กลับไปหน้าบทความ

อ่าน 3 นาที

เกย์เฟมบอย

ยุค 2020 ในการแฮ็ก/2024 ในด้านคอมพิวเตอร์/2025 ในด้านคอมพิวเตอร์/บอตเน็ต/การโจมตีทางไซเบอร์/อาชญากรรมทางไซเบอร์/การโจมตีแบบปฏิเสธการให้บริการ/อินเทอร์เน็ตของสิ่งต่าง ๆ

Gayfemboyเป็นมัลแวร์สายพันธุ์ หนึ่ง ที่แพร่ระบาดในอุปกรณ์อิเล็กทรอนิกส์ขององค์กรต่างๆ รวมถึงอุปกรณ์จากDrayTek , TP-Link , Raisecom และCiscoโดยใช้CVEs มัลแว ร์...

เกย์เฟมบอย

เกย์เฟมบอย
รายละเอียดมัลแวร์
พิมพ์บอทเน็ต
ตระกูลมิไร
เหตุการณ์โจมตีทางไซเบอร์
วันที่กุมภาพันธ์ 2024 (ค้นพบครั้งแรก) – ปัจจุบัน
รายละเอียดทางเทคนิค
แพลตฟอร์มลินุกซ์[ 1 ]

Gayfemboyเป็นมัลแวร์สายพันธุ์ หนึ่ง ที่แพร่ระบาดในอุปกรณ์อิเล็กทรอนิกส์ขององค์กรต่างๆ รวมถึงอุปกรณ์จากDrayTek , TP-Link , Raisecom และCiscoโดยใช้CVEs มัลแว ร์ นี้ส่งผลกระทบต่อบริษัทต่างๆ ในบราซิลฝรั่งเศสเยอรมนีอิสราเอลเม็กซิโกสหรัฐอเมริกาวิตเซอร์แลนด์และเวียดนามและส่งผลกระทบต่อภาคส่วนต่างๆ เช่นการก่อสร้างการผลิตเทคโนโลยี และ สื่อ / การสื่อสาร[ 2 ]

ชื่อ

ชื่อของมัลแวร์ "Gayfemboy" มาจากคำว่า " femboy " ซึ่งใช้ในชุมชน LGBTQ+เพื่ออ้างถึงผู้ชายที่มีลักษณะเป็นผู้หญิง นักวิจัยตั้งชื่อมัลแวร์นี้เนื่องจากมีการอ้างอิงถึงหัวข้อ LGBTQ+ และหัวข้อ femboy จำนวนมากในโค้ดและโดเมนควบคุมและสั่งการ[ 3 ] [ 4 ]

ประวัติศาสตร์

มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนกุมภาพันธ์ 2024 โดยนักวิจัยด้านความปลอดภัยของFortinetหลังจากการโจมตีจำนวนมากโดยมัลแวร์ Gayfemboy ในเดือนมกราคม ซึ่งมัลแวร์ใช้เครื่องที่ติดเชื้อเป็นบอทเน็ตเพื่อโจมตีเว็บไซต์เป้าหมายด้วยDDoS [ 3 ]ตัวอย่างที่รู้จักในปัจจุบันถูกเข้ารหัสด้วยUPX packer แต่ส่วนหัว "UPX!" ถูกแทนที่ด้วยอักขระที่ไม่สามารถพิมพ์ได้ในรหัสเลขฐานสิบหก "10 F0 00 00" ทำให้การตรวจจับทำได้ยากขึ้น เมื่อทำงาน มัลแวร์จะตรวจสอบเส้นทางของแต่ละกระบวนการที่อยู่ใน "/proc/[PID]/exe" เพื่อรวบรวมข้อมูลเกี่ยวกับกระบวนการที่ใช้งานอยู่และตำแหน่งที่เกี่ยวข้องภายในระบบไฟล์ มันโหลดสตริงคำสั่ง 47 สตริงลงในหน่วยความจำและตรวจสอบรายการทั้งหมดใน "/proc/[PID]/cmdline" หากพบการจับคู่ มันจะยุติกระบวนการที่เกี่ยวข้อง คำสั่งเหล่านี้รวมถึง "ls -l", "reboot", " wget " และอื่นๆ มอนิเตอร์ถูกใช้เพื่อการป้องกันตนเองและตรวจจับแซนด์บ็อกซ์ หาก Gayfemboy ตรวจพบว่ากระบวนการมัลแวร์ถูกยุติลง มันจะเริ่มการเริ่มต้นใหม่ เนื่องจากความล่าช้า 50 นาโนวินาทีมัลแวร์จึงสามารถตรวจจับแซนด์บ็อกซ์ได้ ซึ่งแซนด์บ็อกซ์ไม่สามารถจัดการกับความล่าช้าที่ปรับแต่งมาอย่างละเอียดเช่นนี้ได้ ส่งผลให้ฟังก์ชันที่เรียกใช้ล้มเหลวและทำให้มัลแวร์ "ตีความผลลัพธ์ผิดพลาด" ส่งผลให้มัลแวร์เข้าสู่สถานะพักตัวเป็นเวลา 27 ชั่วโมง[ 5 ]

