Medusa botnet ກັບມາອີກຄັ້ງໃນຮູບແບບ Mirai-based ພ້ອມກັບ ransomware sting

Cyble ບໍລິສັດ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພທາງ​ໄຊ​ເບີ​​ ເປີດ​ເຜີຍ​ວ່າ ຄົ້ນພົບ​ Medusa DDoS (distributed denial of service) botnet ເວີ​ຊັ່ນ​ໃໝ່​ ທີ່​ພັດທະນາ​ຈາກ​ Mirai code based ຊຶ່ງ​ປະກອບ​​ດ້ວຍ​ຄວາມ​ສາມາດ​ຂອງ​ ransomware ແລະ​ Telnet brute-forcer ຊຶ່ງ​ສາມາດ​ກຳນົດ​ເປົ້າ​ໝາຍ​ເທິງ​ Linux ແລະ​ ສາມາດ​ໂຈມ​ຕີ​ DDoS ໄດ້​​ຫຼາຍ​ຮູບ​ແບບCyble ບໍລິສັດ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດໄ​ພທາງ​ໄຊ​ເບີ​​ ເປີດ​ເຜີຍ​ວ່າ ຄົ້ນພົບ​ Medusa DDoS (distributed denial of service) botnet ເວີ​ຊັ່ນ​ໃໝ່​ ທີ່​ພັດທະນາ​ຈາກ​ Mirai code based ຊຶ່ງ​ປະກອບ​​ດ້ວຍ​ຄວາມ​ສາມາດ​ຂອງ​ ransomware ແລະ​ Telnet brute-forcer ຊຶ່ງ​ສາມາດ​ກຳນົດ​ເປົ້າ​ໝາຍ​ເທິງ​ Linux ແລະ​ ສາມາດ​ໂຈມ​ຕີ​ DDoS ໄດ້​​ຫຼາຍ​ຮູບ​ແບບ​ ແລະ​ ປັດຈຸບັນ​​ Medusa ໄດ້​ກາຍ​ເປັນ​ MaaS (malware-as-a-service) ສຳລັບ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ DDoS ຫຼື ​ການ​ຂູດ​ຫຼຽນ​ຄຣິບ​ໂຕ (Crypto)​ ​ໄດ້ຮັບ​ປະ​ກັນ​ຄວາມ​ສະຖຽນ​ຂອງ​ບໍລິການ​ ລວມ​ທັງ​ການ​ບໍ່​ເປີດ​ເຜີຍ​ຕົວ​ຕົນ​ຂອງ​ລູກ​ຄ້າ,​ ມີ​ API ທີ່​ໃຊ້​ງານ​ໄດ້​ງ່າຍ​ ແລະ​ ຄ່າ​ໃຊ້​ຈ່າຍ​ທີ່​ປັບ​ໄດ້​ຕາມ​ຄວາມ​ຕ້ອງ​ການ​ຂອງ​ຜູ້​ໃຊ້​ບໍລິການ​.

Medusa ເປັນ​ມັນ​ແວ ​(Malware) ທີ່​ມີ​ມາ​ຢ່າງ​ຍາວ​ນານ​ ຊຶ່ງ​ມີ​ການ​ໂຄສະ​ນາ​ຂາຍ​ໃນ​ຕ​ະຫຼາດ​ມືດ​ຕັ້ງ​ແຕ່​ປີ​ 2015 ແລະ ​ຕໍ່​ມາ​ໄດ້​ເພີ່ມ​ຄວາມ​ສາມາດ​ໃນ​ການ​ໂຈມ​ຕີ​ DDoS ຜ່ານ​ HTTP protocol ໃນ​ປີ​ 2017.

ຄຸນສົມບັດຂອງ​ Ransomware

ສິ່ງ​ທີ່​ນ່າສົນ​ໃຈ​ສຳລັບ​ Medusa ຮູບ​ແບບ​ໃໝ່​ນີ້​ຄື​ຄຸນສົມບັດ​ຂອງ​ Ransomware ທີ່​ຊ່ວຍ​ໃຫ້​ສາມາດ​ຄົ້ນ​ຫາ​ໄດ​ເຣັກ​ທໍ​ຣີ​ (Directory) ທັງ​ໝົດສຳລັບ​ປະ​ເພດ​ຟາຍ​ທີ່​ກຳນົດ​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ ຊຶ່ງລາຍ​ການ​ປະ​ເພດ​ຟາຍ​ເປົ້າ​ໝາຍ​ນັ້ນ​ປະກອບ​ມີ ​ຟາຍ​ເອກະສານ​ ແລະ ​ຟາຍ vector design ເປັນ​ຫຼັກ​.

ຟາຍທີ່​ເປັນ​ເປົ້າ​ໝາຍ​ຈະ​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ດ້ວຍ​ AES 256 ບິດ​ ແລະ ​ນາມ​ສ​ະກຸນ​ .medusastealer ຕໍ່​ທ້າຍ​ຊື່​ຟາຍ​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​.

