GoRed Backdoor

អង្គការរុស្ស៊ីត្រូវបានវាយប្រហារដោយក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលគេស្គាល់ថា ExCobalt ដែលប្រើប្រាស់ Backdoor ដែលមានមូលដ្ឋានលើ Golang ដែលទើបរកឃើញហៅថា GoRed ។

ExCobalt មានឯកទេសខាងចារកម្មតាមអ៊ីនធឺណិត ហើយមានសមាជិកជាច្រើននាក់ដែលសកម្មតាំងពីឆ្នាំ 2016 មក ទំនងជាមានប្រភពមកពីក្រុម Cobalt Gang ដ៏ល្បី។ ក្រុម Cobalt Gang មានភាពល្បីល្បាញដោយសារការកំណត់គោលដៅស្ថាប័នហិរញ្ញវត្ថុដើម្បីយកលុយ ហើយឧបករណ៍ហត្ថលេខាមួយរបស់ពួកគេគឺ CobInt ។ ExCobalt បានអនុម័តការប្រើប្រាស់ CobInt ក្នុងឆ្នាំ 2022 ។

ឧបករណ៍បំផ្លិចបំផ្លាញជាច្រើនត្រូវបានកេងប្រវ័ញ្ចក្នុងការវាយប្រហារប្រឆាំងនឹងគោលដៅ

ក្នុងរយៈពេលមួយឆ្នាំកន្លងមកនេះ តួអង្គគម្រាមកំហែងបានកំណត់គោលដៅលើវិស័យផ្សេងៗក្នុងប្រទេសរុស្ស៊ី រួមទាំងរដ្ឋាភិបាល បច្ចេកវិទ្យាព័ត៌មាន លោហធាតុ ការជីកយករ៉ែ ការអភិវឌ្ឍន៍កម្មវិធី និងទូរគមនាគមន៍។

អ្នកវាយប្រហារទទួលបានសិទ្ធិចូលដំណើរការដំបូងទៅកាន់បរិស្ថានដោយការកេងប្រវ័ញ្ចលើអ្នកម៉ៅការដែលបានសម្របសម្រួលពីមុន និងធ្វើការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ ដែលពួកគេឆ្លងសមាសធាតុដែលប្រើដើម្បីបង្កើតកម្មវិធីស្របច្បាប់របស់ក្រុមហ៊ុនគោលដៅ ដែលបង្ហាញពីកម្រិតខ្ពស់នៃភាពទំនើប។

Modus operandi របស់ពួកគេពាក់ព័ន្ធនឹងការប្រើប្រាស់ឧបករណ៍ជាច្រើនដូចជា Metasploit, Mimikatz , ProcDump, SMBExec និង Spark RAT សម្រាប់ប្រតិបត្តិពាក្យបញ្ជាលើម៉ាស៊ីនដែលមានមេរោគ ក៏ដូចជាការកេងប្រវ័ញ្ចបង្កើនសិទ្ធិ Linux (CVE-2019-13272, CVE-2021-CVE-2021-33) -2021-4034 និង CVE-2022-2586)។

GoRed Backdoor ផ្តល់នូវសកម្មភាពឈ្លានពានជាច្រើនដល់តួអង្គគំរាមកំហែង

GoRed ដែលបានវិវឌ្ឍតាមរយៈការធ្វើម្តងទៀតជាច្រើនចាប់តាំងពីការចាប់ផ្តើមរបស់វា គឺជា backdoor ដែលអាចប្រើប្រាស់បានដែលអាចឱ្យប្រតិបត្តិករអាចប្រតិបត្តិពាក្យបញ្ជា ទទួលបានព័ត៌មានសម្ងាត់ និងប្រមូលព័ត៌មានលម្អិតអំពីដំណើរការសកម្ម ចំណុចប្រទាក់បណ្តាញ និងប្រព័ន្ធឯកសារ។ វាប្រើប្រាស់ពិធីការការហៅតាមនីតិវិធីពីចម្ងាយ (RPC) ដើម្បីទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) របស់វា។

