Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Botnet Kempen Botnet Kimwolf

Kempen Botnet Kimwolf

Menjelang Mezo pada Botnet
Terjemahkan ke

Penyelidik keselamatan telah menemui botnet besar-besaran yang berfokus pada Android yang dikenali sebagai Kimwolf, yang telah menjejaskan lebih dua juta peranti dengan mengeksploitasi rangkaian proksi kediaman. Perisian hasad ini mengubah perkakasan pengguna harian menjadi platform serangan global, menghalakan trafik berniat jahat secara senyap-senyap dan membolehkan operasi penafian perkhidmatan teragih (DDoS) berskala besar. Pemerhatian menunjukkan kira-kira 12 juta alamat IP unik setiap minggu, menonjolkan skop luar biasa operasi ini.

Asal Usul, Evolusi, dan Pautan ke AISURU

Kimwolf pertama kali dianalisis secara terbuka pada Disember 2025 , apabila penyiasat mengenal pasti hubungan teknikal dan infrastruktur yang kukuh dengan botnet lain yang dipanggil AISURU. Bukti menunjukkan Kimwolf telah aktif sekurang-kurangnya sejak Ogos 2025 dan mewakili evolusi AISURU berasaskan Android. Penyelidik semakin percaya botnet ini menguasai beberapa kempen DDoS yang memecah rekod yang diperhatikan menjelang akhir tahun lepas.

Jejak Jangkitan Global dan Peranti Sasaran

Walaupun Kimwolf mempunyai kehadiran di seluruh dunia, jangkitan banyak tertumpu di Vietnam, Brazil, India dan Arab Saudi. Sebahagian besar sistem yang terjejas ialah TV pintar Android dan kotak set-top tidak rasmi, yang kebanyakannya dihantar dengan konfigurasi lalai yang tidak selamat.

Sekurang-kurangnya 67% peranti yang disambungkan mendedahkan perkhidmatan Android Debug Bridge (ADB) yang tidak disahkan, menjadikannya terbuka untuk kawalan jauh. Penyiasat mengesyaki bahawa banyak produk ini dimuatkan dengan kit pembangunan perisian (SDK) berkaitan proksi sebelum sampai kepada pengguna, dengan berkesan mendaftarkannya ke dalam ekosistem proksi yang kemudiannya menjadi saluran penghantaran perisian hasad.

Bagaimana Kimwolf Menyebarkan dan Mengekalkan Kawalan

Pengendali Kimwolf bergantung pada rangkaian proksi kediaman yang besar untuk mengimbas internet bagi peranti Android yang menjalankan perkhidmatan ADB yang terdedah. Sebaik sahaja dikenal pasti, perisian hasad dipasang dari jauh, menjadikan peranti tersebut sebagai geganti trafik dan nod serangan. Muatan teras membuka pendengar pada port 40860 dan mewujudkan komunikasi keluar dengan 85.234.91[.]247:1337, yang mana ia menerima arahan operasi.

Seawal Disember 2025, jangkitan dikesan berpunca daripada alamat IP proksi yang disewa daripada IPIDEA yang berpangkalan di China, sebuah penyedia yang mengiklankan dirinya sebagai perkhidmatan proksi IP terkemuka di dunia dengan lebih 6.1 juta IP yang disegarkan setiap hari dan 69,000 alamat baharu setiap hari. Pada 27 Disember, IPIDEA telah menggunakan kemas kini keselamatan yang menyekat akses kepada rangkaian tempatan dan port sensitif selepas bukti muncul bahawa penyerang sedang menyelinap masuk melalui perisian proksi yang dipasang pelanggan untuk mencapai peranti dalaman.

Pendedahan yang dicipta oleh teknik ini digambarkan oleh penganalisis sebagai belum pernah terjadi sebelumnya, meletakkan berjuta-juta sistem pengguna secara langsung dalam laluan eksploitasi automatik.

Pengewangan: Proksi, Muatan dan Serangan Berbayar

Dari awal lagi, motif kewangan Kimwolf adalah jelas. Pengendali secara agresif mengkomersialkan infrastruktur mereka, menukar peranti yang dikompromi menjadi aset yang menjana keuntungan melalui pelbagai saluran:

  • Jualan akses proksi kediaman, diiklankan semurah $0.20 setiap GB atau kira-kira $1,400 sebulan untuk lebar jalur tanpa had, yang menarik penerimaan awal daripada pelbagai perkhidmatan proksi.
  • Penggunaan SDK pengewangan sekunder, terutamanya Plainproxies Byteconnect SDK, yang menghalakan tugas proksi berbayar daripada pelayan arahan kepada peranti yang dijangkiti melalui 119 pelayan geganti khusus.
  • Penyalahgunaan botnet untuk operasi jenayah siber, termasuk aktiviti DDoS berskala besar dan kempen pemadatan kelayakan yang diperhatikan terhadap perkhidmatan IMAP dan platform dalam talian yang popular.

Kehadiran kotak TV yang telah dijangkiti dan penyepaduan SDK perkongsian lebar jalur komersial sangat mencadangkan kerjasama yang lebih mendalam antara pengendali botnet dan segmen ekonomi proksi.

Langkah-langkah Pertahanan dan Pengurangan Risiko

Untuk mengurangkan ancaman yang serupa, tindakan yang diselaraskan diperlukan merentasi kedua-dua penyedia perkhidmatan dan persekitaran pengguna akhir:

  • Rangkaian proksi harus menyekat trafik yang ditujukan untuk julat alamat RFC 1918, menghalang pelanggan luaran daripada mencapai rangkaian peribadi dalaman tempat peranti pengguna berada.
  • Organisasi dan individu mesti melumpuhkan atau menyekat akses ADB yang tidak disahkan pada sistem Android, terutamanya peranti terbenam dan gaya IoT yang sering dihantar dengan tetapan lalai yang tidak selamat.

Tanpa kawalan ini, ekosistem proksi kediaman akan terus menyediakan perlindungan ideal untuk penggunaan perisian hasad berskala besar dan pengembangan botnet.

Trending

Paling banyak dilihat

Memuatkan...