មេរោគ Nexcorium Botnet

ការស៊ើបអង្កេតសន្តិសុខតាមអ៊ីនធឺណិតបង្ហាញថា ជនល្មើសគំរាមកំហែងកំពុងកេងប្រវ័ញ្ចយ៉ាងសកម្មនូវចំណុចខ្សោយសន្តិសុខនៅក្នុងប្រព័ន្ធ TBK DVR និងរ៉ោតទ័រ Wi-Fi TP-Link ដែលលែងមានអាយុកាលប្រើប្រាស់ ដើម្បីដាក់ពង្រាយវ៉ារ្យ៉ង់នៃមេរោគ Mirai botnet។ ឧបករណ៍ទាំងនេះ ដែលត្រូវបានមើលរំលងជាញឹកញាប់នៅក្នុងយុទ្ធសាស្ត្រសន្តិសុខ បង្ហាញចំណុចចូលដ៏ទាក់ទាញដោយសារតែកម្មវិធីបង្កប់ហួសសម័យ ការកំណត់រចនាសម្ព័ន្ធខ្សោយ និងការជួសជុលមិនញឹកញាប់។ ការដាក់ពង្រាយយ៉ាងទូលំទូលាយរបស់ពួកគេ បង្កើនតម្លៃរបស់ពួកគេបន្ថែមទៀតជាគោលដៅនៅក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំ។

ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលគេស្គាល់សម្រាប់ការចូលប្រើដំបូង

យុទ្ធនាការដែលកំណត់គោលដៅឧបករណ៍ TBK DVR ប្រើប្រាស់ CVE-2024-3721 ដែលជាចំណុចខ្សោយនៃការចាក់ពាក្យបញ្ជាកម្រិតមធ្យម (ពិន្ទុ CVSS: 6.3) ដែលប៉ះពាល់ដល់ម៉ូដែល DVR-4104 និង DVR-4216។ តាមរយៈការកេងចំណេញពីចំណុចខ្សោយនេះ អ្នកវាយប្រហារចែកចាយបន្ទុក ដែលមានមូលដ្ឋានលើ Mirai ដែលគេស្គាល់ថា Nexcorium។ ចំណុចខ្សោយនេះមិនត្រូវបានមើលរំលងនៅក្នុងយុទ្ធនាការមុនៗទេ។ វាពីមុនត្រូវបានគេប្រើដើម្បីដាក់ពង្រាយទាំងបំរែបំរួល Mirai និងបណ្តាញ RondoDox ដែលកំពុងលេចចេញ។

លើសពីនេះ ការស្រាវជ្រាវមុនៗបានបង្ហាញពីប្រព័ន្ធអេកូឡូស៊ី loader-as-a-service ដែលទទួលខុសត្រូវចំពោះការចែកចាយមេរោគជាច្រើនប្រភេទ រួមទាំង RondoDox, Mirai និង Morte ដោយការរំលោភបំពានលើព័ត៌មានសម្ងាត់ខ្សោយ និងភាពងាយរងគ្រោះចាស់ៗនៅទូទាំងរ៉ោតទ័រ ឧបករណ៍ IoT និងកម្មវិធីសហគ្រាស។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគ និងការដាក់ពង្រាយបន្ទុក

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរបស់ DVR ដើម្បីដាក់ពង្រាយស្គ្រីបទាញយក។ ស្គ្រីបនេះកំណត់អត្តសញ្ញាណស្ថាបត្យកម្ម Linux របស់ប្រព័ន្ធគោលដៅ ហើយប្រតិបត្តិបន្ទុក botnet ដែលសមស្រប។ នៅពេលដែលបានធ្វើឱ្យសកម្ម សញ្ញាមេរោគសម្របសម្រួលដោយបង្ហាញសារដែលបង្ហាញថាការគ្រប់គ្រងត្រូវបានបង្កើតឡើង។

Nexcorium ឆ្លុះបញ្ចាំងពីការរចនារចនាសម្ព័ន្ធនៃបំរែបំរួល Mirai ប្រពៃណី ដោយបញ្ចូលទិន្នន័យកំណត់រចនាសម្ព័ន្ធដែលបានអ៊ិនកូដ យន្តការត្រួតពិនិត្យប្រព័ន្ធ និងម៉ូឌុលដែលឧទ្ទិសដល់ការបើកដំណើរការការវាយប្រហារបដិសេធសេវាកម្មแบบกระจาย។

