សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង បូតណេត Ballista Botnet

Ballista Botnet

ដោយ Mezo ក្នុង បូតណេត
បកប្រែទៅ៖
ភាសាខ្មែរ

យុទ្ធនាការ botnet ថ្មីមួយដែលមានឈ្មោះថា Ballista ត្រូវបានគេកំណត់អត្តសញ្ញាណ ដោយកំណត់គោលដៅច្បាស់លាស់ទៅលើរ៉ោតទ័រ TP-Link Archer ដែលមិនបានជួសជុល។ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញថា botnet ទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះពីចម្ងាយប្រតិបត្តិកូដ (RCE) -CVE-2023-1389- ដើម្បីផ្សព្វផ្សាយពាសពេញអ៊ីនធឺណិត។ កំហុសធ្ងន់ធ្ងរនេះប៉ះពាល់ដល់រ៉ោតទ័រ TP-Link Archer AX-21 ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ និងគ្រប់គ្រងឧបករណ៍។

បន្ទាត់ពេលវេលានៃការកេងប្រវ័ញ្ច

ភ័ស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្មមានតាំងពីខែមេសា ឆ្នាំ 2023 នៅពេលដែលតួអង្គគំរាមកំហែងមិនស្គាល់ដំបូងបានប្រើភាពងាយរងគ្រោះដើម្បីចែកចាយ Mirai botnet malware ។ ចាប់តាំងពីពេលនោះមក វាត្រូវបានប្រើប្រាស់ដើម្បីរីករាលដាលមេរោគមេរោគផ្សេងទៀត រួមទាំង Condi និង AndroxGh0st ដែលបង្កើនការឈានដល់ និងផលប៉ះពាល់បន្ថែមទៀត។

របៀបដែលការវាយប្រហារដំណើរការ

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមដោយកម្មវិធីទម្លាក់មេរោគ ដែលជាស្គ្រីបសែលដែលមានឈ្មោះថា 'dropbpb.sh' ដែលទាញយក និងដំណើរការប្រព័ន្ធគោលពីរដែលមានគំនិតអាក្រក់នៅលើរ៉ោតទ័រដែលបានកំណត់គោលដៅ។ មេរោគនេះត្រូវបានរចនាឡើងដើម្បីដំណើរការលើស្ថាបត្យកម្មប្រព័ន្ធជាច្រើន រួមមាន MIPS, mipsel, armv5l, armv7l និង x86_64។ នៅពេលដំឡើងរួច វាបង្កើតឆានែល Command-and-Control (C2) ដែលបានអ៊ិនគ្រីបនៅលើច្រក 82 ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងឧបករណ៍ដែលមានមេរោគពីចម្ងាយ។

សមត្ថភាពរបស់ Ballista Botnet

នៅពេលដែលនៅក្នុងប្រព័ន្ធមួយ Ballista អនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិជួរនៃពាក្យបញ្ជា រួមទាំង៖

  • Flooder - ចាប់ផ្តើមការវាយប្រហារលើការបដិសេធសេវា (DoS) ដោយផ្អែកលើទឹកជំនន់។
  • កេងប្រវ័ញ្ច - កេងប្រវ័ញ្ច CVE-2023-1389 ដើម្បីឆ្លងរ៉ោតទ័របន្ថែម។
  • ចាប់ផ្តើម - ចាប់ផ្តើមម៉ូឌុលអ្នកកេងប្រវ័ញ្ច។
  • បិទ - បញ្ឈប់ម៉ូឌុលកេងប្រវ័ញ្ច។
  • សែល - ប្រតិបត្តិពាក្យបញ្ជាសែលលីនុចនៅលើប្រព័ន្ធមេរោគ។
  • Killall - បញ្ចប់សេវាកម្មមេរោគដែលកំពុងដំណើរការ។

លើសពីនេះ មេរោគអាចលុបដាននៃវត្តមានរបស់វា និងរីករាលដាលដោយស្វ័យភាពដោយការស្វែងរក និងទាញយកឧបករណ៍ដែលងាយរងគ្រោះ។