លើសពីនេះ GoRed គាំទ្រពាក្យបញ្ជាផ្ទៃខាងក្រោយផ្សេងៗ ដើម្បីតាមដានឯកសារដែលចាប់អារម្មណ៍ និងពាក្យសម្ងាត់ ក៏ដូចជាការបើកសែលបញ្ច្រាស។ បន្ទាប់មកទិន្នន័យដែលបានប្រមូលត្រូវបាននាំចេញទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

ExCobalt បន្តបង្ហាញពីសកម្មភាព និងការប្តេជ្ញាចិត្តខ្ពស់ក្នុងការកំណត់គោលដៅក្រុមហ៊ុនរុស្ស៊ី ដោយបន្តបន្ថែមឧបករណ៍ថ្មីទៅក្នុងឃ្លាំងអាវុធរបស់ខ្លួន និងកែលម្អបច្ចេកទេសរបស់វា។ ជាងនេះទៅទៀត ExCobalt បង្ហាញពីភាពបត់បែន និងការសម្របខ្លួនដោយការបញ្ចូលឧបករណ៍ប្រើប្រាស់ស្តង់ដារដែលបានកែប្រែទៅក្នុងឧបករណ៍របស់វា ដែលអនុញ្ញាតឱ្យក្រុមងាយស្រួលឆ្លងកាត់ការត្រួតពិនិត្យសុវត្ថិភាព និងកែតម្រូវការផ្លាស់ប្តូរវិធីសាស្ត្រការពារ។

ការឆ្លងមេរោគ Backdoor អាចនាំឱ្យមានផលវិបាកធ្ងន់ធ្ងរ

ការឆ្លងមេរោគជាមួយមេរោគ backdoor អាចមានផលវិបាកធ្ងន់ធ្ងរសម្រាប់ជនរងគ្រោះរបស់វា ដែលនាំឱ្យ៖

