Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ມັນແວ AVrecon ມີເປົ້າໝາຍໄປທີ່ Linux routers ຫຼາຍກວ່າ 70,000 ເຄື່ອງ ເພື່ອສ້າງ botnet ໂຈມຕີ

ມັນແວ AVrecon ມີເປົ້າໝາຍໄປທີ່ Linux routers ຫຼາຍກວ່າ 70,000 ເຄື່ອງ ເພື່ອສ້າງ botnet ໂຈມຕີ

ທີມ​ນັກ​ວິ​ໄຈ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ໄຊ​ເບີ Black Lotus Labs ຂອງ Lumen ລາຍ​ງານ​ການ​ຄົ້ນ​ພົບ stealthy Linux malware ທີ່​ມີ​ຊື່​ວ່າ AVrecon ໄດ້​ແຜ່ລະບາດໄປ​ທີ່ Linux-based small office/home office (SOHO) routers ຫຼາຍກວ່າ 70,000 ເຄື່ອງ ເພື່ອ​ສ້າງ botnet ທີ່​ອອກ​ແບບ​ມາ​ເພື່ອ​ແອບ​ໃຊ້​ງານ​ແບນ​ວິດ ແລະ ​ໃຫ້​ບໍລິການ proxy ເຮັດໃຫ້ Hacker ສາມາດ​ນຳ​ໄປ​ໃຊ້​ໃນ​ການ​ສໍ້​ໂກງ​ໂຄສະ​ນາ​ ຫຼື ໂຈມ​ຕີ​ແບບ password spraying.

ໂດຍ​ນັກ​ວິໄ​ຈໄດ້​ຄົ້ນ​ພົບວ່າ AVrecon malware remote access trojan (RAT) ໃນ​ຂະນະ​ທີ່​ກຳ​ລັງ​ໂຈມ​ຕີ​ອຸປະກອນ​ຫຼາຍກວ່າ 70,000 ເຄື່ອງ ແລະ​ ໄດ້​ຖືກ​ສ້າງ​ເປັນ botnet ຈຳນວນ 40,000 ເຄື່ອງ
stealthy Linux malware ໂດຍສ່ວນ​ຫຼາຍ​ສາມາດ​ຫລີກລ່ຽງການ​ກວດ​ຈັບ​ໄດ້ ​ຕັ້ງ​ແຕ່​ກວດ​ພົບ​ເທື່ອ​ທຳອິດ ໃນ​ເດືອນ​ພຶດສະພາ 2021 ໄດ້​ຄົ້ນ​ພົບ stealthy Linux malware ທີ່​ກຳນົດ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ໄປ​ທີ່ Netgear router ຫຼັງ​ຈາກ​ນັ້ນ ​ກໍ່ບໍ່​ຖືກ​ກວດ​ພົບ​ເປັນ​ເວລາ​ສອງ​ປີ​ກວ່າ ຈົນ​ມາພົບວ່າ​ໄດ້​ກາຍ​ເປັນ​ໜຶ່ງ​ໃນ botnet ທີ່​ກຳນົດ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ໄປ​ທີ່ SOHO routers ທີ່​ໃຫຍ່​ທີ່ສຸດ​ ທີ່​ຄົ້ນ​ພົບ​ໃນ​ຊ່ວງ​ບໍ່​ເທົ່າໃດ​ປີ​ທີ່​ຜ່ານມານີ້.

ເມື່ອ router ໄດ້​ຖືກ​ປ່ຽນ​ໃຫ້ເປັນ botnet ແລ້ວ ຈະ​ສົ່ງ​ຂໍ້​ມູນ​ຂອງ router ເຄື່ອງ​ດັ່ງ​ກ່າວ ໄປ​ທີ່ command-and-control (C2) server ຂອງ Hacker ຫຼັງ​ຈາກ​ນັ້ນ botnet ເຄື່ອງ​ດັ່ງ​ກ່າວ ​ຈະ​ໄດ້ຮັບ​ຄຳ​ສັ່ງ​ໃຫ້​ສ້າງ​ການ​ສື່​ສານ​ກັບ​ກຸ່ມ​ເ​ຊີເວີ​ອິດສະຫຼະ ຊຶ່ງ​ຮຽກວ່າ second-stage C2 server ຊຶ່ງ​ທາງ​ນັກ​ວິໄ​ຈ​ໄດ້​ພົບ second-stage C2 server ຫຼາຍກວ່າ 15 ເຄື່ອງ ​ທີ່​ເປີດ​ໃຊ້​ງານ​ຕັ້ງ​ແຕ່​ ເດືອນ ​ຕຸລາ 2021 ເປັນ​ຢ່າງ​ນ້ອຍ ໂດຍ​ອິງ​ຕາມ​ຂໍ້​ມູນ​ໃບ​ຮັບຮອງ x.509

ທີມ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ Black Lotus ຂອງ Lumen ໄດ້​​ກຳຈັດ AVrecon malware ດ້ວຍ​ການ​ປິດ​ການ​ກຳນົດ​ເສັ້ນ​ທາງ C2 server ຂອງ botnet ຜ່ານ​ເຄືອ​ຂ່າຍ​ຫຼັກ ເຮັດໃຫ້ botnet ບໍ່​ສາມາດ​ເຊື່ອມ​ຕໍ່​ກັບ C2 server ໄດ້.