ចលនាចំហៀង និងបច្ចេកទេសតស៊ូ

មេរោគនេះពង្រីកវិសាលភាពរបស់វានៅក្នុងបណ្តាញដោយកេងប្រវ័ញ្ចភាពងាយរងគ្រោះបន្ថែម រួមទាំង CVE-2017-17215 ដែលកំណត់គោលដៅឧបករណ៍ Huawei HG532។ វាក៏ប្រើប្រាស់បច្ចេកទេស brute-force ដោយប្រើបញ្ជីព័ត៌មានសម្ងាត់ដែលបានបង្កប់ដើម្បីសម្របសម្រួលប្រព័ន្ធផ្សេងទៀតតាមរយៈការចូលប្រើ Telnet។

នៅពេលដែលការចូលប្រើត្រូវបានសម្រេច មេរោគនឹងអនុវត្តសកម្មភាពជាច្រើន៖

• បង្កើតវគ្គសែលនៅលើម៉ាស៊ីនដែលរងការសម្របសម្រួល
• កំណត់រចនាសម្ព័ន្ធភាពស្ថិតស្ថេរដោយប្រើសេវាកម្ម crontab និង systemd
• ភ្ជាប់ទៅម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យពីចម្ងាយសម្រាប់ការណែនាំ

ជំហានទាំងនេះធានាបាននូវការគ្រប់គ្រងជាបន្តបន្ទាប់ ខណៈពេលដែលកាត់បន្ថយឱកាសនៃការរកឃើញ និងការវិភាគ។

សមត្ថភាព Botnet និងផលប៉ះពាល់ប្រតិបត្តិការ

បន្ទាប់ពីធានាបាននូវភាពស្ថិតស្ថេរ Nexcorium អនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តការវាយប្រហារ DDoS ជាច្រើនដោយប្រើពិធីការច្រើន រួមមាន៖

យូឌីភី
TCP
SMTP

សមត្ថភាពពហុវ៉ិចទ័រនេះអនុញ្ញាតឱ្យមានសេណារីយ៉ូវាយប្រហារដែលអាចបត់បែនបាន និងមានផលប៉ះពាល់ខ្ពស់ ដែលធ្វើឱ្យ botnet ក្លាយជាការគំរាមកំហែងយ៉ាងសំខាន់ដល់ហេដ្ឋារចនាសម្ព័ន្ធគោលដៅ។

ទេសភាពគំរាមកំហែងជាប់លាប់ និងហានិភ័យនាពេលអនាគត

Nexcorium គឺជាឧទាហរណ៍នៃការវិវត្តន៍នៃ botnet ដែលផ្តោតលើ IoT ដោយរួមបញ្ចូលគ្នានូវការប្រើប្រាស់ឡើងវិញនូវការវាយប្រហារ ភាពឆបគ្នាឆ្លងស្ថាបត្យកម្ម និងយន្តការតស៊ូដ៏រឹងមាំ។ ការរួមបញ្ចូលគ្នារបស់វានៃភាពងាយរងគ្រោះដែលគេស្គាល់ រួមជាមួយនឹងយុទ្ធសាស្ត្រ brute-force ដ៏ខ្លាំងក្លា បង្ហាញពីកម្រិតខ្ពស់នៃភាពអាចសម្របខ្លួនបាន។

ការពឹងផ្អែកជាបន្តបន្ទាប់លើព័ត៌មានសម្ងាត់លំនាំដើម និងឧបករណ៍ដែលមិនទាន់បានភ្ជាប់ធានាថា ប្រព័ន្ធអេកូឡូស៊ី IoT នឹងនៅតែជាចំណុចខ្សោយដ៏សំខាន់មួយ។ បើគ្មានការកែលម្អគួរឱ្យកត់សម្គាល់នៅក្នុងការអនុវត្តសុវត្ថិភាពឧបករណ៍ទេ ប្រព័ន្ធទាំងនេះនឹងបន្តជំរុញប្រតិបត្តិការ botnet ទ្រង់ទ្រាយធំ និងរំខានដល់ស្ថេរភាពបណ្តាញសកល។