សញ្ញានៃការតភ្ជាប់អ៊ីតាលី

ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធរបស់ Ballista បង្ហាញពីតំណភ្ជាប់អ៊ីតាលី។ ប្រព័ន្ធគោលពីរនៃមេរោគមានខ្សែអក្សរភាសាអ៊ីតាលី ហើយម៉ាស៊ីនមេ C2 ដំបូងត្រូវបានបង្ហោះនៅ 2.237.57.70 ដែលជាអាសយដ្ឋាន IP របស់អ៊ីតាលី។ ទោះជាយ៉ាងណាក៏ដោយ មេរោគនេះហាក់ដូចជាស្ថិតនៅក្រោមការអភិវឌ្ឍន៍ជាបន្តបន្ទាប់ ដោយសារតែកំណែថ្មីជាងនេះឥឡូវនេះប្រើដែនបណ្តាញ TOR ជំនួសឱ្យអាសយដ្ឋាន IP រឹង។

ផលប៉ះពាល់ជាសកល៖ រ៉ោតទ័ររាប់ពាន់ដែលមានហានិភ័យ

ការស្វែងរកគោលដៅបង្ហាញថាឧបករណ៍ជាង 6,000 ត្រូវបានរងផលប៉ះពាល់ដោយ Ballista រួចហើយ។ តំបន់ដែលងាយរងគ្រោះបំផុតរួមមាន ប្រេស៊ីល ប៉ូឡូញ ចក្រភពអង់គ្លេស ប៊ុលហ្គារី និងតួកគី។ ដោយសារការវិវត្តន៍ដ៏សកម្មរបស់វា botnet នេះនៅតែជាការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះ Router ដែលមិនបានជួសជុលនៅទូទាំងពិភពលោក។

និន្នាការ

PayPal - អ្នកបានបន្ថែមអាសយដ្ឋានអ៊ីមែលបោកប្រាស់

ការបន្លំ, សារឥតបានការ
ពិភពឌីជីថលគឺពោរពេញដោយគ្រោងការណ៍បោកបញ្ឆោតដែលត្រូវបានរចនាឡើងដើម្បីរៀបចំអ្នកប្រើប្រាស់ឱ្យផ្តល់ព័ត៌មានរសើប ឬដំឡើងកម្មវិធីដែលមិនមានសុវត្ថិភាព។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជារឿយៗក្លែងបន្លំក្រុមហ៊ុនល្បីៗដូចជា PayPal ដើម្បីធ្វើឱ្យការបោកប្រាស់របស់ពួកគេមើលទៅគួរឱ្យជឿជាក់។ យុទ្ធនាការក្លែងបន្លំមួយ ដែលគេស្គាល់ថាជា 'PayPal - អ្នកបានបន្ថែមអាសយដ្ឋានថ្មី'...

Plebeianness.app

Adware, មេរោគ Mac, កម្មវិធីដែលមិនចង់បានសក្តានុពល
ពិភពនៃសុវត្ថិភាពតាមអ៊ីនធឺណិតកំពុងវិវឌ្ឍឥតឈប់ឈរ ហើយសូម្បីតែអ្នកប្រើប្រាស់ Mac ក៏មិនមានភាពស៊ាំទៅនឹងការគំរាមកំហែងដែលបង្កឡើងដោយកម្មវិធីដែលមិនមានសុវត្ថិភាពដែរ។...

មើលច្រើនបំផុត

'iPhone របស់អ្នកត្រូវបាន Hack' លេចឡើង

Adware
26,264
ដោយសារបច្ចេកវិទ្យាត្រូវបានដាក់បញ្ចូលទៅក្នុងជីវិតប្រចាំថ្ងៃរបស់យើងយ៉ាងខ្លាំង ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងស្វែងរកវិធីថ្មីដើម្បីទាញយកភាពងាយរងគ្រោះសម្រាប់ចេតនាព្យាបាទរបស់ពួកគេ។...

មេរោគ

ការបន្លំ, សារឥតបានការ
23,691
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...
កំពុង​ផ្ទុក...