เกย์เฟมบอย
| เกย์เฟมบอย | |
|---|---|
| รายละเอียดมัลแวร์ | |
| พิมพ์ | บอทเน็ต |
| ตระกูล | มิไร |
| เหตุการณ์โจมตีทางไซเบอร์ | |
| วันที่ | กุมภาพันธ์ 2024 (ค้นพบครั้งแรก) – ปัจจุบัน |
| รายละเอียดทางเทคนิค | |
| แพลตฟอร์ม | ลินุกซ์[ 1 ] |
Gayfemboyเป็นมัลแวร์สายพันธุ์ หนึ่ง ที่แพร่ระบาดในอุปกรณ์อิเล็กทรอนิกส์ขององค์กรต่างๆ รวมถึงอุปกรณ์จากDrayTek , TP-Link , Raisecom และCiscoโดยใช้CVEs มัลแว ร์ นี้ส่งผลกระทบต่อบริษัทต่างๆ ในบราซิลฝรั่งเศสเยอรมนีอิสราเอลเม็กซิโกสหรัฐอเมริกาสวิตเซอร์แลนด์และเวียดนามและส่งผลกระทบต่อภาคส่วนต่างๆ เช่นการก่อสร้างการผลิตเทคโนโลยี และ สื่อ / การสื่อสาร[ 2 ]
ชื่อ
ชื่อของมัลแวร์ "Gayfemboy" มาจากคำว่า " femboy " ซึ่งใช้ในชุมชน LGBTQ+เพื่ออ้างถึงผู้ชายที่มีลักษณะเป็นผู้หญิง นักวิจัยตั้งชื่อมัลแวร์นี้เนื่องจากมีการอ้างอิงถึงหัวข้อ LGBTQ+ และหัวข้อ femboy จำนวนมากในโค้ดและโดเมนควบคุมและสั่งการ[ 3 ] [ 4 ]
ประวัติศาสตร์
มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนกุมภาพันธ์ 2024 โดยนักวิจัยด้านความปลอดภัยของFortinetหลังจากการโจมตีจำนวนมากโดยมัลแวร์ Gayfemboy ในเดือนมกราคม ซึ่งมัลแวร์ใช้เครื่องที่ติดเชื้อเป็นบอทเน็ตเพื่อโจมตีเว็บไซต์เป้าหมายด้วยDDoS [ 3 ]ตัวอย่างที่รู้จักในปัจจุบันถูกเข้ารหัสด้วยUPX packer แต่ส่วนหัว "UPX!" ถูกแทนที่ด้วยอักขระที่ไม่สามารถพิมพ์ได้ในรหัสเลขฐานสิบหก "10 F0 00 00" ทำให้การตรวจจับทำได้ยากขึ้น เมื่อทำงาน มัลแวร์จะตรวจสอบเส้นทางของแต่ละกระบวนการที่อยู่ใน "/proc/[PID]/exe" เพื่อรวบรวมข้อมูลเกี่ยวกับกระบวนการที่ใช้งานอยู่และตำแหน่งที่เกี่ยวข้องภายในระบบไฟล์ มันโหลดสตริงคำสั่ง 47 สตริงลงในหน่วยความจำและตรวจสอบรายการทั้งหมดใน "/proc/[PID]/cmdline" หากพบการจับคู่ มันจะยุติกระบวนการที่เกี่ยวข้อง คำสั่งเหล่านี้รวมถึง "ls -l", "reboot", " wget " และอื่นๆ มอนิเตอร์ถูกใช้เพื่อการป้องกันตนเองและตรวจจับแซนด์บ็อกซ์ หาก Gayfemboy ตรวจพบว่ากระบวนการมัลแวร์ถูกยุติลง มันจะเริ่มการเริ่มต้นใหม่ เนื่องจากความล่าช้า 50 นาโนวินาทีมัลแวร์จึงสามารถตรวจจับแซนด์บ็อกซ์ได้ ซึ่งแซนด์บ็อกซ์ไม่สามารถจัดการกับความล่าช้าที่ปรับแต่งมาอย่างละเอียดเช่นนี้ได้ ส่งผลให้ฟังก์ชันที่เรียกใช้ล้มเหลวและทำให้มัลแวร์ "ตีความผลลัพธ์ผิดพลาด" ส่งผลให้มัลแวร์เข้าสู่สถานะพักตัวเป็นเวลา 27 ชั่วโมง[ 5 ]