การติดเชื้อและการกำหนดเป้าหมายของมัลแวร์ Gayfemboy นั้นคล้ายคลึงกับสายพันธุ์มัลแวร์Miraiและกำหนดเป้าหมายสถาปัตยกรรมระบบต่างๆ รวมถึงARM , MIPS I , PowerPCและIntel x86มัลแวร์ Gayfemboy ติดตามเธรดและกระบวนการต่างๆ ในขณะที่ใช้เทคนิคการคงอยู่และการหลีกเลี่ยงแซนด์บ็อกซ์ ผูกกับพอร์ตUDP 47272 เปิดการโจมตี DDoS โดยใช้โปรโตคอล UDP, TCPและICMPและเปิดใช้งานการเข้าถึงแบบแบ็กดอร์โดยการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อรับคำสั่ง นอกจากนี้ยังยุติการทำงานเองหากได้รับคำสั่งจากเซิร์ฟเวอร์หรือตรวจพบการเปลี่ยนแปลงแซนด์บ็อกซ์ การโจมตีส่วนใหญ่ประกอบด้วยการค้นหา เซิร์ฟเวอร์ Redis ที่ไม่ได้รับการตรวจสอบสิทธิ์ซึ่งทำงานบนพอร์ต 6379 จากนั้นจะตามด้วยการเรียกใช้คำสั่ง CONFIG, SET และ SAVE ที่ถูกต้องเพื่อเริ่มต้นงาน cronที่เป็นอันตรายซึ่งมีจุดประสงค์เพื่อเรียกใช้สคริปต์เชลล์สคริปต์นี้ออกแบบมาเพื่อปิดใช้งานSELinuxใช้มาตรการหลีกเลี่ยงการป้องกัน บล็อกการเข้าถึงพอร์ต Redis จากภายนอกเพื่อป้องกันไม่ให้หน่วยงานคู่แข่งใช้ประโยชน์จากเส้นทางการเข้าถึงเริ่มต้น และยุติกระบวนการขุดที่แข่งขันกัน (เช่น Kinsing) [ 6 ]

บอทเน็ต Gayfemboy ซึ่งตรวจพบครั้งแรกในเดือนกุมภาพันธ์ พ.ศ. 2567 ได้ใช้กลยุทธ์ที่ซับซ้อน เช่น การใช้ ประโยชน์จากช่องโหว่ Zero-day เพื่อแทรกซึมเข้าไปในอุปกรณ์ต่างๆ ภายในเดือนพฤศจิกายน พ.ศ. 2567 บอทเน็ตได้ขยายขอบเขตการทำงาน โดยมุ่งเน้นไปที่เราเตอร์อุตสาหกรรมและอุปกรณ์สมาร์ทโฮม โดยมี โหนดที่ใช้งานอยู่มากกว่า 15,000 โหนด[ 7 ]บุคคลที่ดำเนินการ Gayfemboy ยังได้เริ่มการโจมตี DDoS ต่อนักวิจัยที่กำลังตรวจสอบการทำงานของพวกเขา มัลแวร์นี้ใช้การตั้งชื่อไฟล์และ วิธี การปกปิดข้อมูล ที่เป็นเอกลักษณ์ เพื่อหลีกเลี่ยงการตรวจจับ โดยมีโมดูลหลักสี่โมดูลที่ออกแบบมาเพื่อวัตถุประสงค์ที่เป็นอันตรายต่างๆ[ 8 ]

