ទ្វារក្រោយ MeowMeow

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញក្រុមគ្រួសារមេរោគដែលគ្មានឯកសារមួយឈ្មោះថា MeowMeow ដែលត្រូវបានដាក់ពង្រាយនៅក្នុងយុទ្ធនាការតាមអ៊ីនធឺណិតដែលកំណត់គោលដៅលើអង្គការអ៊ុយក្រែន។ ប្រតិបត្តិការនេះបង្ហាញពីខ្សែសង្វាក់នៃការឆ្លងមេរោគដែលមានរចនាសម្ព័ន្ធ និងការប្រើប្រាស់បច្ចេកទេសបោកបញ្ឆោតជាស្រទាប់ៗដើម្បីសម្របសម្រួលប្រព័ន្ធ និងរក្សាភាពស្ថិតស្ថេរ។

ដោយផ្អែកលើសូចនាករជាច្រើន យុទ្ធនាការនេះត្រូវបានសន្មតថាមានទំនុកចិត្តកម្រិតមធ្យមទៅលើ APT28 ដែលជាភ្នាក់ងារគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរុស្ស៊ី។ ការវាយតម្លៃនេះពឹងផ្អែកលើគំរូកំណត់គោលដៅនៃយុទ្ធនាការ ប្រធានបទភូមិសាស្ត្រនយោបាយដែលបង្កប់នៅក្នុងល្បិចកល និងភាពស្រដៀងគ្នាខាងបច្ចេកទេសទៅនឹងប្រតិបត្តិការតាមអ៊ីនធឺណិតរបស់រុស្ស៊ីពីមុន។

ចំណុចចូលនៃការបន្លំ និងយន្តការតាមដានដំបូង

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលត្រូវបានបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្ន ដែលត្រូវបានរចនាឡើងដើម្បីឱ្យមើលទៅគួរឱ្យទុកចិត្ត។ សារនេះត្រូវបានផ្ញើចេញពីអាសយដ្ឋានដែលភ្ជាប់ជាមួយ ukr.net ដែលជាយុទ្ធសាស្ត្រមួយដែលទំនងជាមានបំណងបង្កើនទំនុកចិត្តក្នុងចំណោមអ្នកទទួលជនជាតិអ៊ុយក្រែន។

នៅក្នុងអ៊ីមែលនោះមានតំណភ្ជាប់មួយដែលអះអាងថានាំទៅកាន់បណ្ណសារ ZIP។ នៅពេលដែលជនរងគ្រោះចុចលើតំណភ្ជាប់នោះ កម្មវិធីរុករកនឹងមិនទាញយកឯកសារភ្លាមៗទេ។ ផ្ទុយទៅវិញ វាផ្ទុករូបភាពតូចមួយដែលដំណើរការជាភីកសែលតាមដាន ដែលជាសញ្ញាប្រាប់អ្នកវាយប្រហារថាតំណភ្ជាប់នោះត្រូវបានបើក។ បន្ទាប់ពីជំហានបញ្ជាក់នេះ ជនរងគ្រោះត្រូវបានបញ្ជូនបន្តទៅកាន់ URL ផ្សេងទៀត ដែលបណ្ណសារ ZIP ដែលមានគំនិតអាក្រក់ត្រូវបានទាញយក។

ការបោកប្រាស់តាមរយៈឯកសាររដ្ឋាភិបាលក្លែងក្លាយ

នៅពេលដែលបណ្ណសារត្រូវបានស្រង់ចេញ ខ្សែសង្វាក់នៃការឆ្លងមេរោគនឹងបើកដំណើរការឯកសារ HTML Application (HTA)។ HTA អនុវត្តសកម្មភាពពីរក្នុងពេលដំណាលគ្នា៖

• បង្ហាញឯកសារទាក់ទាញដែលសរសេរជាភាសាអ៊ុយក្រែនទាក់ទងនឹងការអំពាវនាវឆ្លងកាត់ព្រំដែន។
• ផ្តួចផ្តើមដំណើរការព្យាបាទបន្ថែមនៅផ្ទៃខាងក្រោយ។

