Quad7 Botnet

អ្នកឯកទេសសុវត្ថិភាពតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណអ្នកគំរាមកំហែងជនជាតិចិនដែលត្រូវបានគេស្គាល់ថា Storm-0940 ដោយប្រើប្រាស់ botnet ដែលមានឈ្មោះថា Quad7 ដើម្បីធ្វើការវាយលុកដោយស្មុគ្រស្មាញ និងគេចវេសពីពាក្យសម្ងាត់។ botnet នេះក៏ត្រូវបានគេសំដៅថាជា CovertNetwork-1658 ដែលត្រូវបានប្រើប្រាស់ដើម្បីលួចអត្តសញ្ញាណពីអតិថិជន Microsoft ផ្សេងៗ។ ដំណើរការតាំងពីឆ្នាំ 2021 មក Storm-0940 ទទួលបានសិទ្ធិចូលប្រើដំបូងដោយប្រើប្រាស់បច្ចេកទេសបាញ់ពាក្យសម្ងាត់ និង brute-force ឬដោយកំណត់គោលដៅភាពងាយរងគ្រោះ និងការកំណត់មិនត្រឹមត្រូវនៅក្នុងកម្មវិធី និងសេវាកម្មគែមបណ្តាញ។

អ្នកវាយប្រហារកំណត់គោលដៅឧបករណ៍ដែលងាយរងគ្រោះជាច្រើន។

Storm-0940 ត្រូវបានទទួលស្គាល់សម្រាប់ការផ្តោតអារម្មណ៍របស់ខ្លួនលើអង្គការនានានៅទូទាំងអាមេរិកខាងជើង និងអឺរ៉ុប រួមទាំងក្រុមអ្នកគិត ស្ថាប័នរដ្ឋាភិបាល អង្គការក្រៅរដ្ឋាភិបាល ក្រុមហ៊ុនច្បាប់ និងវិស័យនានានៅក្នុងឧស្សាហកម្មការពារជាតិ។

Quad7 botnet ដែលត្រូវបានគេហៅថា 7777 ឬ xlogin ត្រូវបានអ្នកស្រាវជ្រាវសិក្សាយ៉ាងហ្មត់ចត់។ មេរោគនេះបានបង្ហាញពីការផ្តោតជាពិសេសទៅលើរ៉ោតទ័រ SOHO និងឧបករណ៍ VPN ពីម៉ាកល្បីៗជាច្រើនដូចជា TP-Link, Zyxel, Asus, Axentra, D-Link និង NETGEAR ។

ឧបករណ៍ទាំងនេះត្រូវបានសម្របសម្រួលដោយការទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះសុវត្ថិភាពដែលត្រូវបានកំណត់អត្តសញ្ញាណ និងមិនស្គាល់សក្តានុពល ដើម្បីសម្រេចបាននូវការប្រតិបត្តិលេខកូដពីចម្ងាយ។ ឈ្មោះរបស់ botnet, Quad7, កើតចេញពីការពិតដែលថារ៉ោតទ័រដែលមានមេរោគរួមបញ្ចូល backdoor ដែលស្តាប់នៅលើច្រក TCP 7777 ដែលអនុញ្ញាតឱ្យចូលប្រើពីចម្ងាយ។

យុទ្ធសាស្ត្របង្ហាញដោយ Quad & Attackers

គិតត្រឹមខែកញ្ញា ឆ្នាំ 2024 botnet ហាក់ដូចជាត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាចម្បងសម្រាប់ការវាយប្រហារដោយបង្ខំលើគណនី Microsoft 365 ដោយមានការចង្អុលបង្ហាញថាតួអង្គដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិនទំនងជានៅពីក្រោយប្រតិបត្តិការទាំងនេះ។

ការវាយតម្លៃរបស់ក្រុមហ៊ុន Microsoft បង្ហាញថា ប្រតិបត្តិកររបស់ botnet មានមូលដ្ឋាននៅក្នុងប្រទេសចិន ដែលតួអង្គគំរាមកំហែងជាច្រើនប្រើប្រាស់វាសម្រាប់ការវាយប្រហារដោយបាញ់ពាក្យសម្ងាត់ ដើម្បីបើកការកេងប្រវ័ញ្ចបណ្តាញបន្ថែមទៀត។ សកម្មភាពតាមដានទាំងនេះរួមមាន ចលនានៅពេលក្រោយ ការដាក់ពង្រាយ Remote Access Trojan (RAT) និងកិច្ចខិតខំប្រឹងប្រែងក្នុងការទាញយកទិន្នន័យ។

