ທີມ​ນັກ​ວິ​ໄຈ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ໄຊ​ເບີ Black Lotus Labs ຂອງ Lumen ລາຍ​ງານ​ການ​ຄົ້ນ​ພົບ stealthy Linux malware ທີ່​ມີ​ຊື່​ວ່າ AVrecon ໄດ້​ແຜ່ລະບາດໄປ​ທີ່ Linux-based small office/home office (SOHO) routers ຫຼາຍກວ່າ 70,000 ເຄື່ອງ ເພື່ອ​ສ້າງ botnet ທີ່​ອອກ​ແບບ​ມາ​ເພື່ອ​ແອບ​ໃຊ້​ງານ​ແບນ​ວິດ ແລະ ​ໃຫ້​ບໍລິການ proxy ເຮັດໃຫ້ Hacker ສາມາດ​ນຳ​ໄປ​ໃຊ້​ໃນ​ການ​ສໍ້​ໂກງ​ໂຄສະ​ນາ​ ຫຼື ໂຈມ​ຕີ​ແບບ password spraying.

ໂດຍ​ນັກ​ວິໄ​ຈໄດ້​ຄົ້ນ​ພົບວ່າ AVrecon malware remote access trojan (RAT) ໃນ​ຂະນະ​ທີ່​ກຳ​ລັງ​ໂຈມ​ຕີ​ອຸປະກອນ​ຫຼາຍກວ່າ 70,000 ເຄື່ອງ ແລະ​ ໄດ້​ຖືກ​ສ້າງ​ເປັນ botnet ຈຳນວນ 40,000 ເຄື່ອງ
stealthy Linux malware ໂດຍສ່ວນ​ຫຼາຍ​ສາມາດ​ຫລີກລ່ຽງການ​ກວດ​ຈັບ​ໄດ້ ​ຕັ້ງ​ແຕ່​ກວດ​ພົບ​ເທື່ອ​ທຳອິດ ໃນ​ເດືອນ​ພຶດສະພາ 2021 ໄດ້​ຄົ້ນ​ພົບ stealthy Linux malware ທີ່​ກຳນົດ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ໄປ​ທີ່ Netgear router ຫຼັງ​ຈາກ​ນັ້ນ ​ກໍ່ບໍ່​ຖືກ​ກວດ​ພົບ​ເປັນ​ເວລາ​ສອງ​ປີ​ກວ່າ ຈົນ​ມາພົບວ່າ​ໄດ້​ກາຍ​ເປັນ​ໜຶ່ງ​ໃນ botnet ທີ່​ກຳນົດ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ໄປ​ທີ່ SOHO routers ທີ່​ໃຫຍ່​ທີ່ສຸດ​ ທີ່​ຄົ້ນ​ພົບ​ໃນ​ຊ່ວງ​ບໍ່​ເທົ່າໃດ​ປີ​ທີ່​ຜ່ານມານີ້.

ເມື່ອ router ໄດ້​ຖືກ​ປ່ຽນ​ໃຫ້ເປັນ botnet ແລ້ວ ຈະ​ສົ່ງ​ຂໍ້​ມູນ​ຂອງ router ເຄື່ອງ​ດັ່ງ​ກ່າວ ໄປ​ທີ່ command-and-control (C2) server ຂອງ Hacker ຫຼັງ​ຈາກ​ນັ້ນ botnet ເຄື່ອງ​ດັ່ງ​ກ່າວ ​ຈະ​ໄດ້ຮັບ​ຄຳ​ສັ່ງ​ໃຫ້​ສ້າງ​ການ​ສື່​ສານ​ກັບ​ກຸ່ມ​ເ​ຊີເວີ​ອິດສະຫຼະ ຊຶ່ງ​ຮຽກວ່າ second-stage C2 server ຊຶ່ງ​ທາງ​ນັກ​ວິໄ​ຈ​ໄດ້​ພົບ second-stage C2 server ຫຼາຍກວ່າ 15 ເຄື່ອງ ​ທີ່​ເປີດ​ໃຊ້​ງານ​ຕັ້ງ​ແຕ່​ ເດືອນ ​ຕຸລາ 2021 ເປັນ​ຢ່າງ​ນ້ອຍ ໂດຍ​ອິງ​ຕາມ​ຂໍ້​ມູນ​ໃບ​ຮັບຮອງ x.509

ທີມ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ Black Lotus ຂອງ Lumen ໄດ້​​ກຳຈັດ AVrecon malware ດ້ວຍ​ການ​ປິດ​ການ​ກຳນົດ​ເສັ້ນ​ທາງ C2 server ຂອງ botnet ຜ່ານ​ເຄືອ​ຂ່າຍ​ຫຼັກ ເຮັດໃຫ້ botnet ບໍ່​ສາມາດ​ເຊື່ອມ​ຕໍ່​ກັບ C2 server ໄດ້.

