មេរោគ Hadooken
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការមេរោគថ្មីមួយដែលផ្តោតលើប្រព័ន្ធលីនុច ដោយផ្តោតលើការជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូខុសច្បាប់ និងការរីករាលដាលមេរោគ botnet ។ យុទ្ធនាការនេះកំណត់គោលដៅជាក់លាក់លើម៉ាស៊ីនមេ Oracle Weblogic ដោយផ្តល់នូវវ៉ារ្យ៉ង់មេរោគដែលមានឈ្មោះថា Hadooken ។ នៅពេលដែលត្រូវបានប្រតិបត្តិ Hadooken ដំឡើងមេរោគ Tsunami ហើយបើកដំណើរការ crypto miner ។ ការវាយប្រហារទាញយកភាពងាយរងគ្រោះដែលគេស្គាល់ច្បាស់ និងការកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធមិនត្រឹមត្រូវ ដូចជាព័ត៌មានសម្ងាត់ខ្សោយ ដើម្បីទទួលបានការចូលប្រើដំបូង និងដំណើរការកូដបំពានលើករណីដែលងាយរងគ្រោះ។
ខ្សែសង្វាក់វាយប្រហារនៃមេរោគ Hadooken Malware
ការវាយប្រហារនេះពាក់ព័ន្ធនឹងការដាក់ពង្រាយបន្ទុកដូចគ្នាចំនួនពីរ៖ មួយសរសេរជា Python និងមួយទៀតជាស្គ្រីបសែល។ ទាំងពីរទទួលខុសត្រូវក្នុងការទាញយកមេរោគ Hadooken ពីម៉ាស៊ីនមេពីចម្ងាយ ('89.185.85.102' ឬ '185.174.136.204') ។
កំណែស្គ្រីបសែលបន្ថែមការស្កេនថតដែលមានទិន្នន័យ SSH ដូចជាព័ត៌មានសម្ងាត់របស់អ្នកប្រើ ព័ត៌មានលម្អិតអំពីម៉ាស៊ីន និងអាថ៌កំបាំង ដោយប្រើប្រាស់ព័ត៌មាននេះដើម្បីកំណត់គោលដៅម៉ាស៊ីនមេដែលស្គាល់។ បន្ទាប់មកវាផ្លាស់ទីនៅពេលក្រោយនៅក្នុងបណ្តាញ ឬបរិស្ថានដែលបានតភ្ជាប់ ដោយរីករាលដាលមេរោគ Hadooken បន្ថែមទៀត។
Hadooken មានសមាសភាគសំខាន់ពីរ៖ អ្នកជីកយករ៉ែរូបិយបណ្ណរូបិយបណ្ណ័ និងរូបយន្តការបដិសេធមិនចែកចាយសេវាកម្ម (DDoS) ដែលគេស្គាល់ថាជារលកយក្សស៊ូណាមិ (ហៅកាត់ថា Kaiten)។ មេរោគនេះមានប្រវត្តិវាយប្រហារ Jenkins និងសេវាកម្ម Weblogic នៅក្នុងចង្កោម Kubernetes ។ មេរោគនេះក៏ធានានូវភាពស្ថិតស្ថេរនៅលើម៉ាស៊ីនដែលឆ្លងមេរោគដោយបង្កើតការងារ cron ដើម្បីដំណើរការ crypto miner នៅចន្លោះពេលផ្សេងៗគ្នា។
ដើម្បីគេចពីការរាវរក Hadooken ប្រើយុទ្ធសាស្ត្រជាច្រើន រួមទាំងបន្ទុកដែលបានអ៊ិនកូដ Base64 ក្លែងបន្លំបន្ទុកអ្នករុករករ៉ែដែលមានឈ្មោះមិនច្បាស់លាស់ដូចជា 'bash' និង 'java' ដើម្បីបញ្ចូលគ្នាជាមួយដំណើរការស្របច្បាប់ និងការលុបវត្ថុបុរាណបន្ទាប់ពីការប្រតិបត្តិ ដើម្បីបិទបាំងដាននៃសកម្មភាពបង្កគ្រោះថ្នាក់របស់វា។
ការតភ្ជាប់ទៅក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណអាសយដ្ឋាន IP 89.185.85.102 ថាត្រូវបានចុះបញ្ជីនៅប្រទេសអាល្លឺម៉ង់ក្រោមក្រុមហ៊ុនបង្ហោះ Aeza International LTD (AS210644) ។ នៅខែកុម្ភៈ ឆ្នាំ 2024 IP នេះត្រូវបានភ្ជាប់ទៅយុទ្ធនាការ cryptocurrency ដោយ 8220 Gang ដែលបានទាញយកភាពងាយរងគ្រោះនៅក្នុង Apache Log4j និង Atlassian Confluence Server and Data Center។
អាសយដ្ឋាន IP ទីពីរ 185.174.136.204 ទោះបីជាបច្ចុប្បន្នអសកម្មក៏ដោយ ក៏ត្រូវបានភ្ជាប់ជាមួយ Aeza Group Ltd. (AS216246) ផងដែរ។ ដូចដែលបានកត់សម្គាល់នៅក្នុងខែកក្កដាឆ្នាំ 2024 Aeza គឺជាអ្នកផ្តល់សេវាបង្ហោះការពារគ្រាប់កាំភ្លើងជាមួយនឹងប្រតិបត្តិការនៅទីក្រុងម៉ូស្គូ M9 និងមជ្ឈមណ្ឌលទិន្នន័យពីរនៅហ្វ្រែងហ្វើត។ ការរីកចម្រើនយ៉ាងឆាប់រហ័ស និងគំរូប្រតិបត្តិការរបស់ Aeza ត្រូវបានសន្មតថាបានជ្រើសរើសអ្នកអភិវឌ្ឍន៍វ័យក្មេងរបស់ខ្លួនដែលភ្ជាប់ទៅនឹងសេវាកម្មបង្ហោះការពារគ្រាប់កាំភ្លើងរបស់រុស្ស៊ី ដែលផ្តល់នូវជម្រកសុវត្ថិភាពសម្រាប់សកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។
