សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ទ្វារក្រោយ ទ្វារក្រោយ MgBot

ទ្វារក្រោយ MgBot

ដោយ Mezo ក្នុង ទ្វារក្រោយ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

ប្រតិបត្តិការគំរាមកំហែងជាបន្តបន្ទាប់កម្រិតខ្ពស់ (APT) ដ៏ស្មុគស្មាញ និងមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន ត្រូវបានគេសន្មតថាជាយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដ៏យូរអង្វែងមួយ ដែលបានរំលោភលើហេដ្ឋារចនាសម្ព័ន្ធប្រព័ន្ធឈ្មោះដែន (DNS) ដើម្បីបញ្ជូនច្រកចូល MgBot។ យុទ្ធនាការនេះផ្តោតលើជនរងគ្រោះដែលបានជ្រើសរើសយ៉ាងប្រុងប្រយ័ត្ននៅក្នុងប្រទេសទួរគី ប្រទេសចិន និងប្រទេសឥណ្ឌា ហើយនៅតែសកម្មចាប់ពីខែវិច្ឆិកា ឆ្នាំ២០២២ ដល់ខែវិច្ឆិកា ឆ្នាំ២០២៤។

សត្រូវនៅពីក្រោយប្រតិបត្តិការនេះ

សកម្មភាពនេះត្រូវបានផ្សារភ្ជាប់ទៅនឹងភ្នាក់ងារគំរាមកំហែងដែលត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយថាជា Evasive Panda ដែលក៏ត្រូវបានតាមដានក្រោមឈ្មោះ Bronze Highland, Daggerfly និង StormBamboo។ ក្រុមនេះត្រូវបានវាយតម្លៃថាបានដំណើរការតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2012 ហើយត្រូវបានគេស្គាល់ថាសម្រាប់ការឈ្លានពានដែលមានគោលដៅខ្ពស់ជាជាងការវាយប្រហារទូលំទូលាយ និងឱកាសនិយម។

សត្រូវនៅកណ្តាលជាយុទ្ធសាស្ត្រស្នូល

ចំណុចស្នូលនៃយុទ្ធនាការនេះគឺការប្រើប្រាស់បច្ចេកទេសសត្រូវនៅកណ្តាល (AitM)។ អ្នកវាយប្រហារបានរៀបចំការឆ្លើយតប DNS ដូច្នេះជនរងគ្រោះត្រូវបានបញ្ជូនបន្តដោយស្ងៀមស្ងាត់ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធក្រោមការគ្រប់គ្រងរបស់ពួកគេ។ កម្មវិធីផ្ទុកមេរោគត្រូវបានដាក់នៅក្នុងទីតាំងឯកសារជាក់លាក់ ខណៈពេលដែលសមាសធាតុដែលបានអ៊ិនគ្រីបត្រូវបានបង្ហោះនៅលើម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ហើយត្រូវបានបញ្ជូនតែជាការឆ្លើយតបទៅនឹងសំណួរ DNS ជាក់លាក់ដែលភ្ជាប់ទៅនឹងគេហទំព័រស្របច្បាប់ប៉ុណ្ណោះ។

គំរូនៃការរំលោភបំពានការពុល DNS

យុទ្ធនាការនេះមិនមែនជាករណីដាច់ដោយឡែកនោះទេ។ Evasive Panda បានបង្ហាញម្តងហើយម្តងទៀតនូវជំនាញក្នុងការបំពុល DNS។ ការស្រាវជ្រាវមុនៗបានបង្ហាញពីយុទ្ធសាស្ត្រស្រដៀងគ្នានេះនៅក្នុងខែមេសា ឆ្នាំ២០២៣ នៅពេលដែលក្រុមនេះទំនងជាបានទាញយកប្រយោជន៍ពីការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់ ឬការវាយប្រហារ AitM ដើម្បីចែកចាយកំណែ trojanized នៃកម្មវិធីដែលគួរឱ្យទុកចិត្ត ដូចជា Tencent QQ ប្រឆាំងនឹងអង្គការមិនមែនរដ្ឋាភិបាលអន្តរជាតិមួយនៅចិនដីគោក។

នៅក្នុងខែសីហា ឆ្នាំ២០២៤ របាយការណ៍បន្ថែមបានបង្ហាញថា ក្រុមនេះបានវាយប្រហារអ្នកផ្តល់សេវាអ៊ីនធឺណិត (ISP) ដែលមិនបញ្ចេញឈ្មោះ ដោយរំលោភលើការឆ្លើយតប DNS ដែលត្រូវបានបំពុល ដើម្បីចែកចាយការអាប់ដេតកម្មវិធីព្យាបាទទៅកាន់គោលដៅដែលបានជ្រើសរើស។

