AIRASHI Botnet

Ang isang zero-day na kahinaan sa mga cnPilot router ng Cambium Networks ay naging pinakabagong tool para sa mga cybercriminal na nagde-deploy ng AISURU botnet na variant na kilala bilang AIRASHI. Ang kampanyang ito, na aktibo mula noong Hunyo 2024, ay nagsasamantala sa kapintasan upang ayusin ang malalakas na pag-atake sa Distributed Denial-of-Service (DDoS). Ang mga mananaliksik sa seguridad ay nagtago ng mga detalye tungkol sa kahinaan upang limitahan ang maling paggamit nito habang nagpapatuloy ang mga pagsisiyasat.

Isang Kasaysayan ng Pinagsamantalahang Mga Kahinaan

Ang AIRASHI botnet ay hindi limitado sa isang vector ng pag-atake. Gumagamit ito ng isang serye ng mga kahinaan, kabilang ang CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85202, CVE-2020-85202, CVE-2020-85202 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 at iba pang mga depekto na makikita sa mga AVTECH IP camera, LILIN DVR at Shenzhen TVT device. Sa pamamagitan ng pagsasamantala sa malawak na spectrum ng mga kahinaan na ito, patuloy na pinapalago ng AIRASHI ang abot at pagiging sopistikado nito.

Mga Kakayahan sa Pag-atake ng DDoS: Isang Mas Malapit na Pagtingin

Ang mga operator sa likod ng AIRASHI ay hindi nahihiya sa kanilang mga aktibidad, na nagpo-post ng mga resulta ng pagsubok ng kanilang mga kakayahan sa DDoS ng botnet sa Telegram. Ang makasaysayang data ay nagpapakita na ang kapasidad ng pag-atake nito ay nagpapatatag sa paligid ng 1-3 Tbps. Sa heograpiya, karamihan sa mga nakompromisong device ay matatagpuan sa Brazil, Russia, Vietnam at Indonesia. Gayunpaman, ang mga target ay puro sa mga rehiyon tulad ng China, United States, Poland, at Russia, kung saan ang mga mapaminsalang operasyon ng botnet ang nagdulot ng pinakamaraming pagkagambala.

Ang Ebolusyon ng AISURU hanggang AIRASHI

Ang AIRASHI ay nagmula sa AISURU botnet, na dating natukoy noong Agosto 2024 sa panahon ng high-profile na pag-atake ng DDoS sa Steam, na kasabay ng paglabas ng larong Black Myth: Wukong. Pagkatapos pansamantalang ihinto ang mga operasyon nito noong Setyembre 2024, muling lumitaw ang botnet na may mga na-update na feature na may codenamed na "kitty" at binago pa bilang AIRASHI noong Nobyembre.

Isang Dual-Purpose Botnet: AIRASHI-DDoS at AIRASHI-Proxy

Ang AIRASHI ay gumagana sa dalawang magkakaibang anyo:

• AIRASHI-DDoS : Natukoy noong huling bahagi ng Oktubre 2024, ang variant na ito ay nakatuon sa mga pag-atake ng DDoS ngunit pinalawak ang mga kakayahan nito upang isama ang arbitrary na pagpapatupad ng command at reverse shell access.
• AIRASHI-Proxy : Inilabas noong Disyembre 2024, ang variation na ito ay nagdaragdag ng proxy functionality, na nagpapahiwatig ng pagkakaiba-iba ng mga serbisyo sa kabila ng mga pagpapatakbo ng DDoS.

Pagsulong ng Komunikasyon at Pag-encrypt

Upang matiyak ang secure at mahusay na mga operasyon, gumagamit ang AIRASHI ng bagong network protocol na gumagamit ng HMAC-SHA256 at CHACHA20 na mga algorithm sa pag-encrypt. Habang sinusuportahan ng AIRASHI-DDoS ang 13 natatanging uri ng mensahe, gumagamit ang AIRASHI-Proxy ng mas streamline na diskarte na may lima. Bukod pa rito, dynamic na inaayos ng botnet ang mga pamamaraan nito upang makuha ang mga detalye ng Command-and-Control (C2) server sa pamamagitan ng mga query sa DNS.

Mga Botnet at IoT Device: Isang Patuloy na Banta sa Cyber

Itinatampok ng mga natuklasan ang patuloy na pagsasamantala ng mga cybercriminal sa mga kahinaan ng IoT device. Ang mga IoT device ay nagsisilbing parehong entry point para sa mga masasamang aktor at ang pundasyon para sa pagbuo ng mga mahuhusay na botnet. Sa pamamagitan ng paggamit sa mga nakompromisong device na ito, pinalalakas ng mga threat actor ang kapangyarihan ng mga pag-atake ng DDoS, na nagpapakita ng kritikal na pangangailangan para sa pinahusay na seguridad ng device sa IoT ecosystem.