เวอร์ชันใหม่ของ Mirai ที่เรียกว่า RapperBot เป็นตัวอย่างล่าสุดของมัลแวร์โดยใช้เวกเตอร์การติดไวรัสที่ค่อนข้างแปลกหรือไม่รู้จักก่อนหน้านี้เพื่อทดลองและแพร่กระจายในวงกว้าง
RapperBot ปรากฏตัวครั้งแรกเมื่อปีที่แล้วในฐานะมัลแวร์ Internet of Things (IoT) ที่มีซอร์สโค้ด Mirai จำนวนมาก แต่มีการทำงานที่แตกต่างกันอย่างมากเมื่อเทียบกับ Mirai สายพันธุ์อื่น ความแตกต่างรวมถึงการใช้โปรโตคอลใหม่สำหรับการสื่อสารคำสั่งและการควบคุม (C2) และคุณสมบัติในตัวสำหรับเซิร์ฟเวอร์ SSH ที่บังคับให้ดุร้ายแทนที่จะเป็นบริการ Telnet เช่นเดียวกับที่พบได้ทั่วไปในรุ่น Mirai
ภัยคุกคามที่พัฒนาอย่างต่อเนื่อง
นักวิจัยจาก Fortinet ที่ติดตามมัลแวร์เมื่อปีที่แล้วสังเกตว่าผู้เขียนแก้ไขมัลแวร์เป็นประจำ อันดับแรก การเพิ่มรหัสเพื่อรักษาความคงอยู่ บนเครื่องที่ติดไวรัสแม้หลังจากรีบูต แล้วตามด้วยรหัสสำหรับการเผยแพร่ด้วยตนเองผ่านตัวดาวน์โหลดไบนารีระยะไกล ในภายหลัง ผู้เขียนมัลแวร์ได้ลบคุณลักษณะการแพร่กระจายด้วยตนเองและเพิ่มคุณลักษณะที่อนุญาตให้พวกเขาเข้าถึงเซิร์ฟเวอร์ SSH ที่ถูกบังคับโดยเดรัจฉานจากระยะไกลได้อย่างต่อเนื่อง
ในไตรมาสที่สี่ของปี 2022 นักวิจัยของแคสเปอร์สกี้ ค้นพบ RapperBot รูปแบบใหม่ หมุนเวียนอยู่ในธรรมชาติ ซึ่งฟังก์ชัน brute-force ของ SSH ถูกลบออกและแทนที่ด้วยความสามารถสำหรับการกำหนดเป้าหมายเซิร์ฟเวอร์ telnet
การวิเคราะห์มัลแวร์ของ Kaspersky แสดงให้เห็นว่ายังผสานรวมสิ่งที่ผู้จำหน่ายความปลอดภัยอธิบายว่าเป็นคุณสมบัติ "อัจฉริยะ" และค่อนข้างแปลกสำหรับ telnet ที่บังคับเดรัจฉาน แทนที่จะบังคับอย่างดุร้ายด้วยชุดข้อมูลประจำตัวจำนวนมาก มัลแวร์จะตรวจสอบข้อความแจ้งที่ได้รับเมื่อเทลเน็ตไปยังอุปกรณ์ จากนั้นจะเลือกชุดข้อมูลรับรองที่เหมาะสมสำหรับการโจมตีแบบเดรัจฉาน แคสเปอร์สกี้กล่าวว่า นั่นทำให้กระบวนการบังคับเดรัจฉานเร็วขึ้นอย่างมากเมื่อเทียบกับเครื่องมือมัลแวร์อื่น ๆ
“เมื่อคุณส่ง telnet ไปยังอุปกรณ์ โดยปกติคุณจะได้รับข้อความแจ้ง” Jornt van der Wiel นักวิจัยด้านความปลอดภัยอาวุโสของ Kaspersky กล่าว ข้อความแจ้งสามารถเปิดเผยข้อมูลบางอย่างที่ RapperBot ใช้เพื่อระบุอุปกรณ์ที่กำหนดเป้าหมายและข้อมูลประจำตัวที่จะใช้ เขากล่าว
RapperBot ใช้ข้อมูลรับรองที่แตกต่างกันขึ้นอยู่กับอุปกรณ์ IoT ที่เป็นเป้าหมาย “ดังนั้น สำหรับอุปกรณ์ A จะใช้ชุดผู้ใช้/รหัสผ่าน A; และสำหรับอุปกรณ์ B จะใช้ชุดผู้ใช้/รหัสผ่าน B” van der Wiel กล่าว
จากนั้นมัลแวร์จะใช้คำสั่งต่างๆ ที่เป็นไปได้ เช่น “wget” “curl” และ “ftpget” เพื่อดาวน์โหลดตัวเองลงบนระบบเป้าหมาย หากวิธีการเหล่านี้ไม่ได้ผล มัลแวร์จะใช้ตัวดาวน์โหลดและติดตั้งตัวเองลงในอุปกรณ์ ตามข้อมูลของ Kaspersky