ប្រព័ន្ធអេកូឡូស៊ីដ៏ទូលំទូលាយនៃតួអង្គ AitM ដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន

Evasive Panda គឺជាផ្នែកមួយនៃទិដ្ឋភាពទូលំទូលាយនៃក្រុមគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន ដែលពឹងផ្អែកលើការបំពុលដែលមានមូលដ្ឋានលើ AitM សម្រាប់ការចែកចាយមេរោគ និងចលនានៅក្នុងបណ្តាញ។ អ្នកវិភាគបានកំណត់អត្តសញ្ញាណក្រុមសកម្មយ៉ាងហោចណាស់ដប់ក្រុមដោយប្រើវិធីសាស្រ្តស្រដៀងគ្នា ដោយគូសបញ្ជាក់ថា ការរៀបចំ DNS បានក្លាយជាបច្ចេកទេសដែលពេញចិត្តនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីនេះ។

ការអាប់ដេតកម្មវិធីដែលមានអាវុធជានុយ

នៅក្នុងការឈ្លានពានដែលបានចងក្រងជាឯកសារ ជនរងគ្រោះត្រូវបានល្បួងឱ្យមានការអាប់ដេតក្លែងក្លាយដោយក្លែងបន្លំជាកម្មវិធីភាគីទីបីស្របច្បាប់។ ការល្បួងដ៏លេចធ្លោមួយបានក្លែងបន្លំការអាប់ដេតសម្រាប់ SohuVA ដែលជាកម្មវិធីស្ទ្រីមវីដេអូពីក្រុមហ៊ុនបច្ចេកវិទ្យាចិន Sohu។ ការអាប់ដេតនេះហាក់ដូចជាមានប្រភពមកពីដូមេនស្របច្បាប់ p2p.hd.sohu.com[.]cn ដែលបង្ហាញយ៉ាងច្បាស់ថាការបំពុល DNS ត្រូវបានប្រើដើម្បីប្តូរទិសចរាចរណ៍ទៅកាន់ម៉ាស៊ីនមេដែលមានគំនិតអាក្រក់ ខណៈពេលដែលកម្មវិធីនេះបានព្យាយាមអាប់ដេតប្រព័ន្ធគោលពីរនៅក្នុងថតស្តង់ដាររបស់វានៅក្រោម appdata\roaming\shapp\7.0.18.0\package។

ក្រុមអ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញយុទ្ធនាការស្របគ្នាដែលរំលោភបំពានកម្មវិធីធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយសម្រាប់ Baidu's iQIYI Video, IObit Smart Defrag និង Tencent QQ ផងដែរ។

ការដឹកជញ្ជូនបន្ទុកច្រើនដំណាក់កាលតាមរយៈដែនដែលទុកចិត្ត

ការប្រតិបត្តិដោយជោគជ័យនៃការអាប់ដេតក្លែងក្លាយបាននាំឱ្យមានការដាក់ពង្រាយកម្មវិធីផ្ទុកដំបូងដែលបើកដំណើរការ shellcode។ shellcode នេះបានទាញយក payload ដំណាក់កាលទីពីរដែលបានអ៊ិនគ្រីបដែលក្លែងបន្លំជារូបភាព PNG ម្តងទៀតតាមរយៈការបំពុល DNS ដោយលើកនេះរំលោភលើដែន dictionary.com ស្របច្បាប់។

អ្នកវាយប្រហារបានរៀបចំដំណោះស្រាយ DNS ដូច្នេះ dictionary.com ដោះស្រាយទៅជាអាសយដ្ឋាន IP ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលត្រូវបានកំណត់ដោយទីតាំងភូមិសាស្ត្រ និង ISP របស់ជនរងគ្រោះ។ សំណើ HTTP ដែលប្រើដើម្បីទាញយក payload នេះរួមមានកំណែ Windows របស់ជនរងគ្រោះ ដែលទំនងជាអនុញ្ញាតឱ្យអ្នកវាយប្រហារកែសម្រួលសកម្មភាពបន្តទៅការបង្កើតប្រព័ន្ធប្រតិបត្តិការជាក់លាក់។ ការកំណត់គោលដៅជ្រើសរើសនេះឆ្លុះបញ្ចាំងពីការប្រើប្រាស់ការវាយប្រហារ watering hole ពីមុនរបស់ក្រុម រួមទាំងការចែកចាយមេរោគ macOS ដែលគេស្គាល់ថា MACMA។

