ប៊តណេត Kimwolf
អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញបណ្តាញ botnet ដ៏ធំមួយប្រភេទ distributed denial-of-service (DDoS) ដែលគេស្គាល់ថា Kimwolf ដែលបានចុះឈ្មោះឧបករណ៍ឆ្លងមេរោគជាង 1.8 លានគ្រឿងរួចហើយ។ ទាំងនេះរួមមានទូរទស្សន៍ដែលមានមូលដ្ឋានលើ Android ប្រអប់ set-top និងថេប្លេត។ ការស៊ើបអង្កេតដំបូងៗបង្ហាញពីការតភ្ជាប់ដែលអាចកើតមានទៅនឹងបណ្តាញ botnet AISURU ដ៏ល្បីល្បាញ។ ការរកឃើញនេះបង្ហាញពីភាពទំនើបកាន់តែខ្លាំងឡើងនៃមេរោគដែលផ្តោតលើ IoT និងគូសបញ្ជាក់ពីតម្រូវការសំខាន់សម្រាប់ការប្រុងប្រយ័ត្នក្នុងការការពារឧបករណ៍ដែលបានភ្ជាប់។
តារាងមាតិកា
កាយវិភាគសាស្ត្ររបស់ Kimwolf
Kimwolf ត្រូវបានបង្កើតឡើងដោយប្រើ Native Development Kit (NDK) ហើយរួមបញ្ចូលគ្នានូវសមត្ថភាពច្រើនលើសពីការវាយប្រហារ DDoS បែបប្រពៃណី។ លក្ខណៈពិសេសសំខាន់ៗរួមមាន៖
- ការបញ្ជូនបន្តប្រូកស៊ី
- ការចូលប្រើសែលបញ្ច្រាស
- មុខងារគ្រប់គ្រងឯកសារ
មេរោគរបស់ botnet ត្រូវបានរចនាឡើងដើម្បីដំណើរការដំណើរការតែមួយក្នុងមួយឧបករណ៍ ឌិគ្រីបដែន Command-and-Control (C2) ដែលបានបង្កប់ ដោះស្រាយ IP C2 ដោយប្រើ DNS-over-TLS និងប្រតិបត្តិពាក្យបញ្ជាដែលទទួលបានពីប្រតិបត្តិកររបស់វា។
មាត្រដ្ឋាន និងសកម្មភាពបំបែកកំណត់ត្រា
ក្នុងរយៈពេលត្រឹមតែបីថ្ងៃប៉ុណ្ណោះ ចាប់ពីថ្ងៃទី១៩ ដល់ថ្ងៃទី២២ ខែវិច្ឆិកា ឆ្នាំ២០២៥ Kimwolf ត្រូវបានគេរាយការណ៍ថាបានចេញពាក្យបញ្ជាវាយប្រហារ DDoS ចំនួន ១,៧ ពាន់លាន។ ដែន C2 មួយរបស់ខ្លួនគឺ 14emeliaterracewestroxburyma02132[.]su ថែមទាំងបានបង្ហាញខ្លួនមួយរយៈពេលខ្លីក្នុងចំណោមដែនកំពូលទាំង ១០០ របស់ Cloudflare ដោយវ៉ាដាច់ Google ជាបណ្តោះអាសន្ន។
គោលដៅឆ្លងបឋមរួមមានប្រអប់ទូរទស្សន៍លំនៅដ្ឋានដូចជា៖
- ប្រអប់ទូរទស្សន៍, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
តាមភូមិសាស្ត្រ ការឆ្លងរាលដាលភាគច្រើននៅប្រទេសប្រេស៊ីល ឥណ្ឌា សហរដ្ឋអាមេរិក អាហ្សង់ទីន អាហ្វ្រិកខាងត្បូង និងហ្វីលីពីន ទោះបីជាវិធីសាស្ត្ររីករាលដាលពិតប្រាកដនៅតែមិនច្បាស់លាស់ក៏ដោយ។
ការវិវត្តន៍ និងភាពធន់
Kimwolf បង្ហាញពីភាពបត់បែនកម្រិតខ្ពស់។ ដែន C2 របស់វាត្រូវបានដកចេញយ៉ាងហោចណាស់បីដងនៅក្នុងខែធ្នូ ឆ្នាំ 2025 ដែលជំរុញឱ្យប្រតិបត្តិករទទួលយកដែន Ethereum Name Service (ENS) ដើម្បីពង្រឹងហេដ្ឋារចនាសម្ព័ន្ធ។ កំណែថ្មីៗនៃមេរោគរួមបញ្ចូល EtherHiding ដែលជាបច្ចេកទេសមួយដែលទាញយក IP C2 ពិតប្រាកដតាមរយៈកិច្ចសន្យាឆ្លាតវៃ និងបំលែងវាតាមរយៈប្រតិបត្តិការ XOR ដែលធ្វើឱ្យការដកចេញកាន់តែពិបាក។