กระบวนการเดรัจฉานของ RapperBot นั้นค่อนข้างแปลก และ Van der Weil กล่าวว่าเขาไม่สามารถตั้งชื่อตัวอย่างมัลแวร์อื่นๆ ที่ใช้วิธีการนี้ได้
ถึงกระนั้น ด้วยจำนวนตัวอย่างมัลแวร์ที่มีอยู่จริง จึงเป็นไปไม่ได้ที่จะบอกว่าเป็นมัลแวร์เพียงตัวเดียวที่ใช้แนวทางนี้อยู่ในปัจจุบัน ไม่น่าจะใช่โค้ดอันตรายชิ้นแรกที่ใช้เทคนิคนี้ เขากล่าว
ใหม่กลยุทธ์ที่หายาก
Kaspersky ชี้ไปที่ RapperBot ว่าเป็นตัวอย่างหนึ่งของมัลแวร์ที่ใช้เทคนิคที่หายากและบางครั้งก็ไม่เคยพบเห็นมาก่อนในการแพร่กระจาย
อีกตัวอย่างหนึ่งคือ “Rhadamanthys” ตัวขโมยข้อมูลที่มีให้ใช้งานภายใต้ตัวเลือกบริการมัลแวร์บนฟอรัมอาชญากรไซเบอร์ภาษารัสเซีย นักขโมยข้อมูลเป็นหนึ่งในตระกูลมัลแวร์ที่เพิ่มจำนวนขึ้นเรื่อย ๆ ซึ่งผู้คุกคามได้เริ่มเผยแพร่ผ่านโฆษณาที่เป็นอันตราย
กลยุทธ์เกี่ยวข้องกับผู้ไม่หวังดีที่ปลูกโฆษณาที่มีมัลแวร์หรือโฆษณาที่มีลิงก์ไปยังไซต์ฟิชชิ่งบนแพลตฟอร์มโฆษณาออนไลน์ บ่อยครั้งที่โฆษณาเป็นผลิตภัณฑ์ซอฟต์แวร์และแอปพลิเคชันที่ถูกต้องตามกฎหมาย และมีคำหลักที่ช่วยให้มั่นใจว่าคำหลักเหล่านี้จะปรากฏบนผลการค้นหาของเครื่องมือค้นหาหรือเมื่อผู้ใช้เรียกดูบางเว็บไซต์ ในช่วงหลายเดือนที่ผ่านมา ผู้คุกคามได้ใช้สิ่งที่เรียกว่ามัลแวร์โฆษณาเพื่อ ผู้ใช้เป้าหมายของผู้จัดการรหัสผ่านที่ใช้กันอย่างแพร่หลาย เช่น LastPass, Bitwarden และ 1Password
ความสำเร็จที่เพิ่มขึ้นของผู้กระทำการคุกคามจากการหลอกลวงโฆษณาแฝงกำลังกระตุ้นการใช้เทคนิคนี้เพิ่มขึ้น ตัวอย่างเช่น ผู้เขียน Rhadamanthys เริ่มแรกใช้อีเมลฟิชชิ่งและสแปมก่อนที่จะเปลี่ยนไปใช้โฆษณาที่เป็นอันตรายเป็นตัวแพร่เชื้อเริ่มต้น
“Rhadamanthys ไม่ได้ทำอะไรที่แตกต่างจากแคมเปญอื่นๆ โดยใช้มัลแวร์โฆษณา” Van der Weil กล่าว “อย่างไรก็ตาม เป็นส่วนหนึ่งของแนวโน้มที่เราเห็นว่าการโฆษณาด้วยมัลแวร์กำลังเป็นที่นิยมมากขึ้น”
อีกหนึ่งแนวโน้มที่ Kaspersky ตรวจพบ นั่นคือการใช้มัลแวร์โอเพ่นซอร์สที่เพิ่มขึ้นในหมู่อาชญากรไซเบอร์ที่มีทักษะน้อย
ใช้ CueMiner โปรแกรมดาวน์โหลดมัลแวร์ขุดเหรียญที่มีอยู่บน GitHub นักวิจัยของ Kaspersky ได้สังเกตผู้โจมตีที่เผยแพร่มัลแวร์โดยใช้แอปแคร็กเวอร์ชันโทรจันที่ดาวน์โหลดผ่าน BitTorrent หรือจากเครือข่ายการแชร์ OneDrive
“เนื่องจากธรรมชาติของโอเพ่นซอร์ส ทุกคนสามารถดาวน์โหลดและคอมไพล์ได้” แวน เดอร์ ไวล์อธิบาย “เนื่องจากผู้ใช้เหล่านี้มักไม่ใช่อาชญากรไซเบอร์ขั้นสูง พวกเขาจึงต้องพึ่งพากลไกการติดไวรัสที่ค่อนข้างง่าย เช่น BitTorrent และ OneDrive”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :เป็น
- $ ขึ้น
- 2022
- 7
- a
- เข้า
- ตาม
- นักแสดง
- Ad
- ที่เพิ่ม
- โฆษณา
- สูง
- หลังจาก
- ในหมู่
- การวิเคราะห์
- และ
