ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ឧបករណ៍ DAEMON

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដ៏ស្មុគស្មាញមួយដែលពាក់ព័ន្ធនឹងអ្នកដំឡើង DAEMON Tools។ ជនល្មើសគំរាមកំហែងបានធ្វើឱ្យខូចកម្មវិធីដំឡើង Windows ផ្លូវការដែលចែកចាយតាមរយៈគេហទំព័រ DAEMON Tools ស្របច្បាប់ដោយជោគជ័យ ដោយបង្កប់កូដព្យាបាទទៅក្នុងកញ្ចប់កម្មវិធីដែលចុះហត្ថលេខាឌីជីថល។ ដោយសារតែអ្នកដំឡើងមានវិញ្ញាបនបត្រអ្នកអភិវឌ្ឍន៍ពិតប្រាកដ មេរោគនេះហាក់ដូចជាគួរឱ្យទុកចិត្ត និងងាយនឹងរំលងការការពារសុវត្ថិភាពធម្មតា។

កំណែកម្មវិធីដំឡើងដែលរងការសម្របសម្រួលមានចាប់ពី 12.5.0.2421 ដល់ 12.5.0.2434 ដោយមានសកម្មភាពព្យាបាទដែលត្រូវបានតាមដានត្រឡប់ទៅថ្ងៃទី 8 ខែមេសា ឆ្នាំ 2026។ មានតែកំណែ Windows នៃកម្មវិធីប៉ុណ្ណោះដែលរងផលប៉ះពាល់ ខណៈដែលកំណែ Mac នៅតែមិនរងផលប៉ះពាល់។ បន្ទាប់ពីការបង្ហាញពីឧប្បត្តិហេតុនេះ អ្នកអភិវឌ្ឍន៍ AVB Disc Soft បានចេញផ្សាយកំណែ 12.6.0.2445 ដែលលុបមុខងារព្យាបាទ និងដោះស្រាយការរំលោភបំពាន។

សមាសធាតុព្យាបាទដែលលាក់នៅក្នុងដំណើរការស្របច្បាប់

ក្រុមអ្នកស៊ើបអង្កេតបានរកឃើញថា អ្នកវាយប្រហារបានកែប្រែសមាសធាតុសំខាន់ៗចំនួនបីរបស់ DAEMON Tools៖

• DTHelper.exe
• DiscSoftBusServiceLite.exe
• DTShellHlp.exe

នៅពេលណាដែលឯកសារគោលពីរទាំងនេះត្រូវបានដាក់ឱ្យដំណើរការ ជាធម្មតាក្នុងអំឡុងពេលចាប់ផ្តើមប្រព័ន្ធ ពួកវាបានធ្វើឱ្យសកម្មនូវការបង្កប់ដែលលាក់នៅលើម៉ាស៊ីនដែលមានមេរោគ។ ការបង្កប់នេះបានទាក់ទងជាមួយដែនខាងក្រៅ env-check.daemontools.cc ដែលបានចុះឈ្មោះនៅថ្ងៃទី 27 ខែមីនា ឆ្នាំ 2026 ដើម្បីទាញយកពាក្យបញ្ជាសែលដែលបានប្រតិបត្តិតាមរយៈដំណើរការ Windows cmd.exe។

ពាក្យបញ្ជាដែលបានទាញយកបានបង្កឱ្យមានការដាក់ពង្រាយមេរោគបន្ថែម ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពង្រីកការគ្រប់គ្រងលើប្រព័ន្ធដែលរងការសម្របសម្រួល ខណៈពេលដែលនៅតែលាក់ខ្លួននៅក្នុងឥរិយាបថកម្មវិធីដែលអាចទុកចិត្តបាន។

ការដាក់ពង្រាយមេរោគច្រើនដំណាក់កាលបង្កើនការជូនដំណឹង

ខ្សែសង្វាក់វាយប្រហារពាក់ព័ន្ធនឹងបន្ទុកបន្ទាប់បន្សំជាច្រើនដែលត្រូវបានរចនាឡើងសម្រាប់ការឈ្លបយកការណ៍ ការបន្ត និងការបញ្ជាពីចម្ងាយ។ ក្នុងចំណោមឯកសារដែលបានដាក់ពង្រាយរួមមាន៖

envchk.exe — ឧបករណ៍​ឈ្លបយកការណ៍​ដែលមានមូលដ្ឋានលើ .NET ដែលមានសមត្ថភាពប្រមូលព័ត៌មានប្រព័ន្ធលម្អិត។
cdg.exe និង cdg.tmp — សមាសធាតុដែលប្រើសម្រាប់ឌិគ្រីប និងបើកដំណើរការ Backdoor ទម្ងន់ស្រាលដែលមានសមត្ថភាពទាញយកឯកសារ ប្រតិបត្តិពាក្យបញ្ជា Shell និងដំណើរការ Shellcode ដោយផ្ទាល់នៅក្នុងអង្គចងចាំ។