• ការចូលប្រើដោយគ្មានការអនុញ្ញាត ៖ Backdoors អនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិចូលដំណើរការដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធ ឬបណ្តាញដែលមានមេរោគ។ នេះអាចបញ្ចប់ដោយការលួចព័ត៌មានផ្ទាល់ខ្លួន ដែលអាចរួមបញ្ចូលទិន្នន័យផ្ទាល់ខ្លួន កំណត់ត្រាហិរញ្ញវត្ថុ កម្មសិទ្ធិបញ្ញា ឬព័ត៌មានរដ្ឋាភិបាលដែលបានចាត់ថ្នាក់។
• ការលួចទិន្នន័យ និងចារកម្ម ៖ អ្នកវាយប្រហារអាចទាញយកទិន្នន័យចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដែលនាំទៅដល់ការបំពានទិន្នន័យដែលអាចកើតមាន។ ព័ត៌មានដែលប្រមូលបាននេះអាចត្រូវបានលក់នៅលើ Dark Web ដែលប្រើសម្រាប់ការលួចអត្តសញ្ញាណ ឬកេងប្រវ័ញ្ចដើម្បីផលប្រយោជន៍ប្រកួតប្រជែងដោយស្ថាប័នគូប្រជែង។
• ការឃ្លាំមើលជាប់លាប់ ៖ Backdoors តែងតែបើកការឃ្លាំមើលជាប់លាប់ ដោយអនុញ្ញាតឱ្យអ្នកវាយប្រហារតាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ ចាប់យកការចុចគ្រាប់ចុច កត់ត្រាពាក្យសម្ងាត់ និងសង្កេតមើលចរាចរណ៍បណ្តាញ។ ការឃ្លាំមើលនេះអាចប៉ះពាល់ដល់ការសម្ងាត់ និងភាពឯកជនរបស់បុគ្គល និងអង្គការនានា។
• ការរៀបចំប្រព័ន្ធ ៖ អ្នកវាយប្រហារអាចរៀបចំប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលសម្រាប់គោលបំណងបង្កគ្រោះថ្នាក់ ដូចជាការចាប់ផ្តើមការវាយប្រហារបន្ថែម (ឧ. ការចែកចាយសារឥតបានការ ឬបើកការវាយប្រហារ DDoS) ការផ្លាស់ប្តូរ ឬលុបទិន្នន័យ ឬរំខានដល់សេវាកម្មសំខាន់ៗ។
• ការខូចខាតចំពោះកេរ្តិ៍ឈ្មោះ និងការជឿទុកចិត្ត ៖ ការបំពានដែលបង្កឡើងដោយមេរោគ backdoor អាចបំផ្លាញកេរ្តិ៍ឈ្មោះរបស់ស្ថាប័ន និងបំផ្លាញទំនុកចិត្តរបស់អតិថិជន។ អង្គការអាចប្រឈមមុខនឹងផលប៉ះពាល់ផ្នែកច្បាប់ និងបទប្បញ្ញត្តិ ជាពិសេសប្រសិនបើពួកគេមិនការពារទិន្នន័យរសើបឱ្យបានគ្រប់គ្រាន់។
• ការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ៖ កិច្ចខិតខំប្រឹងប្រែងជួសជុល រួមទាំងការស៊ើបអង្កេតផ្នែកកោសល្យវិច្ច័យ ការជួសជុលប្រព័ន្ធ និងថ្លៃសេវាផ្លូវច្បាប់ដែលអាចបណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុយ៉ាងសំខាន់សម្រាប់អង្គការដែលរងផលប៉ះពាល់។ លើសពីនេះ ការខាតបង់ពេលវេលា និងផលិតភាពអាចប៉ះពាល់ដល់ចំណូល និងប្រសិទ្ធភាពប្រតិបត្តិការ។
• Operational Disruptio n៖ មេរោគ backdoor អាចបណ្តាលឱ្យមានការរអាក់រអួលក្នុងប្រតិបត្តិការយ៉ាងសំខាន់ រាប់ចាប់ពីការដាច់សេវា រហូតដល់ការសម្របសម្រួលបណ្តាញដែលខូច។ នេះអាចប៉ះពាល់ដល់ប្រតិបត្តិការប្រចាំថ្ងៃ និងអាចនាំឱ្យបាត់បង់ឱកាសអាជីវកម្ម។
• ការសម្រុះសម្រួលរយៈពេលវែង ៖ ប្រសិនបើមិនអាចរកឃើញ ឬមិនបានជួសជុលបានត្រឹមត្រូវនោះ Backdoors អាចសម្របសម្រួលប្រព័ន្ធជាបន្តបន្ទាប់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលដំណើរការ និងគ្រប់គ្រងជាបន្តបន្ទាប់។ ការសម្របសម្រួលរយៈពេលវែងនេះអាចពង្រីកផលប៉ះពាល់ និងធ្វើឱ្យកាន់តែស៊ីជម្រៅនូវភាពធ្ងន់ធ្ងរនៃផលវិបាកតាមពេលវេលា។

សរុបមក ការឆ្លងមេរោគជាមួយមេរោគ backdoor បង្កហានិភ័យយ៉ាងធ្ងន់ធ្ងរដល់ជនរងគ្រោះ រួមទាំងផលប៉ះពាល់ផ្នែកហិរញ្ញវត្ថុ ប្រតិបត្តិការ កេរ្តិ៍ឈ្មោះ និងផ្នែកច្បាប់។ វិធានការបង្ការដូចជាការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំ សវនកម្មទៀងទាត់ និងការបណ្តុះបណ្តាលបុគ្គលិកមានសារៈសំខាន់ណាស់ក្នុងការកាត់បន្ថយហានិភ័យទាំងនេះ និងការពារប្រឆាំងនឹងការគំរាមកំហែងបែបនេះ។