ការតភ្ជាប់ទៅ AISURU និងហេដ្ឋារចនាសម្ព័ន្ធដែលបានចែករំលែក
ភស្តុតាងភ្ជាប់ Kimwolf ទៅនឹងបណ្តាញ botnet AISURU ដែលត្រូវបានគេស្គាល់ថាសម្រាប់ការវាយប្រហារ DDoS ដែលបំបែកកំណត់ត្រា៖
- បណ្តាញ botnet ទាំងពីរបានរួមរស់ជាមួយគ្នានៅលើឧបករណ៍ដែលឆ្លងមេរោគដូចគ្នារវាងខែកញ្ញា និងខែវិច្ឆិកា ឆ្នាំ 2025។
- ភាពស្រដៀងគ្នានៅក្នុងកញ្ចប់ APK និងវិញ្ញាបនបត្រចុះហត្ថលេខាលើកូដ ('John Dinglebert Dinglenut VIII VanSack Smith') បង្ហាញពីប្រភពដើមនៃការអភិវឌ្ឍន៍រួមគ្នា។
- ម៉ាស៊ីនបម្រើទាញយក (93.95.112[.]59) បានបញ្ជាក់ពីវត្តមាននៃស្គ្រីបដែលយោងទៅលើទាំង Kimwolf និង AISURU APKs។
ទំនាក់ទំនងនេះបង្ហាញពីក្រុមហេគឃ័រតែមួយក្រុមដែលអាចដំណើរការ botnet ទាំងពីរដើម្បីបង្កើនការឈានដល់ និងគេចវេះពីការរកឃើញ។
សមត្ថភាពវាយប្រហារ និងការរកប្រាក់
Kimwolf គាំទ្រវិធីសាស្ត្រ DDoS ចំនួន 13 ផ្សេងគ្នាតាមរយៈ UDP, TCP និង ICMP ដោយកំណត់គោលដៅប្រទេសនានារួមមានសហរដ្ឋអាមេរិក ចិន បារាំង អាល្លឺម៉ង់ និងកាណាដា។ គួរឱ្យចាប់អារម្មណ៍ ជាង 96% នៃពាក្យបញ្ជាដែលបានចេញគឺសំដៅទៅលើការប្រើប្រាស់ណូតដែលឆ្លងមេរោគជាសេវាកម្មប្រូកស៊ី ដែលបង្ហាញពីការលើកទឹកចិត្តដ៏រឹងមាំក្នុងការរកប្រាក់ចំណេញ។
សមាសធាតុបន្ថែមដែលត្រូវបានដាក់ពង្រាយទៅកាន់ឧបករណ៍ដែលរងការសម្របសម្រួលរួមមាន៖
- កម្មវិធីបញ្ជាការដែលមានមូលដ្ឋានលើ Rust - បង្កើតបណ្តាញប្រូកស៊ី
- ByteConnect SDK – រកប្រាក់ពីចរាចរណ៍ IoT សម្រាប់អ្នកអភិវឌ្ឍន៍ និងម្ចាស់ឧបករណ៍
- ការអ៊ិនគ្រីប TLS ធានាសុវត្ថិភាពការទំនាក់ទំនងទាំងអស់ ខណៈពេលដែលទិន្នន័យរសើបអំពីម៉ាស៊ីនមេ C2 និងកម្មវិធីដោះស្រាយ DNS ក៏ត្រូវបានអ៊ិនគ្រីបផងដែរ ដែលបង្កើនការលួចលាក់ប្រតិបត្តិការ។
បរិបទទូលំទូលាយនៃ Botnet យក្ស
ចាប់តាំងពីការលេចចេញនូវ Mirai ក្នុងឆ្នាំ ២០១៦ មក botnet យក្ស IoT បានវិវត្តន៍គួរឱ្យកត់សម្គាល់។ កំណែដំបូងៗផ្តោតសំខាន់លើរ៉ោតទ័រប្រេកង់ខ្ពស់ និងកាមេរ៉ា ប៉ុន្តែ botnet ទំនើបៗដូចជា Badbox, Bigpanzi, Vo1d និង Kimwolf កំពុងផ្តោតកាន់តែខ្លាំងឡើងលើទូរទស្សន៍ឆ្លាតវៃ និងប្រអប់ទូរទស្សន៍ ដែលឆ្លុះបញ្ចាំងពីការផ្លាស់ប្តូរចំណាប់អារម្មណ៍របស់អ្នកវាយប្រហារឆ្ពោះទៅរកឧបករណ៍អ្នកប្រើប្រាស់ដែលមានកម្រិតបញ្ជូនខ្ពស់។