អ្នកវិភាគសន្តិសុខក៏បានកំណត់អត្តសញ្ញាណការចែកចាយមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលគេស្គាល់ថា QUIC RAT។ មេរោគនេះគាំទ្រវិធីសាស្ត្រទំនាក់ទំនង Command-and-Control (C2) ជាច្រើន រួមទាំង HTTP, TCP, UDP, DNS, WSS, QUIC និង HTTP/3។ លើសពីនេះ វាអាចចាក់បញ្ចូលទិន្នន័យព្យាបាទទៅក្នុងដំណើរការ Windows ស្របច្បាប់ដូចជា notepad.exe និង conhost.exe ដែលធ្វើឱ្យការរកឃើញកាន់តែពិបាក។

មនុស្សរាប់ពាន់នាក់ត្រូវបានលាតត្រដាង ប៉ុន្តែមានតែជនរងគ្រោះមួយចំនួនប៉ុណ្ណោះដែលត្រូវបានជ្រើសរើសជាគោលដៅ

ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញការប៉ុនប៉ងឆ្លងមេរោគរាប់ពាន់ដងដែលភ្ជាប់ទៅនឹងអ្នកដំឡើងដែលរងការសម្របសម្រួលនៅទូទាំងប្រទេសជាង 100 រួមមានប្រទេសរុស្ស៊ី ប្រេស៊ីល តួកគី អាល្លឺម៉ង់ បារាំង អ៊ីតាលី អេស្ប៉ាញ និងចិន។ បើទោះបីជាមានការឆ្លងមេរោគយ៉ាងទូលំទូលាយក៏ដោយ ក៏មានតែប្រព័ន្ធមួយចំនួនតូចប៉ុណ្ណោះដែលទទួលបានទិន្នន័យច្រកទ្វារខាងក្រោយកម្រិតខ្ពស់ ដែលបង្ហាញពីយុទ្ធសាស្ត្រកំណត់គោលដៅដែលមានការជ្រើសរើសខ្ពស់។

មេរោគ​ប្រភេទ​នេះ​ត្រូវ​បាន​រក​ឃើញ​នៅ​ក្នុង​អង្គការ​ដែល​ធ្វើ​ប្រតិបត្តិការ​ក្នុង​វិស័យ​លក់រាយ ការស្រាវជ្រាវវិទ្យាសាស្ត្រ រដ្ឋាភិបាល ផលិតកម្ម និង​វិស័យ​អប់រំ​ទូទាំង​ប្រទេស​រុស្ស៊ី បេឡារុស និង​ថៃ។ ការ​ឆ្លង​មេរោគ QUIC RAT មួយ​ដែល​ត្រូវ​បាន​បញ្ជាក់​ថា​មាន​គោលដៅ​ជាក់លាក់​លើ​ស្ថាប័ន​អប់រំ​មួយ​នៅ​ក្នុង​ប្រទេស​រុស្ស៊ី។

ការដាក់ពង្រាយជ្រើសរើសនេះបង្ហាញយ៉ាងច្បាស់ថាយុទ្ធនាការនេះត្រូវបានរចនាឡើងសម្រាប់ការកំណត់គោលដៅជាក់លាក់ជាជាងការឆ្លងមេរោគដ៏ធំដោយមិនរើសអើង។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវមិនទាន់បានកំណត់ថាតើអ្នកវាយប្រហារមានបំណងធ្វើប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិត ឬការវាយប្រហារ 'បរបាញ់សត្វព្រៃធំ' ដែលមានហេតុផលហិរញ្ញវត្ថុនោះទេ។

ភស្តុតាងចង្អុលបង្ហាញពីអ្នកគំរាមកំហែងដែលនិយាយភាសាចិនដ៏ទំនើបម្នាក់

ទោះបីជាមិនទាន់មានក្រុមគំរាមកំហែងណាមួយដែលគេស្គាល់ជាផ្លូវការត្រូវបានផ្សារភ្ជាប់ទៅនឹងប្រតិបត្តិការនេះក៏ដោយ ការវិភាគផ្នែកកោសល្យវិច្ច័យនៃវត្ថុបុរាណនៃមេរោគបង្ហាញពីការចូលរួមពីសត្រូវដែលនិយាយភាសាចិន។ ភាពស្មុគស្មាញនៃការឈ្លានពាន រួមផ្សំជាមួយនឹងសមត្ថភាពក្នុងការសម្របសម្រួលកម្មវិធីដែលបានចុះហត្ថលេខាដែលចែកចាយតាមរយៈបណ្តាញអ្នកលក់ផ្លូវការ បង្ហាញពីសមត្ថភាពវាយលុកកម្រិតខ្ពស់ និងការធ្វើផែនការប្រតិបត្តិការរយៈពេលវែង។

