- ដោយ Admin
- Mar 16, 2026
កំពុងផ្ទុក...
កំពុងផ្ទុក...
botnet ដែលទើបតាមដានថ្មីមួយដែលមានឈ្មោះថា RondoDox បានបង្កើតឡើងដោយស្ងាត់ៗទៅជាការគំរាមកំហែងដ៏គួរឱ្យព្រួយបារម្ភបំផុតមួយដែលត្រូវបានគេសង្កេតឃើញក្នុងរយៈពេលប៉ុន្មានខែថ្មីៗនេះ ដោយរួមបញ្ចូលគ្នានូវការប្រមូលផ្តុំនៃការកេងប្រវ័ញ្ចដ៏ច្រើនមិនធម្មតាជាមួយនឹងការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធអ៊ីនធឺណិតលំនៅដ្ឋានដែលបានគណនា។
botnet នេះត្រូវបានរកឃើញជាលើកដំបូងនៅក្នុងខែឧសភា ឆ្នាំ 2025 ហើយបានចាប់ផ្តើមបង្កើតចរាចរណ៍យ៉ាងច្រើននៅក្នុង honeypots សុវត្ថិភាព ហើយចាប់តាំងពីពេលនោះមកបានរីកចម្រើនទៅជាប្រតិបត្តិការពេញលេញដែលមានសមត្ថភាពចាប់ផ្តើមការប៉ុនប៉ងកេងប្រវ័ញ្ចរហូតដល់ 15,000 ក្នុងមួយថ្ងៃ។
ប្រតិបត្តិកររបស់វាបានបង្ហាញទាំងមហិច្ឆតាបច្ចេកទេស និងការអត់ធ្មត់ប្រតិបត្តិការ ដោយគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធដែលគាំទ្រការវាយប្រហាររបស់ពួកគេដោយប្រុងប្រយ័ត្ន។
RondoDox ត្រូវបានបង្កើតឡើងនៅលើមូលដ្ឋានដូចគ្នានឹង Mirai ដែលជា botnet ប្រភពបើកចំហដ៏ល្បីល្បាញដែលកូដរបស់វាត្រូវបានប្រើឡើងវិញដោយអ្នកគំរាមកំហែងជាច្រើនក្នុងរយៈពេលជាច្រើនឆ្នាំ។
មិនដូច Mirai ដែលត្រូវបានរចនាឡើងដើម្បីស្កេនរកគោលដៅថ្មី និងអនុវត្តការវាយប្រហារបដិសេធសេវាកម្ម RondoDox ផ្តោតទាំងស្រុងលើការវាយប្រហារ DoS។
ប្រតិបត្តិករបានពង្រីកយ៉ាងខ្លាំងនៅលើមូលដ្ឋាននេះ ដោយបង្កើតឧបករណ៍មួយដែលឥឡូវនេះគ្របដណ្តប់លើភាពងាយរងគ្រោះចំនួន 174 ផ្សេងៗគ្នា ដែលជាតួលេខដែលមិនធម្មតាក្នុងចំណោមការគំរាមកំហែងប្រភេទនេះ។
វាក៏គាំទ្រស្ថាបត្យកម្មប្រព័ន្ធចំនួន 18 ផងដែរ រួមទាំង x86_64, ARM variants, MIPS, PowerPC និងផ្សេងៗទៀត ដែលអនុញ្ញាតឱ្យវាកំណត់គោលដៅលើផ្នែករឹងដែលភ្ជាប់អ៊ីនធឺណិតយ៉ាងទូលំទូលាយ។
អ្នកវិភាគ Bitsight បានកំណត់អត្តសញ្ញាណ botnet បន្ទាប់ពីកត់សម្គាល់ឃើញចរាចរណ៍ច្រើនដែលវាកំពុងបង្កើតនៅក្នុងប្រព័ន្ធ honeypot របស់ពួកគេ។
.png)
ការស៊ើបអង្កេតរបស់ពួកគេបានរកឃើញថា ក្នុងចំណោមការវាយប្រហារចំនួន ១៧៤ ដែលបានចងក្រងជាឯកសារ មាន ១៤៨ ត្រូវបានភ្ជាប់ទៅនឹង CVE ដែលគេស្គាល់ ១៥ មានកូដបញ្ជាក់ជាសាធារណៈ ប៉ុន្តែមិនមាន CVE ផ្លូវការទេ ហើយ ១១ មិនមានកូដបញ្ជាក់ជាសាធារណៈទាល់តែសោះ។
អ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញប្រតិបត្តិករតាមដានការបង្ហាញភាពងាយរងគ្រោះយ៉ាងសកម្ម ដោយមានការវាយប្រហារជាច្រើនត្រូវបានដាក់ពង្រាយក្នុងរយៈពេលប៉ុន្មានថ្ងៃបន្ទាប់ពីក្លាយជាចំណេះដឹងសាធារណៈ - ក្នុងករណីមួយ CVE-2025-62593 កំពុងត្រូវបានគេវាយប្រហារមុនពេល CVE របស់វាត្រូវបានបោះពុម្ពផ្សាយជាផ្លូវការ។
