សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង បូតណេត PolarEdge Botnet

PolarEdge Botnet

ដោយ Mezo ក្នុង បូតណេត
បកប្រែទៅ៖

ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ បានរកឃើញយន្តការនៃក្រុមគ្រួសារ botnet ដែលផ្តោតលើរ៉ោតទ័រ ដែលមានឈ្មោះថា PolarEdge ។ ការរួមបញ្ចូលគ្នានៃការទំនាក់ទំនងដែលមានមូលដ្ឋានលើ TLS ល្បិចនៃការកំណត់រចនាសម្ព័ន្ធដែលបានបង្កប់ និងវិធានការប្រឆាំងនឹងការវិភាគដោយចេតនាធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងគួរឱ្យកត់សម្គាល់ចំពោះឧបករណ៍ប្រើប្រាស់ក្នុងផ្ទះ និងបណ្តាញ SMB ។

បន្ទាត់ពេលវេលា និងការរកឃើញ

អ្នកស្រាវជ្រាវបានចងក្រងឯកសារ PolarEdge ជាលើកដំបូងនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2025 ដោយភ្ជាប់វាទៅនឹងយុទ្ធនាការដែលកំណត់គោលដៅរ៉ោតទ័រ និងឧបករណ៍ NAS ពីអ្នកលក់ជាច្រើន។ នៅខែសីហា ឆ្នាំ 2025 អ្នកវិភាគបានគូសផែនទីហេដ្ឋារចនាសម្ព័ន្ធជាច្រើនរបស់ botnet និងបានសង្កេតឃើញលក្ខណៈស្របជាមួយនឹងបណ្តាញរចនាប័ទ្ម Operational Relay Box (ORB) ។ តេឡេមេត​តាម​ក្រោយ​បាន​បង្ហាញ​ថា​សកម្មភាព PolarEdge មួយ​ចំនួន​អាច​នឹង​ត្រលប់​មក​វិញ​រហូត​ដល់​ខែ​មិថុនា ឆ្នាំ 2023។

គោលដៅ និងការចូលប្រើប្រាស់ដំបូង

ឧបករណ៍ពីអ្នកលក់ធំៗ រួមមាន Cisco, ASUS, QNAP និង Synology ត្រូវបានគេកំណត់ថាជាគោលដៅ ដោយគូសបញ្ជាក់ថា ទាំង routers កម្រិតសហគ្រាស និងអ្នកប្រើប្រាស់ និងប្រព័ន្ធ NAS មានហានិភ័យនៃការកេងប្រវ័ញ្ច។

នៅក្នុងខ្សែសង្វាក់វាយប្រហារក្នុងខែកុម្ភៈ ឆ្នាំ 2025 តួអង្គគំរាមកំហែងបានទាញយកភាពងាយរងគ្រោះរបស់ Cisco ដែលគេស្គាល់ (CVE-2023-20118) ដើម្បីទាញយកស្គ្រីបសែលដែលបញ្ជូនដោយ FTP តូចមួយដែលមានឈ្មោះថា 'q.' តួនាទីរបស់ស្គ្រីបនោះគឺដើម្បីទាញយក និងបើកដំណើរការ PolarEdge ELF backdoor នៅលើម៉ាស៊ីនដែលសម្របសម្រួល។

ការរចនាស្នូលផ្សាំ

PolarEdge គឺជាឧបករណ៍ផ្សាំ ELF ដែលមានសមត្ថភាព TLS ដែលជាចម្បង៖

  • ផ្ញើស្នាមម្រាមដៃម៉ាស៊ីនទៅម៉ាស៊ីនមេបញ្ជានិងបញ្ជា (C2) បន្ទាប់មក
  • រង់ចាំពាក្យបញ្ជានៅលើម៉ាស៊ីនមេ TLS ដែលភ្ជាប់មកជាមួយដែលបានអនុវត្តដោយប្រើ mbedTLS v2.8.0 ។