ឯកសារនេះដើរតួជាយន្តការវិស្វកម្មសង្គមដោយបង្ហាញអ្វីដែលហាក់ដូចជាការបញ្ជាក់ពីការទទួលសម្រាប់ការអំពាវនាវរបស់រដ្ឋាភិបាលទាក់ទងនឹងនីតិវិធីឆ្លងកាត់ព្រំដែន។ និទានកថាដែលបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្ននេះពង្រឹងការបំភាន់នៃភាពស្របច្បាប់ ខណៈពេលដែលសកម្មភាពព្យាបាទនៅតែបន្តមើលមិនឃើញ។

ការគេចវេសពី Sandbox និងការផ្ទៀងផ្ទាត់ប្រព័ន្ធ

មុន​ពេល​បន្ត​ដំណើរការ​ឆ្លង​មេរោគ មេរោគ​នឹង​ធ្វើ​ការ​ត្រួតពិនិត្យ​ដើម្បី​កំណត់​ថា​តើ​វា​កំពុង​ដំណើរការ​ក្នុង​បរិយាកាស​វិភាគ​ដែល​បាន​គ្រប់គ្រង​ឬ​អត់។

HTA សាកសួរកូនសោចុះបញ្ជី Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate ដើម្បីប៉ាន់ស្មានរយៈពេលដែលប្រព័ន្ធប្រតិបត្តិការត្រូវបានដំឡើង។ ប្រសិនបើប្រព័ន្ធមានអាយុតិចជាងដប់ថ្ងៃ ដែលជាលក្ខណៈទូទៅនៃបរិស្ថាន sandbox មេរោគនឹងបញ្ចប់ការប្រតិបត្តិ។ ជំហាននេះជួយអ្នកវាយប្រហារជៀសវាងការរកឃើញដោយប្រព័ន្ធវិភាគមេរោគដោយស្វ័យប្រវត្តិ។

យន្តការដាក់ពង្រាយបន្ទុក និងនិរន្តរភាព

ប្រសិនបើប្រព័ន្ធឆ្លងកាត់ការត្រួតពិនិត្យបរិស្ថាន មេរោគនឹងបន្តទាញយកសមាសធាតុបន្ថែមពីបណ្ណសារ ZIP ដែលបានទាញយក។ ឯកសារពីរត្រូវបានទាញយកមកវិញ៖ ឯកសារ VBScript និងរូបភាព PNG ដែលមានលេខកូដលាក់។ ឯកសារទាំងនេះត្រូវបានសរសេរទៅកាន់ថាសក្រោមឈ្មោះឯកសារថ្មី។

ភាពស្ថិតស្ថេរត្រូវបានសម្រេចដោយការបង្កើតភារកិច្ចដែលបានកំណត់ពេលមួយដែលប្រតិបត្តិ VBScript ដោយស្វ័យប្រវត្តិ។ គោលបំណងចម្បងរបស់ស្គ្រីបគឺដើម្បីទាញយកកូដព្យាបាទដែលលាក់នៅក្នុងឯកសារ PNG។ បន្ទុកដែលបានបង្កប់នេះគឺជាកម្មវិធីផ្ទុក .NET ដែលលាក់បាំងដែលគេស្គាល់ថាជា BadPaw ដែលបន្ទាប់មកចាប់ផ្តើមទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យពីចម្ងាយ។

BadPaw Loader និងទ្វារក្រោយ MeowMeow

កម្មវិធីផ្ទុក BadPaw បម្រើជាសមាសធាតុអន្តរការីដែលទទួលខុសត្រូវក្នុងការទាញយកម៉ូឌុលមេរោគបន្ថែម។ គោលបំណងចម្បងរបស់វាគឺដើម្បីទាញយក និងដាក់ពង្រាយឯកសារដែលអាចប្រតិបត្តិបានខាងក្រោយមួយដែលមានឈ្មោះថា MeowMeow។

កម្មវិធី MeowMeow រួមបញ្ចូលមុខងាររំខានមិនធម្មតាមួយនៅក្នុងចំណុចប្រទាក់ក្រាហ្វិករបស់វា។ នៅពេលដែលប៊ូតុង 'MeowMeow' ដែលអាចមើលឃើញត្រូវបានចុចប៊ូតុង កម្មវិធីគ្រាន់តែបង្ហាញសារដែលអានថា 'Meow Meow Meow' ដោយមិនធ្វើសកម្មភាពព្យាបាទឡើយ។ ឥរិយាបថនេះដើរតួជាល្បិចកលបន្ទាប់បន្សំដែលមានបំណងបំភាន់អ្នកវិភាគក្នុងអំឡុងពេលត្រួតពិនិត្យដោយដៃ។