การติดเชื้อและการกำหนดเป้าหมายของมัลแวร์ Gayfemboy นั้นคล้ายคลึงกับสายพันธุ์มัลแวร์Miraiและกำหนดเป้าหมายสถาปัตยกรรมระบบต่างๆ รวมถึงARM , MIPS I , PowerPCและIntel x86มัลแวร์ Gayfemboy ติดตามเธรดและกระบวนการต่างๆ ในขณะที่ใช้เทคนิคการคงอยู่และการหลีกเลี่ยงแซนด์บ็อกซ์ ผูกกับพอร์ตUDP 47272 เปิดการโจมตี DDoS โดยใช้โปรโตคอล UDP, TCPและICMPและเปิดใช้งานการเข้าถึงแบบแบ็กดอร์โดยการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อรับคำสั่ง นอกจากนี้ยังยุติการทำงานเองหากได้รับคำสั่งจากเซิร์ฟเวอร์หรือตรวจพบการเปลี่ยนแปลงแซนด์บ็อกซ์ การโจมตีส่วนใหญ่ประกอบด้วยการค้นหา เซิร์ฟเวอร์ Redis ที่ไม่ได้รับการตรวจสอบสิทธิ์ซึ่งทำงานบนพอร์ต 6379 จากนั้นจะตามด้วยการเรียกใช้คำสั่ง CONFIG, SET และ SAVE ที่ถูกต้องเพื่อเริ่มต้นงาน cronที่เป็นอันตรายซึ่งมีจุดประสงค์เพื่อเรียกใช้สคริปต์เชลล์สคริปต์นี้ออกแบบมาเพื่อปิดใช้งานSELinuxใช้มาตรการหลีกเลี่ยงการป้องกัน บล็อกการเข้าถึงพอร์ต Redis จากภายนอกเพื่อป้องกันไม่ให้หน่วยงานคู่แข่งใช้ประโยชน์จากเส้นทางการเข้าถึงเริ่มต้น และยุติกระบวนการขุดที่แข่งขันกัน (เช่น Kinsing) [ 6 ]
บอทเน็ต Gayfemboy ซึ่งตรวจพบครั้งแรกในเดือนกุมภาพันธ์ พ.ศ. 2567 ได้ใช้กลยุทธ์ที่ซับซ้อน เช่น การใช้ ประโยชน์จากช่องโหว่ Zero-day เพื่อแทรกซึมเข้าไปในอุปกรณ์ต่างๆ ภายในเดือนพฤศจิกายน พ.ศ. 2567 บอทเน็ตได้ขยายขอบเขตการทำงาน โดยมุ่งเน้นไปที่เราเตอร์อุตสาหกรรมและอุปกรณ์สมาร์ทโฮม โดยมี โหนดที่ใช้งานอยู่มากกว่า 15,000 โหนด[ 7 ]บุคคลที่ดำเนินการ Gayfemboy ยังได้เริ่มการโจมตี DDoS ต่อนักวิจัยที่กำลังตรวจสอบการทำงานของพวกเขา มัลแวร์นี้ใช้การตั้งชื่อไฟล์และ วิธี การปกปิดข้อมูล ที่เป็นเอกลักษณ์ เพื่อหลีกเลี่ยงการตรวจจับ โดยมีโมดูลหลักสี่โมดูลที่ออกแบบมาเพื่อวัตถุประสงค์ที่เป็นอันตรายต่างๆ[ 8 ]
ในเดือนกรกฎาคม พ.ศ. 2568 FortiGuard Labs ค้นพบเพย์โหลด Gayfemboy ที่ใช้ประโยชน์จากช่องโหว่ต่างๆ ในอุปกรณ์ การโจมตีถูกติดตามกลับไปยังที่อยู่ IP 87.121.84.34 และ 220.158.234.135 ผู้เชี่ยวชาญระบุสคริปต์ดาวน์โหลดที่มุ่งเป้าไปที่อุปกรณ์หลายเครื่องที่บอทกำหนดเป้าหมาย ซึ่งรวมถึงAsus , Vivo , ZyxelและRealtekโค้ดที่เป็นอันตรายดึงมัลแวร์และ โปรแกรม ขุดMonero โดยส่งชื่อผลิตภัณฑ์เป็นพารามิเตอร์ไปยัง Gayfemboy เพื่อดำเนินการ[ 9 ]มัลแวร์จะเปิดใช้งานกระบวนการขุดคริปโตและการสร้างแบ็กดอร์โดยการข้ามการตรวจสอบสิทธิ์ปกติบนระบบด้วยสตริง "meowmeow" [ 10 ]
ภายในเดือนสิงหาคม พ.ศ. 2568 Fortinet ได้นำระบบป้องกันแบบหลายชั้นมาใช้เพื่อต่อต้านแคมเปญ Gayfemboy โดยผ่านบริการกรองเว็บ FortiGuard ซึ่งบล็อกโดเมน คำสั่งและควบคุม ( C2 ) ที่ ระบุได้อย่างแข็งขัน นอกเหนือจากลายเซ็น IPS เพื่อป้องกันช่องโหว่ที่ถูกใช้ประโยชน์ทั้งหมด โดเมน C2 ได้แก่ cross-compiling.org , i-kiss-boys.com , furry-femboys.top , twinklfinder.nl และ3gipcam.com [ 11 ]