Storm-0940 ស្ថិតក្នុងចំណោមអ្នកដែលប្រើប្រាស់វិធីសាស្ត្រនេះ។ វាទទួលបានសិទ្ធិចូលប្រើអង្គការគោលដៅដោយប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលមានសុពលភាពដែលទទួលបានតាមរយៈការវាយប្រហារទាំងនេះ—ជាញឹកញាប់នៅថ្ងៃតែមួយដែលព័ត៌មានសម្ងាត់ត្រូវបានសម្របសម្រួល។ ការផ្លាស់ប្តូរយ៉ាងឆាប់រហ័សនេះទៅនឹងការកេងប្រវ័ញ្ចគោលដៅចង្អុលទៅកម្រិតខ្ពស់នៃការសម្របសម្រួលរវាងប្រតិបត្តិករ botnet និង Storm-0940 ។

ទន្ទឹមនឹងនេះដែរ CovertNetwork-1658 ប្រើវិធីសាស្រ្តទប់ស្កាត់បន្ថែមទៀត ជាមួយនឹងការព្យាយាមចូលមួយចំនួនតូចចែកចាយទូទាំងគណនីជាច្រើននៅអង្គការគោលដៅមួយ។ ក្នុងប្រហែល 80% នៃករណី សកម្មភាពត្រូវបានកំណត់ចំពោះការប៉ុនប៉ងចូលគណនីតែមួយដងក្នុងមួយថ្ងៃ។

ឧបករណ៍រាប់ពាន់ត្រូវបានសម្របសម្រួលដោយ Quad7

ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលប្រហែល 8,000 ត្រូវបានគេជឿថាមានសកម្មភាពនៅក្នុងបណ្តាញនៅពេលណាមួយដែលមានតែប្រហែល 20 ភាគរយនៃឧបករណ៍ទាំងនេះដែលចូលរួមក្នុងការវាយប្រហារដោយបាញ់ពាក្យសម្ងាត់។

អ្នកជំនាញបានសង្កេតឃើញការធ្លាក់ចុះយ៉ាងខ្លាំងនៃហេដ្ឋារចនាសម្ព័ន្ធ botnet បន្ទាប់ពីការបង្ហាញជាសាធារណៈរបស់ខ្លួន ដោយបង្ហាញថាអ្នកគំរាមកំហែងអាចកំពុងស្វែងរកហេដ្ឋារចនាសម្ព័ន្ធថ្មីជាមួយនឹងការផ្លាស់ប្តូរស្នាមម្រាមដៃដើម្បីជៀសវាងការរកឃើញ។

ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ CovertNetwork-1658 អនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងណាមួយអាចចាប់ផ្តើមយុទ្ធនាការបាញ់ថ្នាំលេខសម្ងាត់ក្នុងទ្រង់ទ្រាយធំជាងមុន ដោយបង្កើនឱកាសនៃការសម្របសម្រួលដោយជោគជ័យនូវព័ត៌មានសម្ងាត់ និងការទទួលបានសិទ្ធិចូលដំណើរការដំបូងទៅកាន់អង្គការជាច្រើនក្នុងរយៈពេលខ្លី។

ការឈានដល់ដ៏ទូលំទូលាយនេះ រួមជាមួយនឹងការផ្លាស់ប្តូរយ៉ាងឆាប់រហ័សនៃព័ត៌មានសម្ងាត់ដែលត្រូវបានសម្របសម្រួលរវាង CovertNetwork-1658 និងតួអង្គគំរាមកំហែងរបស់ចិន បង្កើនហានិភ័យនៃការសម្របសម្រួលគណនីនៅទូទាំងវិស័យ និងតំបន់ផ្សេងៗ។

អ្នកជំនាញដែលបានកត់សម្គាល់ពីការថយចុះនៃសកម្មភាព botnet បង្ហាញថាចរាចរណ៍នៅតែបង្ហាញថា Quad7 នៅតែដំណើរការ។ ទោះជាយ៉ាងណាក៏ដោយ វាចាំបាច់ក្នុងការទទួលស្គាល់ថាការថយចុះគួរឱ្យកត់សម្គាល់នេះនៅក្នុងរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួលឆ្លុះបញ្ចាំងតែការរំលោភដែលអាចមើលឃើញប៉ុណ្ណោះ។ មានលទ្ធភាពដែលប្រតិបត្តិករ Quad7 បានបង្កើតវិធីសាស្រ្តដើម្បីសម្របសម្រួលឧបករណ៍ដោយប្រុងប្រយ័ត្ន និងជៀសវាងការរកឃើញ។