នៅដើមដំបូងនៃប្រតិបត្តិការរបស់ខ្លួន ប្រតិបត្តិករ botnet បានប្រើអ្វីដែលអ្នកស្រាវជ្រាវហៅថាវិធីសាស្រ្ត shotgun ដោយបញ្ជូនការវាយប្រហារច្រើនទៅកាន់គោលដៅដូចគ្នាក្នុងពេលតែមួយ ដោយសង្ឃឹមថាមួយនឹងដំណើរការ។
.png)
នៅខែមករា ឆ្នាំ២០២៦ ចំនួននោះបានធ្លាក់ចុះមកត្រឹមចំណុចខ្សោយសកម្មពីរប៉ុណ្ណោះ ដែលជាសញ្ញាមួយដែលបង្ហាញថាប្រតិបត្តិករបានផ្លាស់ប្តូរទៅរកការផ្តោតលើគោលដៅដែលមានតម្លៃខ្ពស់ជាជាងការបោះបណ្តាញធំទូលាយ។
CVE-2025-55182 ដែលត្រូវបានគេស្គាល់ថា React2Shell និងត្រូវបានបង្ហាញនៅថ្ងៃទី៣ ខែធ្នូ ឆ្នាំ២០២៥ ត្រូវបានបន្ថែមទៅក្នុងបញ្ជីការកេងប្រវ័ញ្ចរបស់ botnet ត្រឹមតែបីថ្ងៃក្រោយមក គឺនៅថ្ងៃទី៦ ខែធ្នូ។
ការទទួលយកយ៉ាងឆាប់រហ័សនៃចំណុចខ្សោយដែលទើបនឹងបង្ហាញថ្មីនេះ រួមផ្សំជាមួយនឹងទំហំ និងការតស៊ូនៃប្រតិបត្តិការ បង្ហាញពីការគំរាមកំហែងដែលមានធនធានល្អ និងមានការលើកទឹកចិត្ត ដែលក្រុមសន្តិសុខត្រូវយកចិត្តទុកដាក់យ៉ាងខ្លាំង។
ហេដ្ឋារចនាសម្ព័ន្ធ IP លំនៅដ្ឋាន៖ ស្រទាប់បង្ហោះបោកប្រាស់
ព័ត៌មានលម្អិតដ៏គួរឱ្យចាប់អារម្មណ៍បំផុតមួយដែលត្រូវបានរកឃើញនៅក្នុងការស្រាវជ្រាវគឺរបៀបដែល RondoDox ប្រើប្រាស់អាសយដ្ឋាន IP លំនៅដ្ឋានដែលត្រូវបានសម្របសម្រួលដើម្បីបង្ហោះបន្ទុកមេរោគរបស់ខ្លួន។
Bitsight បានតាមដានអាសយដ្ឋាន IP ចំនួន 32 ក្នុងអំឡុងពេលសង្កេតពេញលេញ - 16 ឧទ្ទិសដល់ការកេងប្រវ័ញ្ច និង 16 សម្រាប់ការបង្ហោះ។
ខណៈពេលដែល IP នៃការកេងប្រវ័ញ្ចត្រូវបានតាមដានទៅកាន់អ្នកផ្តល់សេវាបង្ហោះដែលទទួលយកការទូទាត់ប្រាក់ឌីជីថល IP បង្ហោះភាគច្រើនបានចង្អុលបង្ហាញទៅកាន់អ្នកផ្តល់សេវាអ៊ីនធឺណិតធម្មតានៅក្នុងប្រទេសនានារួមមានសហរដ្ឋអាមេរិក កាណាដា ស៊ុយអែត ចិន និងទុយនីស៊ី។
ដោយប្រើប្រាស់សំណុំទិន្នន័យ Groma អ្នកស្រាវជ្រាវបានរកឃើញថា IP បង្ហោះលំនៅដ្ឋានចំនួនបួនក្នុងចំណោម 11 ដែលបានកំណត់អត្តសញ្ញាណបានបង្ហាញពីសេវាកម្មដែលអាចងាយរងគ្រោះ រួមទាំងចំណុចប្រទាក់ UniFi Protect ប្រព័ន្ធផ្ទះឆ្លាតវៃ Control4 ចំនួនពីរ និងម៉ាស៊ីនមេគេហទំព័រ TCL Android TV។
ភស្តុតាងបង្ហាញយ៉ាងច្បាស់ថា ទាំងនេះគឺជាឧបករណ៍ផ្ទះដែលរងការលួចចូលដោយមិនដឹងខ្លួនដែលបម្រើជាហេដ្ឋារចនាសម្ព័ន្ធរបស់ botnet។
ម៉ាស៊ីនមេបង្ហោះក៏ប្រើប្រាស់យន្តការដាក់ក្នុងបញ្ជីខ្មៅផងដែរ ដោយប្រគល់ទំព័រក្លែងក្លាយជាមួយវីដេអូផ្ទៃខាងក្រោយ និងប៊ូតុងមិនដំណើរការដើម្បីរារាំងអ្នកវិភាគ។ ដើម្បីកាត់បន្ថយហានិភ័យ អង្គការនានាគួរតែជួសជុលឧបករណ៍ដែលប្រឈមមុខនឹងអ៊ីនធឺណិតជាប្រចាំ បិទសេវាកម្មចូលប្រើពីចម្ងាយដែលមិនបានប្រើ និងត្រួតពិនិត្យចរាចរណ៍បណ្តាញសម្រាប់ការតភ្ជាប់គួរឱ្យសង្ស័យ ដោយប្រើសូចនាករនៃការលួចចូលដែលបានបោះពុម្ពផ្សាយដោយ Bitsight នៅលើឃ្លាំង GitHub របស់ពួកគេ។
