Netlab សង្កេតឃើញប្រព័ន្ធអ៊ីនធឺរណិតថ្មីធ្វើអាជីវកម្មលើភាពងាយរងគ្រោះក្នុងរ៉ោតទ័រ Tenda ចំនួន ២ ដើម្បីដំឡើងមេរោគ Trojan ចូលដំណើរការប្រព័ន្ធអ៊ីនធឺណិតពីចម្ងាយ។ គេរកឃើញ botnet ដែលមានឈ្មោះថា Ttint ថា មានសកម្មចាប់តាំងពីខែវិច្ឆិកាឆ្នាំ២០១៩ ដោយនាំមកជាមួយសមត្ថភាព DDoS រួមបញ្ចូលទាំងមុខងារចូលពីចម្ងាយចំនួន ១២ ។
អ្នកវាយប្រហារបានប្រើភាពងាយរងគ្រោះ Tenda router 0-day (CVE-2018-14558 & CVE-2020-10987) ដើម្បីចែកចាយគម្រូមេរោគ Ttint។ ការចូលប្រើពីចម្ងាយរបស់មេរោគ Tint តាមរយៈ មេរោគTrojan ធ្វើឡើងដោយផ្អែកលើលេខកូដ Mirai ដោយមានបញ្ចូលទាំងសេចក្តីណែនាំអំពីការវាយប្រហាររបស់ Mirai DDoS ចំនួន ១០ និងសេចក្តីណែនាំបញ្ជាចំនួន ១២ដូចជា Socket5 proxy សម្រាប់ឧបករណ៍រ៉ោតទ័រដែលបង្ករការរំខានជាមួយ DNS រ៉ោតទ័រ ការកំណត់អាយភីធី និងការប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធផ្ទាល់ខ្លួន។
ពេលដែល Ttint ត្រូវបានប្រតិបត្តិ វានឹងលុបឯកសាររបស់វា រៀបចំភ្នាក់ងារឃ្លាំមើល និងរារាំងឧបករណ៍មិនឱ្យដំណើរការឡើងវិញ វាដំណើរការជាវត្ថុតែមួយដោយភ្ជាប់ផត(port )។ បន្ទាប់មក វាកែប្រែឈ្មោះដំណើរការដើម្បីបន្លំលើអ្នកប្រើប្រាស់ ហើយនៅទីបំផុតវាបង្កើតការភ្ជាប់ជាមួយ decrypted C2 ដែលបានរាយការណ៍ព័ត៌មានឧបករណ៍។
Ttint Bot supports for 22 commands, 10 DDoS commands inherited from Mirai, and 12 new commands.
ID | INSTRUCTION |
0 | attack_udp_generic |
1 | attack_udp_vse |
2 | attack_udp_dns |
9 | attack_udp_plain |
3 | attack_tcp_flag |
4 | attack_tcp_pack |
5 | attack_tcp_xmas |
6 | attack_grep_ip |
7 | attack_grep_eth |
10 | attack_app_http |
12 | run “nc” command |
13 | run “ls” command |
15 | Execute system commands |
16 | Tampering with router DNS |
18 | Report device information |
14 | Config iptables |
11 | run “ifconfig” command |
17 | Self-exit |
19 | Open Socks5 proxy |
20 | Close Socks5 proxy |
21 | Self-upgrade |
22 | Reverse shell |
យោងតាមការវិភាគរបស់ Netlab បាននិយាយថា៖ “ អ្នកវាយប្រហារបានប្រើ IP របស់ Google Cloud service ដំបូងហើយបន្ទាប់មកបានប្តូរទៅក្រុមហ៊ុនផ្តល់សេវានៅទីក្រុងហុងកុង។” រាល់ការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ C2 ត្រូវបានអ៊ិនគ្រីប ហើយសម្រាប់ការប្រាស្រ័យទាក់ទងវាប្រើពិធីសារ WSS (WebSocket over TLS)។” វាមានដំណើរការដូចបច្ចេកវិទ្យាថ្មីដែរ ឧបករណ៍ភ្ជាប់អ៊ីនធឺរណិត IoT សន្យាថានឹងក្លាយជាអនាគតនៃអ៊ិនធឺរណិតដែលនាំមកនូវការតភ្ជាប់កាន់តែប្រសើរ និងភាពងាយស្រួលនៃឧបករណ៍ដែលយើងប្រើ ប៉ុន្តែនៅពេលមានការវាយប្រហារលើបណ្តាញទាំងពីរនេះកើតឡើង វាបានបង្ហាញថា ក៏មានពីភាពតានតឹងស្មើគ្នាត្រូដែលនឹងកើតមានលើសុវត្ថិភាពនៃឧបករណ៍ទាំងនោះ។ អ្នកប្រើរ៉ោតទ័រ Tenda ទទួលបានការណែនាំឱ្យពិនិត្យមើលលើកម្មវិធីបង្កប់ឧបករណ៍របស់ពួកគេ និងធ្វើបច្ចុប្បន្នភាពចាំបាច់៕