ນອກຈາກນີ້, ມັນ​ບໍ່​ພຽງ​ແຕ່​ເຂົ້າ​ລະຫັດ​ຂໍ້​ມູນ​ເທົ່າ​ນັ້ນ​ ແຕ່​ຍັງ​ເປັນ​ data wiper ທີ່ມີເປົ້າໝາຍທຳລາຍ​ຂໍ້​ມູນ​ເທິງ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ອີກ​ດ້ວຍ​ ຊຶ່ງຫຼັງ​ຈາກ​ເຂົ້າ​ລະຫັດ​ຟາຍເທິງ​ເຄື່ອງຜູ້ເປັນ​ເຫຍື່ອ​ແລ້ວ​ ມັນ​ແວ​​ຈະ​ເຂົ້າ​ສູ່​ໂໝດ​ Sleep ​ເປັນ​ເວລາ​ 86,400 ວິ​ນາ​ທີ​ (24 ຊັ່ວ​ໂມງ​) ຫຼັງ​ຈາກ​ນັ້ນ​ຈະ​ລຶບ​ຟາຍ​ທັງ​ໝົດ​ໃນ​ Drive ເທິງລະບົບ ​ແລ້ວ​​ຈະ​ສະແດງ​ຂໍ້ຄວາມເອີ້ນ​ຄ່າ​ໄຖ່​ໃຫ້​ຊຳ​ລະ​ເງີນ​ 0.5 BTC ($11,400).

Cyble ວິ​ເຄາະ​ວ່າ​ ​Medusa ​ລຶບ​ຂໍ້​ມູນ​ຖິ້ມ​ຫຼັງ​ຈາກ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ເປັນ​ຂໍ້​ຜິດ​ພາດ​ຂອງ​ຄຳ​ສັ່ງ​​ ເນື່ອງ​ຈາກ​ທຳລາຍ​ຂໍ້​ມູນ​ເທິງ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ ຈະ​ເຮັດໃຫ້​ເຫຍື່ອ​ບໍ່​ສາມາດ​ໃຊ້​ງານ​ລະບົບ​ຂອງ​ຕົນໄດ້​ ແຕ່​ການ​ເປີດ​ອ່ານ​ຂໍ້ຄວາມ​ເອີ້ນ​ເຫດ​ຄ່າ​ໄຖ່​ໄດ້​ ຊຶ່ງ​ຂໍ້​ຜິດ​ພາດ​ນີ້​ສະແດງ​ໃຫ້​ເຫັນ​ວ່າ​ Medusa ຮູບ​ແບບ​ໃໝ່​ ຍັງຢູ່ໃນຊ່ວງການພັດທະນາຄຸນສົມບັດ​ ແລະ ຍັງອີກຈຸດ​ສັງເກດ​ທີ່ວ່າ​​ Medusa ຮູບ​ແບບ​ໃໝ່​ຈະ​ມີ​ເຄື່ອງ​ມື​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ ແຕ່​ຍັງບໍ່ພົບລາຍງານການ​ລັກ​ຟາຍ​ຂໍ້​ມູນ​ຂອງ​ເຫຍື່ອ​ກ່ອນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ ແຕ່​ສ່ວນຫຼາຍຈະ​​ເນັ້ນ​ໄປ​ທີ່​ການ​ສັງລວມ​ຂໍ້​ມູນ​ລະບົບ​ພື້ນ​ຖານ​ທີ່​ຊ່ວຍ​ໃນ​ການ​ລະ​ບຸ​ຕົວ​ຕົນ​ຂອງ​ເຫຍື່ອ​ ແລະ​ ປະ​ເມີນ​ຊັບພະຍາກອນຂອງ​ເຄື່ອງ​ສຳລັບ​ການ​ຂູດ​ຫຼຽນ​ຄຣິບ​ໂຕ​ ແລະ ​ການ​ໂຈມ​ຕີ​ DDoS.

ສຸດ​ທ້າຍ​ເມື່ອ​ສາມາດຂອງ Medusa ​ເຊື່ອມ​ຕໍ່​ຜ່ານ​ Telnet ໄດ້​ສຳ​ເລັດ​ ​ຈະເຮັດການ​ເອີ້ນ​ນໍາໃຊ້​ງານ​ Payload​ (“infection_medusa_stealer”) ແລະ ຍັງ​ພົບ​ວ່າ​ Payload ​ຕົວສຸດ​ທ້າຍ​ຂອງ​ Medusa ໄດ້​ຮອງ​ຮັບ​ຄຳ​ສັ່ງ​ “FivemBackdoor” ແລະ​ “sshlogin” ໄດ້​ບໍ່​ທັນສົມບູນ​ ເນື່ອງ​ຈາກຍັ​ງຢູ່ໃນ​ລະຫວ່າງ​ການ​ພັດທະນາ​.

IOC


ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/medusa-botnet-returns-as-a-mirai-based-variant-with-ransomware-sting/
  2. https://blog.cyble.com/2023/02/03/new-medusa-botnet-emerging-via-mirai-botnet-targeting-linux-users/
  3. https://www.i-secure.co.th/2023/02/medusa-botnet-%e0%b8%81%e0%b8%a5%e0%b8%b1%e0%b8%9a%e0%b8%a1%e0%b8%b2%e0%b8%ad%e0%b8%b5%e0%b8%81%e0%b8%84%e0%b8%a3%e0%b8%b1%e0%b9%89%e0%b8%87%e0%b9%83%e0%b8%99%e0%b8%a3%e0%b8%b9%e0%b8%9b%e0%b9%81/
765 Views