Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

Medusa botnet ກັບມາອີກຄັ້ງໃນຮູບແບບ Mirai-based ພ້ອມກັບ ransomware sting

Medusa botnet ກັບມາອີກຄັ້ງໃນຮູບແບບ Mirai-based ພ້ອມກັບ ransomware stingCyble ບໍລິສັດ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພທາງ​ໄຊ​ເບີ​​ ເປີດ​ເຜີຍ​ວ່າ ຄົ້ນພົບ​ Medusa DDoS (distributed denial of service) botnet ເວີ​ຊັ່ນ​ໃໝ່​ ທີ່​ພັດທະນາ​ຈາກ​ Mirai code based ຊຶ່ງ​ປະກອບ​​ດ້ວຍ​ຄວາມ​ສາມາດ​ຂອງ​ ransomware ແລະ​ Telnet brute-forcer ຊຶ່ງ​ສາມາດ​ກຳນົດ​ເປົ້າ​ໝາຍ​ເທິງ​ Linux ແລະ​ ສາມາດ​ໂຈມ​ຕີ​ DDoS ໄດ້​​ຫຼາຍ​ຮູບ​ແບບ​ ແລະ​ ປັດຈຸບັນ​​ Medusa ໄດ້​ກາຍ​ເປັນ​ MaaS (malware-as-a-service) ສຳລັບ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ DDoS ຫຼື ​ການ​ຂູດ​ຫຼຽນ​ຄຣິບ​ໂຕ (Crypto)​ ​ໄດ້ຮັບ​ປະ​ກັນ​ຄວາມ​ສະຖຽນ​ຂອງ​ບໍລິການ​ ລວມ​ທັງ​ການ​ບໍ່​ເປີດ​ເຜີຍ​ຕົວ​ຕົນ​ຂອງ​ລູກ​ຄ້າ,​ ມີ​ API ທີ່​ໃຊ້​ງານ​ໄດ້​ງ່າຍ​ ແລະ​ ຄ່າ​ໃຊ້​ຈ່າຍ​ທີ່​ປັບ​ໄດ້​ຕາມ​ຄວາມ​ຕ້ອງ​ການ​ຂອງ​ຜູ້​ໃຊ້​ບໍລິການ​.



Medusa ເປັນ​ມັນ​ແວ ​(Malware) ທີ່​ມີ​ມາ​ຢ່າງ​ຍາວ​ນານ​ ຊຶ່ງ​ມີ​ການ​ໂຄສະ​ນາ​ຂາຍ​ໃນ​ຕ​ະຫຼາດ​ມືດ​ຕັ້ງ​ແຕ່​ປີ​ 2015 ແລະ ​ຕໍ່​ມາ​ໄດ້​ເພີ່ມ​ຄວາມ​ສາມາດ​ໃນ​ການ​ໂຈມ​ຕີ​ DDoS ຜ່ານ​ HTTP protocol ໃນ​ປີ​ 2017.

ຄຸນສົມບັດຂອງ​ Ransomware

ສິ່ງ​ທີ່​ນ່າສົນ​ໃຈ​ສຳລັບ​ Medusa ຮູບ​ແບບ​ໃໝ່​ນີ້​ຄື​ຄຸນສົມບັດ​ຂອງ​ Ransomware ທີ່​ຊ່ວຍ​ໃຫ້​ສາມາດ​ຄົ້ນ​ຫາ​ໄດ​ເຣັກ​ທໍ​ຣີ​ (Directory) ທັງ​ໝົດສຳລັບ​ປະ​ເພດ​ຟາຍ​ທີ່​ກຳນົດ​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ ຊຶ່ງລາຍ​ການ​ປະ​ເພດ​ຟາຍ​ເປົ້າ​ໝາຍ​ນັ້ນ​ປະກອບ​ມີ ​ຟາຍ​ເອກະສານ​ ແລະ ​ຟາຍ vector design ເປັນ​ຫຼັກ​.



ຟາຍທີ່​ເປັນ​ເປົ້າ​ໝາຍ​ຈະ​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ດ້ວຍ​ AES 256 ບິດ​ ແລະ ​ນາມ​ສ​ະກຸນ​ .medusastealer ຕໍ່​ທ້າຍ​ຊື່​ຟາຍ​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​.