ឥរិយាបថលំនាំដើមរបស់ implant គឺដើម្បីដើរតួជាម៉ាស៊ីនមេ TLS ដោយប្រើពិធីការគោលពីរផ្ទាល់ខ្លួន។ វាលពិធីការសំខាន់មួយគឺ HasCommand៖ នៅពេលដែលវាលនេះស្មើនឹងតួអក្សរ ASCII 1 ការដាក់បញ្ចូលអានវាលពាក្យបញ្ជា ប្រតិបត្តិពាក្យបញ្ជាដែលបានបញ្ជាក់នៅក្នុងមូលដ្ឋាន ហើយត្រឡប់លទ្ធផលពាក្យបញ្ជាឆៅទៅ C2 ។

របៀបប្រតិបត្តិការ

PolarEdge គាំទ្ររបៀបបន្ថែមពីរ៖

របៀបភ្ជាប់ត្រឡប់មកវិញ ៖ ឧបករណ៍បង្កប់មានឥរិយាបទជាម៉ាស៊ីនភ្ញៀវ TLS ដើម្បីទាញឯកសារពីម៉ាស៊ីនមេពីចម្ងាយ។

របៀបបំបាត់កំហុស ៖ របៀបអន្តរកម្មដែលអនុញ្ញាតឱ្យប្រតិបត្តិករផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រនៃការកំណត់រចនាសម្ព័ន្ធ (ឧទាហរណ៍អាសយដ្ឋានម៉ាស៊ីនមេ) ភ្លាមៗ។

ការ​កំណត់​រចនាសម្ព័ន្ធ​ដែល​បាន​បង្កប់ និង​ភាព​ច្របូកច្របល់

botnet រក្សាទុកការកំណត់ពេលដំណើរការរបស់វានៅខាងក្នុង 512 បៃចុងក្រោយនៃរូបភាព ELF ។ ប្លុកនោះត្រូវបានបំភាន់ជាមួយ XOR បៃតែមួយ។ អ្នកស្រាវជ្រាវរាយការណ៍ថាកូនសោ XOR គឺ 0x11 ដែលត្រូវតែអនុវត្តដើម្បីស្ដារការកំណត់ឡើងវិញ។

ប្រតិបត្តិការឯកសារ

បន្ទាប់ពីដំណើរការ implant ដំណើរការប្រព័ន្ធឯកសារផ្លាស់ទី និងដកចេញ (ឧទាហរណ៍រួមមានការផ្លាស់ប្តូរគោលពីរដូចជា /usr/bin/wget និង /sbin/curl និងការលុបឯកសារដូចជា /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak) ។ ចេតនាប្រតិបត្តិការច្បាស់លាស់នៅពីក្រោយសកម្មភាពទាំងនេះមិនត្រូវបានយល់ច្បាស់ពីទិន្នន័យដែលមាននោះទេ។

បច្ចេកទេសគេចវេះ និងប្រឆាំងការវិភាគ

PolarEdge រួមបញ្ចូលនូវយន្តការការពារដ៏ស្មុគ្រស្មាញជាច្រើន ដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញ និងរារាំងការវិភាគ ដែលធ្វើឱ្យវាកាន់តែលំបាកសម្រាប់អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាព និងឧបករណ៍ស្វ័យប្រវត្តិក្នុងការកំណត់អត្តសញ្ញាណឥរិយាបទរបស់វា និងបំបែកការងារខាងក្នុងរបស់វា។

វាលាក់ព័ត៌មានលម្អិតនៃការចាប់ផ្តើមម៉ាស៊ីនមេ TLS របស់វា និងទម្លាប់នៃការបោះពុម្ពស្នាមម្រាមដៃតាមរយៈការធ្វើឱ្យយល់ច្រឡំ។

កំឡុងពេលចាប់ផ្ដើម វាដំណើរការការក្លែងបន្លំដំណើរការ ដោយជ្រើសរើសឈ្មោះដំណើរការដោយចៃដន្យពីបញ្ជីដែលភ្ជាប់មកជាមួយ ដើម្បីបញ្ចូលគ្នាជាមួយសេវាកម្មប្រព័ន្ធស្របច្បាប់។