ในเดือนกรกฎาคม พ.ศ. 2568 FortiGuard Labs ค้นพบเพย์โหลด Gayfemboy ที่ใช้ประโยชน์จากช่องโหว่ต่างๆ ในอุปกรณ์ การโจมตีถูกติดตามกลับไปยังที่อยู่ IP 87.121.84.34 และ 220.158.234.135 ผู้เชี่ยวชาญระบุสคริปต์ดาวน์โหลดที่มุ่งเป้าไปที่อุปกรณ์หลายเครื่องที่บอทกำหนดเป้าหมาย ซึ่งรวมถึงAsus , Vivo , ZyxelและRealtekโค้ดที่เป็นอันตรายดึงมัลแวร์และ โปรแกรม ขุดMonero โดยส่งชื่อผลิตภัณฑ์เป็นพารามิเตอร์ไปยัง Gayfemboy เพื่อดำเนินการ[ 9 ]มัลแวร์จะเปิดใช้งานกระบวนการขุดคริปโตและการสร้างแบ็กดอร์โดยการข้ามการตรวจสอบสิทธิ์ปกติบนระบบด้วยสตริง "meowmeow" [ 10 ]

ภายในเดือนสิงหาคม พ.ศ. 2568 Fortinet ได้นำระบบป้องกันแบบหลายชั้นมาใช้เพื่อต่อต้านแคมเปญ Gayfemboy โดยผ่านบริการกรองเว็บ FortiGuard ซึ่งบล็อกโดเมน คำสั่งและควบคุม ( C2 ) ที่ ระบุได้อย่างแข็งขัน นอกเหนือจากลายเซ็น IPS เพื่อป้องกันช่องโหว่ที่ถูกใช้ประโยชน์ทั้งหมด โดเมน C2 ได้แก่ cross-compiling.org , i-kiss-boys.com , furry-femboys.top , twinklfinder.nl และ3gipcam.com [ 11 ]

ดูเพิ่มเติม

ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=Gayfemboy&oldid=1356912836 "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ เกย์เฟมบอย

Gayfemboyเป็นมัลแวร์สายพันธุ์ หนึ่ง ที่แพร่ระบาดในอุปกรณ์อิเล็กทรอนิกส์ขององค์กรต่างๆ รวมถึงอุปกรณ์จากDrayTek , TP-Link , Raisecom และCiscoโดยใช้CVEs มัลแว ร์...

ชื่อ

ชื่อของมัลแวร์ "Gayfemboy" มาจากคำว่า " femboy " ซึ่งใช้ใน ชุมชน LGBTQ+ เพื่ออ้างถึงผู้ชายที่มีลักษณะเป็นผู้หญิง นักวิจัยตั้งชื่อมัลแวร์นี้เนื่องจากมีการอ้างอิงถึงหัวข้อ LGBTQ+ และหัวข้อ femboy จำนวนมากในโค้ดและโดเมนควบคุมและสั่งการ [ 3 ] [ 4 ]

ประวัติศาสตร์

มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนกุมภาพันธ์ 2024 โดยนักวิจัยด้านความปลอดภัยของ Fortinet หลังจากการโจมตีจำนวนมากโดยมัลแวร์ Gayfemboy ในเดือนมกราคม ซึ่งมัลแวร์ใช้เครื่องที่ติดเชื้อเป็น บอทเน็ต เพื่อโจมตีเว็บไซต์เป้าหมายด้วย DDoS [ 3 ]...

ดูเพิ่มเติม

มิไร ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=Gayfemboy&oldid=1356912836 "