ນອກຈາກນີ້, ມັນ​ບໍ່​ພຽງ​ແຕ່​ເຂົ້າ​ລະຫັດ​ຂໍ້​ມູນ​ເທົ່າ​ນັ້ນ​ ແຕ່​ຍັງ​ເປັນ​ data wiper ທີ່ມີເປົ້າໝາຍທຳລາຍ​ຂໍ້​ມູນ​ເທິງ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ອີກ​ດ້ວຍ​ ຊຶ່ງຫຼັງ​ຈາກ​ເຂົ້າ​ລະຫັດ​ຟາຍເທິງ​ເຄື່ອງຜູ້ເປັນ​ເຫຍື່ອ​ແລ້ວ​ ມັນ​ແວ​​ຈະ​ເຂົ້າ​ສູ່​ໂໝດ​ Sleep ​ເປັນ​ເວລາ​ 86,400 ວິ​ນາ​ທີ​ (24 ຊັ່ວ​ໂມງ​) ຫຼັງ​ຈາກ​ນັ້ນ​ຈະ​ລຶບ​ຟາຍ​ທັງ​ໝົດ​ໃນ​ Drive ເທິງລະບົບ ​ແລ້ວ​​ຈະ​ສະແດງ​ຂໍ້ຄວາມເອີ້ນ​ຄ່າ​ໄຖ່​ໃຫ້​ຊຳ​ລະ​ເງີນ​ 0.5 BTC ($11,400).


Cyble ວິ​ເຄາະ​ວ່າ​ ​Medusa ​ລຶບ​ຂໍ້​ມູນ​ຖິ້ມ​ຫຼັງ​ຈາກ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ເປັນ​ຂໍ້​ຜິດ​ພາດ​ຂອງ​ຄຳ​ສັ່ງ​​ ເນື່ອງ​ຈາກ​ທຳລາຍ​ຂໍ້​ມູນ​ເທິງ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ ຈະ​ເຮັດໃຫ້​ເຫຍື່ອ​ບໍ່​ສາມາດ​ໃຊ້​ງານ​ລະບົບ​ຂອງ​ຕົນໄດ້​ ແຕ່​ການ​ເປີດ​ອ່ານ​ຂໍ້ຄວາມ​ເອີ້ນ​ເຫດ​ຄ່າ​ໄຖ່​ໄດ້​ ຊຶ່ງ​ຂໍ້​ຜິດ​ພາດ​ນີ້​ສະແດງ​ໃຫ້​ເຫັນ​ວ່າ​ Medusa ຮູບ​ແບບ​ໃໝ່​ ຍັງຢູ່ໃນຊ່ວງການພັດທະນາຄຸນສົມບັດ​ ແລະ ຍັງອີກຈຸດ​ສັງເກດ​ທີ່ວ່າ​​ Medusa ຮູບ​ແບບ​ໃໝ່​ຈະ​ມີ​ເຄື່ອງ​ມື​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ ແຕ່​ຍັງບໍ່ພົບລາຍງານການ​ລັກ​ຟາຍ​ຂໍ້​ມູນ​ຂອງ​ເຫຍື່ອ​ກ່ອນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ ແຕ່​ສ່ວນຫຼາຍຈະ​​ເນັ້ນ​ໄປ​ທີ່​ການ​ສັງລວມ​ຂໍ້​ມູນ​ລະບົບ​ພື້ນ​ຖານ​ທີ່​ຊ່ວຍ​ໃນ​ການ​ລະ​ບຸ​ຕົວ​ຕົນ​ຂອງ​ເຫຍື່ອ​ ແລະ​ ປະ​ເມີນ​ຊັບພະຍາກອນຂອງ​ເຄື່ອງ​ສຳລັບ​ການ​ຂູດ​ຫຼຽນ​ຄຣິບ​ໂຕ​ ແລະ ​ການ​ໂຈມ​ຕີ​ DDoS.



ສຸດ​ທ້າຍ​ເມື່ອ​ສາມາດຂອງ Medusa ​ເຊື່ອມ​ຕໍ່​ຜ່ານ​ Telnet ໄດ້​ສຳ​ເລັດ​ ​ຈະເຮັດການ​ເອີ້ນ​ນໍາໃຊ້​ງານ​ Payload​ ("infection_medusa_stealer") ແລະ ຍັງ​ພົບ​ວ່າ​ Payload ​ຕົວສຸດ​ທ້າຍ​ຂອງ​ Medusa ໄດ້​ຮອງ​ຮັບ​ຄຳ​ສັ່ງ​ "FivemBackdoor" ແລະ​ "sshlogin" ໄດ້​ບໍ່​ທັນສົມບູນ​ ເນື່ອງ​ຈາກຍັ​ງຢູ່ໃນ​ລະຫວ່າງ​ການ​ພັດທະນາ​.

IOC



ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/medusa-botnet-returns-as-a-mirai-based-variant-with-ransomware-sting/
  2. https://blog.cyble.com/2023/02/03/new-medusa-botnet-emerging-via-mirai-botnet-targeting-linux-users/
  3. https://www.i-secure.co.th/2023/02/medusa-botnet-%e0%b8%81%e0%b8%a5%e0%b8%b1%e0%b8%9a%e0%b8%a1%e0%b8%b2%e0%b8%ad%e0%b8%b5%e0%b8%81%e0%b8%84%e0%b8%a3%e0%b8%b1%e0%b9%89%e0%b8%87%e0%b9%83%e0%b8%99%e0%b8%a3%e0%b8%b9%e0%b8%9b%e0%b9%81/

ລາຍການຮູບ

Meesaisak 17 February 2023 1,296 Print