- การใช้งาน
- เข้าใกล้
- เหมาะสม
- ปพลิเคชัน
- เป็น
- AS
- At
- โจมตี
- ผู้เขียน
- ใช้ได้
- ตาม
- สมควร
- ก่อน
- BitTorrent
- built-in
- by
- ที่เรียกว่า
- แคมเปญ
- CAN
- ความสามารถในการ
- บาง
- การตรวจสอบ
- หมุนเวียน
- รหัส
- ร่วมกัน
- คมนาคม
- เมื่อเทียบกับ
- บรรจุ
- แตกระแหง
- หนังสือรับรอง
- ขณะนี้
- อาชญากรไซเบอร์
- อาชญากรไซเบอร์
- อธิบาย
- กำหนด
- เครื่อง
- ความแตกต่าง
- ต่าง
- กระจาย
- จำหน่าย
- ไม่
- ดาวน์โหลด
- อีเมล
- พนักงาน
- เครื่องยนต์
- ทำให้มั่นใจ
- แม้
- การพัฒนา
- ตัวอย่าง
- อธิบาย
- ครอบครัว
- ลักษณะ
- ชื่อจริง
- สำหรับ
- Fortinet
- ฟอรั่ม
- ที่สี่
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- ได้รับ
- GitHub
- กำหนด
- การเจริญเติบโต
- มี
- จุดสูง
- อย่างไรก็ตาม
- HTTPS
- ใหญ่
- เป็นไปไม่ได้
- in
- รวม
- เพิ่ม
- ข้อมูล
- ข้อมูล
- แรกเริ่ม
- ในขั้นต้น
- ตัวอย่าง
- แบบบูรณาการ
- ฉลาด
- อินเทอร์เน็ต
- อินเทอร์เน็ตของสิ่งที่
- IOT
- อุปกรณ์ IoT
- IT
- ITS
- ตัวเอง
- jpg
- Kaspersky
- ภาษา
- ใหญ่
- ชื่อสกุล
- ปีที่แล้ว
- LastPass
- ล่าสุด
- น่าจะ
- การเชื่อมโยง
- เครื่อง
- เก็บรักษา
- มัลแวร์
- หลาย
- วิธีการ
- เดือน
- ข้อมูลเพิ่มเติม
- ชื่อ
- ธรรมชาติ
- เครือข่าย
- ใหม่
- จำนวน
- of
- on
- ONE
- ออนไลน์
- เปิด
- โอเพนซอร์ส
- ตัวเลือกเสริม (Option)
- อื่นๆ
- ส่วนหนึ่ง
- รหัสผ่าน
- ฟิชชิ่ง
- เว็บไซต์ฟิชชิ่ง
- ชิ้น
- การเพาะปลูก
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- เป็นไปได้
- ก่อนหน้านี้
- กระบวนการ
- ผลิตภัณฑ์
- โปรโตคอล
- หนึ่งในสี่
- หายาก
- ค่อนข้าง
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- สม่ำเสมอ
- สัมพัทธ์
- รีโมท
- การเข้าถึงระยะไกล
- ลบออก
- แทนที่
- นักวิจัย
- นักวิจัย
- ผลสอบ
- เปิดเผย
- รัสเซีย
- s
- กล่าวว่า
- พูดว่า
- หลอกลวง
- ค้นหา
- เครื่องมือค้นหา
- ความปลอดภัย
- ระดับอาวุโส
- เซิร์ฟเวอร์
- บริการ
- ชุด
- ใช้งานร่วมกัน
- อย่างมีความหมาย
- ง่าย
- สถานที่ทำวิจัย
- So
- ซอฟต์แวร์
- บาง
- ค่อนข้าง
- แหล่ง
- รหัสแหล่งที่มา
- สแปม
- ความเร็ว
- กระจาย
- ความสำเร็จ
- อย่างเช่น
- พื้นผิว
- ระบบ
- กลยุทธ์
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เทคนิค
- ที่
- พื้นที่
- พวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สิ่ง
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ไปยัง
- เครื่องมือ
- การติดตาม
- เทรนด์
- เป็นปกติ
- ผิดปกติ
- ภายใต้
- ใช้
- ผู้ใช้
- ตัวแปร
- ความหลากหลาย
- ผู้ขาย
- รุ่น
- ผ่านทาง
- เว็บไซต์
- อะไร
- ที่
- อย่างกว้างขวาง
- ป่า
- กับ
- งาน
- ปี
- คุณ
- ลมทะเล