មុខងារព្យាបាទពិតប្រាកដត្រូវបានបង្កឡើងតែក្រោមលក្ខខណ្ឌជាក់លាក់ប៉ុណ្ណោះ។ ឯកសារដែលអាចប្រតិបត្តិបានត្រូវតែដាក់ឱ្យដំណើរការជាមួយប៉ារ៉ាម៉ែត្រជាក់លាក់មួយ (-v) ដែលផ្គត់ផ្គង់ក្នុងអំឡុងពេលខ្សែសង្វាក់ឆ្លង ហើយវាត្រូវតែបញ្ជាក់ថាវាកំពុងដំណើរការលើចំណុចបញ្ចប់ពិតប្រាកដជាជាងបរិយាកាសវិភាគ។

ការការពារប្រឆាំងនឹងការវិភាគ និងសមត្ថភាពប្រតិបត្តិការ

មុនពេលធ្វើឱ្យសមត្ថភាព Backdoor របស់វាសកម្ម មេរោគនឹងពិនិត្យមើលថាតើឧបករណ៍សុវត្ថិភាព ឬឧបករណ៍ត្រួតពិនិត្យកោសល្យវិច្ច័យកំពុងដំណើរការឬអត់។ ការប្រតិបត្តិនឹងត្រូវបានបញ្ឈប់ ប្រសិនបើកម្មវិធីដូចជា Wireshark, Procmon, Ollydbg ឬ Fiddler ត្រូវបានរកឃើញ ដែលធ្វើឱ្យកិច្ចខិតខំប្រឹងប្រែងវិភាគកាន់តែស្មុគស្មាញ។

នៅពេលដែលបានធ្វើឱ្យសកម្ម ច្រកទ្វារខាងក្រោយ MeowMeow ផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពជាច្រើន៖

• ការប្រតិបត្តិពាក្យបញ្ជា PowerShell ពីចម្ងាយនៅលើម៉ាស៊ីនដែលរងការសម្របសម្រួល
• ការរៀបចំប្រព័ន្ធឯកសារ រួមទាំងការអាន ការសរសេរ និងការលុបឯកសារ

មុខងារទាំងនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តប្រតិបត្តិការបន្តដូចជាការប្រមូលទិន្នន័យ ចលនាចំហៀង ឬការដាក់ពង្រាយបន្ទុកបន្ថែមទៀត។

វត្ថុបុរាណជាភាសារុស្ស៊ីនៅក្នុងកូដមេរោគ

ក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតរបស់ពួកគេ ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញខ្សែអក្សរជាភាសារុស្ស៊ីដែលបានបង្កប់នៅក្នុងកូដប្រភពមេរោគ ដែលពង្រឹងការសន្មតថាជាភ្នាក់ងារគំរាមកំហែងដែលនិយាយភាសារុស្ស៊ី។

វត្តមាននៃវត្ថុបុរាណទាំងនេះអាចបង្ហាញពីលទ្ធភាពមួយក្នុងចំណោមលទ្ធភាពពីរ។ អ្នកវាយប្រហារអាចបានប្រព្រឹត្តការត្រួតពិនិត្យសុវត្ថិភាពប្រតិបត្តិការដោយបរាជ័យក្នុងការធ្វើមូលដ្ឋានីយកម្មកូដសម្រាប់បរិស្ថានអ៊ុយក្រែន។ ម៉្យាងវិញទៀត ខ្សែអក្សរអាចតំណាងឱ្យវត្ថុបុរាណអភិវឌ្ឍន៍ដែលបន្សល់ទុកដោយអចេតនាក្នុងអំឡុងពេលដំណើរការបង្កើតមេរោគ។

ដោយមិនគិតពីមូលហេតុ សូចនាករភាសាទាំងនេះរួមចំណែកដល់ការវាយតម្លៃភាពជាម្ចាស់កាន់តែទូលំទូលាយ ដែលភ្ជាប់យុទ្ធនាការនេះទៅនឹងប្រតិបត្តិការតាមអ៊ីនធឺណិតរបស់រុស្ស៊ី។