ເຊັ່ນ​ດຽວ​ກັບ​ຄຳ​ສັ່ງ​ການ​ປະຕິບັດ​ງານ binding operational directive (BOD) ທີ່​ອອກ​ໂດຍ CISA ໄດ້​ສັ່ງ​ການ​ໃຫ້​ໜ່ວຍ​ງານ​ລັດຖະບານ​ກາງ​ຂອງ​ສະ​ຫະລັດ​ອາ​ເມ​ລີ​ກາ ​ອັບ​ເດດ​ແພັດ​ (Patch) ແລະ​ ຮັກສາ​ຄວາມ​ປອດໄ​ພຂອງ​ອຸປະກອນ​ເຄືອ​ຂ່າຍ​ ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນ​ເຕີ​ເນັດ (ລວມທັງ SOHO routers) ພາຍ​ໃນ 14 ມື້​ ຫຼັງ​ຈາກ​ຄົ້ນ​ພົບ ເພື່ອ​ປ້ອງ​ກັນ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການ​ໂຈມ​ຕີ​ທີ່​ອາດຈະ​ເກີດ​ຂຶ້ນ.

ຊຶ່ງ​ຫາກ​ຖືກ​ໂຈມ​ຕີ ກໍ​ອາດຈະ​ເຮັດໃຫ້ SOHO routers ທີ່​ຖືກ​ໂຈມ​ຕີກ​າຍ​ເປັນ botnet ແລະ ​ເຂົ້າ​ໂຈມ​ຕີ​ລະບົບ​ເຄືອ​ຂ່າຍ​ພາຍ​ໃນ​ໄດ້ ລວມທັງ SOHO routers ຍັງ​ຖື​ວ່າ​ເປັນ​ອຸປະກອນ​ທີ່​ຢູ່​ນອກ​ເໜືອ​ຂອບ​ເຂດ​ການ​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ທົ່ວ​ໄປ ເຮັດໃຫ້​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ໄດ້​ຍາກ.

ຍັງ​ພົ​ບວ່າ​ກຸ່ມ Hacker ຈາກ​ຈີນ​ໃນ​ຊື່ Volt Typhoon ກໍ​ໄດ້​ໃຊ້ botnet ໃນ​ການ​ໂຈມ​ຕີ ເພື່ອ​ສ້າງ proxy traffic ຈາກ​ອຸປະກອນ​ເຄືອ​ຂ່າຍ ASUS, Cisco, D-Link, Netgear, FatPipe ແລະ Zyxel SOHO ຈາກ​ການລາຍ​ງານ​ຂອງ​ໜ່ວຍ​ງານ​ຄວາມ​ປອດໄ​ພ​ທາງ​ໄຊ​ເບີ Five Eyes (ລວມທັງ FBI, NSA ແລະ CISA) ໃນ​ເດືອນ​ພຶດສະພາ 2023.

Michelle Lee ຜູ້​ອຳ​ນວຍ​ການ​ຂ່າວ​ກອງ​ໄພ​ຄຸກ​ຄາມ​ຂອງ Lumen Black Lotus ແນະ​ນຳ​ວ່າ​ ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ກວດ​ສອບ​ການ​ເຊື່ອມ​ຕໍ່​ຂອງ SOHO routers ທີ່​ມີ IP ທີ່​ມາ​ຈາກ​ປະເທດ​ອື່ນ ຊຶ່ງ​ບໍ່​ແມ່ນ​ປະເທດ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ຢູ່ ແລະ​ ກວດ​ສອບ​ຂໍ້​ມູນ traffic ທີ່​ມາ​ຈາກ IP ທີ່​ບໍ່​ປອດ​ໄພ​ ທີ່​ພະຍາຍາມ​​ຫຼົບ​ລ່ຽງ firewall rules ເຊັ່ນ: geofencing ແລະ ASN-based blocking.

ເອກະສານອ້າງອີງ:

1. https://www.i-secure.co.th/2023/07/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-avrecon-%e0%b8%a1%e0%b8%b8%e0%b9%88%e0%b8%87%e0%b9%80%e0%b8%9b%e0%b9%89%e0%b8%b2%e0%b9%82%e0%b8%88%e0%b8%a1%e0%b8%95%e0%b8%b5%e0%b9%84/
2. https://www.bleepingcomputer.com/news/security/avrecon-malware-infects-70-000-linux-routers-to-build-botnet/