ការសម្របសម្រួល DAEMON Tools បានចូលរួមជាមួយរលកនៃការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធីដែលកំពុងកើនឡើងដែលត្រូវបានគេសង្កេតឃើញពេញមួយឆមាសទីមួយនៃឆ្នាំ ២០២៦។ ឧប្បត្តិហេតុស្រដៀងគ្នានេះពីមុនបានប៉ះពាល់ដល់ eScan ក្នុងខែមករា Notepad++ ក្នុងខែកុម្ភៈ និង CPUID ក្នុងខែមេសា។

ហេតុអ្វីបានជាការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់មានគ្រោះថ្នាក់ខ្លាំងម្ល៉េះ

ការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់នៅតែមានគ្រោះថ្នាក់ជាពិសេស ពីព្រោះវាកេងប្រវ័ញ្ចទំនុកចិត្តដែលមានស្រាប់ដែលអ្នកប្រើប្រាស់ដាក់លើអ្នកលក់កម្មវិធីស្របច្បាប់។ កម្មវិធីដែលបានទាញយកដោយផ្ទាល់ពីគេហទំព័រផ្លូវការ និងចុះហត្ថលេខាជាមួយវិញ្ញាបនបត្រឌីជីថលដែលមានសុពលភាពកម្រត្រូវបានចាត់ទុកថាគួរឱ្យសង្ស័យដោយអ្នកប្រើប្រាស់ ឬផលិតផលសុវត្ថិភាព។

ក្នុងករណីនេះ សកម្មភាពព្យាបាទត្រូវបានគេរាយការណ៍ថានៅតែមិនត្រូវបានរកឃើញអស់រយៈពេលជិតមួយខែ ដែលបង្ហាញពីភាពស្មុគស្មាញរបស់អ្នកវាយប្រហារ និងដែនកំណត់នៃការការពារសន្តិសុខដែលមានមូលដ្ឋានលើបរិវេណបែបប្រពៃណី។ អ្នកជំនាញសន្តិសុខសង្កត់ធ្ងន់ថា អង្គការដែលប្រើប្រាស់កំណែ DAEMON Tools ដែលរងផលប៉ះពាល់គួរតែញែកប្រព័ន្ធដែលរងផលប៉ះពាល់ចេញជាបន្ទាន់ និងធ្វើប្រតិបត្តិការប្រមាញ់ការគំរាមកំហែងដ៏ទូលំទូលាយ ដើម្បីកំណត់អត្តសញ្ញាណចលនាចំហៀងដែលអាចកើតមាន ឬសកម្មភាពព្យាបាទបន្ថែមនៅក្នុងបណ្តាញសាជីវកម្ម។

ការឆ្លើយតបរបស់អ្នកលក់ និងជំហានកាត់បន្ថយដែលបានណែនាំ

AVB Disc Soft បាននិយាយថា ការរំលោភនេះហាក់ដូចជាមានកំណត់ចំពោះកំណែ Lite នៃកម្មវិធី ហើយបានបញ្ជាក់ថា ការស៊ើបអង្កេតកំពុងដំណើរការ ដើម្បីកំណត់វិសាលភាពពេញលេញ និងមូលហេតុចម្បងនៃឧប្បត្តិហេតុនេះ។

អ្នកប្រើប្រាស់ដែលបានទាញយក ឬដំឡើង DAEMON Tools Lite កំណែ 12.5.1 ក្នុងអំឡុងពេលដែលរងផលប៉ះពាល់ ត្រូវបានណែនាំយ៉ាងមុតមាំឱ្យលុបកម្មវិធីចេញភ្លាមៗ អនុវត្តការស្កេនសុវត្ថិភាពចំណុចបញ្ចប់ និងកំចាត់មេរោគពេញលេញដោយប្រើឧបករណ៍សុវត្ថិភាពដែលទុកចិត្ត ហើយដំឡើងឡើងវិញតែការចេញផ្សាយថ្មីបំផុតដែលទទួលបានដោយផ្ទាល់ពីគេហទំព័រផ្លូវការរបស់ DAEMON Tools។