ឈ្មោះដែលអាចមានមួយចំនួនរួមមាន:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

ភាពធន់ដោយមិនមានការតស៊ូបែបបុរាណ

PolarEdge មិន​ទំនង​ជា​ដំឡើង​យន្តការ​តស៊ូ​បែប​ប្រពៃណី​ដែល​រួច​ផុត​ពី​ការ​ចាប់ផ្ដើម​ឡើង​វិញ​ទេ។ ផ្ទុយទៅវិញ វាដំណើរការល្បិចពេលរត់៖ វាបំបែក ហើយដំណើរការកុមារធ្វើការស្ទង់មតិរៀងរាល់ 30 វិនាទីម្តង ដើម្បីពិនិត្យមើលថាតើថតឯកសារ/proc/ របស់មាតាបិតានៅតែមានឬអត់។ ប្រសិនបើថតឯកសារនោះបាត់ (បង្ហាញថាដំណើរការមេបានបាត់) កុមារដំណើរការពាក្យបញ្ជាសែលដើម្បីបើកដំណើរការ backdoor ឡើងវិញដោយមានប្រសិទ្ធភាពផ្តល់នូវការសង្គ្រោះពេលរត់តាមឱកាសជាជាងការបន្តដំណើរការជាអចិន្ត្រៃយ៍។

ការ​យក​ទៅ​ការពារ

ស្ថាប័នដែលគ្រប់គ្រងរ៉ោតទ័រ និងឧបករណ៍ NAS គួរតែធានាថាពួកគេអនុវត្តការអាប់ដេតរបស់អ្នកលក់ និងការបន្ធូរបន្ថយសម្រាប់ CVE-2023-20118 និងភាពងាយរងគ្រោះនៃការប្រតិបត្តិពីចម្ងាយស្រដៀងគ្នា។ ពួកគេគួរតែត្រួតពិនិត្យយ៉ាងសកម្មសម្រាប់សកម្មភាព TLS មិនធម្មតាពីឧបករណ៍បណ្តាញ និងការភ្ជាប់ទៅខាងក្រៅទៅកាន់ម៉ាស៊ីនដែលមិនបានរំពឹងទុក។ វាមានសារៈសំខាន់ដូចគ្នាក្នុងការមើលសញ្ញានៃការក្លែងបន្លំដំណើរការ និងការផ្លាស់ប្តូរដោយគ្មានការអនុញ្ញាត ឬការលុបបណ្តាញប្រព័ន្ធគោលពីរ និងស្គ្រីបដែលប្រឈមមុខនឹងបណ្តាញ។


និន្នាការ

American Express -...

ការបន្លំ, សារឥតបានការ
ជារឿយៗ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត កេងប្រវ័ញ្ចភាពស្គាល់ម៉ាកយីហោដែលអាចទុកចិត្តបាន ដើម្បីទាក់ទាញអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យឱ្យបង្ហាញព័ត៌មានរសើប។ ការបោកប្រាស់ 'American Express - ការប៉ុនប៉ងចូលត្រូវបានរារាំង' គឺជាឧទាហរណ៍ដ៏សំខាន់នៃយុទ្ធសាស្ត្រនេះ។ អ៊ីមែលទាំងនេះក្លែងបន្លំការជូនដំណឹងសុវត្ថិភាពពី American Express ដោយអះអាងថាការប៉ុនប៉ងចូលដែលគួរឱ្យសង្ស័យត្រូវបានរារាំង...

Sns Ransomware

Ransomware
Ransomware នៅតែជាការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលរំខានបំផុតដែលប្រឈមមុខនឹងបុគ្គល និងស្ថាប័ន។ កម្មវិធីព្យាបាទទាំងនេះអាចគ្រប់គ្រងទិន្នន័យ ទាមទារការទូទាត់ និងថែមទាំងគំរាមកំហែងដល់ការលេចធ្លាយព័ត៌មានលួច។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
33,536
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
23,186
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...