងថ្មីៗ។
• វាផ្តល់នូវចំណុចបញ្ចប់ពាក្យបញ្ជា និងការគ្រប់គ្រងបែប IRC ឬមុខងារជាម៉ាស៊ីនមេ C2 បម្រុង ដើម្បីបង្កើនភាពធន់នៃ botnet។

ភស្តុតាងផ្ទាល់នៃប្រតិបត្តិការផ្តោតលើ Blockchain

ការស៊ើបអង្កេតបន្ថែមបានបង្ហាញថា យ៉ាងហោចណាស់ម៉ាស៊ីនមេដែលរងការសម្របសម្រួលមួយកំពុងរៀបចំម៉ូឌុលឯកទេសដែលត្រូវបានរចនាឡើងដើម្បីធ្វើបច្ចុប្បន្នភាពតាមរយៈបញ្ជីអាសយដ្ឋានប្លុកឆេន TRON។ ដោយប្រើប្រាស់សេវាកម្មសាធារណៈ tronscanapi.com មេរោគបានសាកសួរសមតុល្យគណនីដើម្បីកំណត់អត្តសញ្ញាណកាបូបដែលមានមូលនិធិមិនមែនសូន្យ។ សមត្ថភាពនេះបង្ហាញយ៉ាងច្បាស់ពីការឈ្លបយកការណ៍ដោយចេតនាដែលមានគោលបំណងទៅលើគម្រោងប្លុកឆេន និងហេដ្ឋារចនាសម្ព័ន្ធទាក់ទងនឹងគ្រីបតូជាជាងការស្កេនឱកាសនិយមតែម្នាក់ឯង។

មេរៀនដ៏ខ្ជាប់ខ្ជួនសម្រាប់អ្នកការពារ

GoBruteforcer បង្ហាញពីការបរាជ័យផ្នែកសុវត្ថិភាពដ៏ទូលំទូលាយ និងកំពុងបន្ត៖ ចំណុចប្រសព្វដ៏គ្រោះថ្នាក់នៃសេវាកម្មដែលលាតត្រដាង លិខិតសម្គាល់ខ្សោយ ឬកែច្នៃឡើងវិញ និងឧបករណ៍វាយប្រហារដោយស្វ័យប្រវត្តិកាន់តែខ្លាំងឡើង។ ខណៈពេលដែល botnet ខ្លួនវាមិនទាន់មានភាពច្នៃប្រឌិតខាងបច្ចេកទេស ប្រតិបត្តិកររបស់វាទទួលបានអត្ថប្រយោជន៍យ៉ាងច្រើនពីបរិមាណដ៏ច្រើននៃម៉ាស៊ីនមេដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវដែលនៅតែអាចចូលប្រើបាននៅលើអ៊ីនធឺណិតសាធារណៈ។

សម្រាប់អ្នកការពារ យុទ្ធនាការនេះពង្រឹងសារដែលធ្លាប់ស្គាល់ ប៉ុន្តែសំខាន់មួយ៖ លុបបំបាត់ព័ត៌មានសម្គាល់លំនាំដើម ដាក់កម្រិតចំណុចប្រទាក់រដ្ឋបាល ដកជង់ចាស់ចេញ និងចាត់ទុកឧទាហរណ៍ដាក់ពង្រាយដែលបង្កើតដោយ AI ជាចំណុចចាប់ផ្តើមដែលមិនគួរឱ្យទុកចិត្ត ជាជាងការកំណត់រចនាសម្ព័ន្ធដែលត្រៀមរួចជាស្រេចសម្រាប់ផលិតកម្ម។