ເຊັ່ນ​ດຽວ​ກັບ​ຄຳ​ສັ່ງ​ການ​ປະຕິບັດ​ງານ binding operational directive (BOD) ທີ່​ອອກ​ໂດຍ CISA ໄດ້​ສັ່ງ​ການ​ໃຫ້​ໜ່ວຍ​ງານ​ລັດຖະບານ​ກາງ​ຂອງ​ສະ​ຫະລັດ​ອາ​ເມ​ລີ​ກາ ​ອັບ​ເດດ​ແພັດ​ (Patch) ແລະ​ ຮັກສາ​ຄວາມ​ປອດໄ​ພຂອງ​ອຸປະກອນ​ເຄືອ​ຂ່າຍ​ ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນ​ເຕີ​ເນັດ (ລວມທັງ SOHO routers) ພາຍ​ໃນ 14 ມື້​ ຫຼັງ​ຈາກ​ຄົ້ນ​ພົບ ເພື່ອ​ປ້ອງ​ກັນ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການ​ໂຈມ​ຕີ​ທີ່​ອາດຈະ​ເກີດ​ຂຶ້ນ.

ຊຶ່ງ​ຫາກ​ຖືກ​ໂຈມ​ຕີ ກໍ​ອາດຈະ​ເຮັດໃຫ້ SOHO routers ທີ່​ຖືກ​ໂຈມ​ຕີກ​າຍ​ເປັນ botnet ແລະ ​ເຂົ້າ​ໂຈມ​ຕີ​ລະບົບ​ເຄືອ​ຂ່າຍ​ພາຍ​ໃນ​ໄດ້ ລວມທັງ SOHO routers ຍັງ​ຖື​ວ່າ​ເປັນ​ອຸປະກອນ​ທີ່​ຢູ່​ນອກ​ເໜືອ​ຂອບ​ເຂດ​ການ​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ທົ່ວ​ໄປ ເຮັດໃຫ້​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ໄດ້​ຍາກ.

ຍັງ​ພົ​ບວ່າ​ກຸ່ມ Hacker ຈາກ​ຈີນ​ໃນ​ຊື່ Volt Typhoon ກໍ​ໄດ້​ໃຊ້ botnet ໃນ​ການ​ໂຈມ​ຕີ ເພື່ອ​ສ້າງ proxy traffic ຈາກ​ອຸປະກອນ​ເຄືອ​ຂ່າຍ ASUS, Cisco, D-Link, Netgear, FatPipe ແລະ Zyxel SOHO ຈາກ​ການລາຍ​ງານ​ຂອງ​ໜ່ວຍ​ງານ​ຄວາມ​ປອດໄ​ພ​ທາງ​ໄຊ​ເບີ Five Eyes (ລວມທັງ FBI, NSA ແລະ CISA) ໃນ​ເດືອນ​ພຶດສະພາ 2023.

Michelle Lee ຜູ້​ອຳ​ນວຍ​ການ​ຂ່າວ​ກອງ​ໄພ​ຄຸກ​ຄາມ​ຂອງ Lumen Black Lotus ແນະ​ນຳ​ວ່າ​ ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ກວດ​ສອບ​ການ​ເຊື່ອມ​ຕໍ່​ຂອງ SOHO routers ທີ່​ມີ IP ທີ່​ມາ​ຈາກ​ປະເທດ​ອື່ນ ຊຶ່ງ​ບໍ່​ແມ່ນ​ປະເທດ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ຢູ່ ແລະ​ ກວດ​ສອບ​ຂໍ້​ມູນ traffic ທີ່​ມາ​ຈາກ IP ທີ່​ບໍ່​ປອດ​ໄພ​ ທີ່​ພະຍາຍາມ​​ຫຼົບ​ລ່ຽງ firewall rules ເຊັ່ນ: geofencing ແລະ ASN-based blocking.

ເອກະສານອ້າງອີງ:

  1. https://www.i-secure.co.th/2023/07/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-avrecon-%e0%b8%a1%e0%b8%b8%e0%b9%88%e0%b8%87%e0%b9%80%e0%b8%9b%e0%b9%89%e0%b8%b2%e0%b9%82%e0%b8%88%e0%b8%a1%e0%b8%95%e0%b8%b5%e0%b9%84/
  2. https://www.bleepingcomputer.com/news/security/avrecon-malware-infects-70-000-linux-routers-to-build-botnet/

ລາຍການຮູບ

Porher 28 July 2023 807 Print