របៀបដែលការពុល DNS អាចត្រូវបានសម្រេច

ទោះបីជាវិធីសាស្ត្រពិតប្រាកដដែលប្រើដើម្បីបំពុលការឆ្លើយតប DNS នៅតែមិនទាន់ត្រូវបានបញ្ជាក់ក៏ដោយ ក៏អ្នកស៊ើបអង្កេតសង្ស័យពីលទ្ធភាពចម្បងពីរ៖

  • ការសម្របសម្រួលជ្រើសរើសរបស់ ISP ជនរងគ្រោះ ដែលអាចពាក់ព័ន្ធនឹងការបង្កប់បណ្តាញនៅលើឧបករណ៍គែមដើម្បីរៀបចំចរាចរណ៍ DNS។
  • ការសម្របសម្រួលដោយផ្ទាល់ទៅលើរ៉ោតទ័រ ឬជញ្ជាំងភ្លើងនៅក្នុងបរិស្ថានជនរងគ្រោះ ដើម្បីផ្លាស់ប្តូរការឆ្លើយតបរបស់ DNS នៅក្នុងមូលដ្ឋាន។

ខ្សែសង្វាក់ Loader ដ៏ទំនើប និងការអ៊ិនគ្រីបផ្ទាល់ខ្លួន

ដំណើរការចែកចាយមេរោគដំណាក់កាលទីពីរគឺស្មុគស្មាញដោយចេតនា។ លេខកូដសែលដំបូងឌិគ្រីប និងប្រតិបត្តិបន្ទុកទិន្នន័យជាក់លាក់របស់ជនរងគ្រោះ ដែលជាវិធីសាស្រ្តមួយដែលគេជឿថាកាត់បន្ថយការរកឃើញដោយបង្កើតឯកសារដែលបានអ៊ិនគ្រីបតែមួយគត់សម្រាប់គោលដៅនីមួយៗ។

កម្មវិធីផ្ទុកទិន្នន័យបន្ទាប់បន្សំ ដែលក្លែងបន្លំជា libpython2.4.dll ពឹងផ្អែកលើការផ្ទុកឯកសារ python.exe ដែលបានប្តូរឈ្មោះ និងហួសសម័យ។ នៅពេលដែលវាត្រូវបានប្រតិបត្តិ វានឹងទាញយក និងឌិគ្រីបទិន្នន័យដំណាក់កាលបន្ទាប់ដោយអានពី C:\ProgramData\Microsoft\eHome\perf.dat។ ឯកសារនេះមានមេរោគដែលត្រូវបានអ៊ិនគ្រីបដោយ XOR ដំបូង បន្ទាប់មកឌិគ្រីប ហើយចុងក្រោយត្រូវបានអ៊ិនគ្រីបឡើងវិញដោយប្រើការលាយបញ្ចូលគ្នាផ្ទាល់ខ្លួននៃ API ការពារទិន្នន័យរបស់ Microsoft (DPAPI) និងក្បួនដោះស្រាយ RC5។ ការរចនានេះធានាថាទិន្នន័យអាចត្រូវបានឌិគ្រីបតែនៅលើប្រព័ន្ធជនរងគ្រោះដើមប៉ុណ្ណោះ ដែលធ្វើឱ្យស្មុគស្មាញដល់ការស្ទាក់ចាប់ និងការវិភាគក្រៅបណ្តាញ។

MgBot៖ ការផ្សាំដែលលួចលាក់ និងមានសមត្ថភាព

បន្ទាប់ពីការឌិគ្រីបរួច ទិន្នន័យដែលផ្ទុកត្រូវបានចាក់ចូលទៅក្នុងដំណើរការ svchost.exe ស្របច្បាប់ ដោយបង្ហាញខ្លួនវាជាបំរែបំរួលនៃ MgBot backdoor។ ការបង្កប់ម៉ូឌុលនេះគាំទ្រមុខងារចារកម្មជាច្រើន រួមមាន៖

  • ការប្រមូល និងការស្រង់ឯកសារ
  • ការកត់ត្រាការចុចគ្រាប់ចុច និងការប្រមូលផលក្ដារតម្បៀតខ្ទាស់
  • ការថតសំឡេង
  • ការលួចយកព័ត៌មានសម្ងាត់ដែលរក្សាទុកក្នុងកម្មវិធីរុករក

សមត្ថភាពទាំងនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការចូលប្រើប្រព័ន្ធដែលរងការគំរាមកំហែងរយៈពេលវែង និងសម្ងាត់។

ការគំរាមកំហែងដែលកំពុងវិវឌ្ឍ និងជាប់លាប់

យុទ្ធនាការនេះបង្ហាញពីការវិវត្តជាបន្តបន្ទាប់ និងភាពទំនើបខាងបច្ចេកទេសរបស់ Evasive Panda។ តាមរយៈការរួមបញ្ចូលគ្នារវាងការបំពុល DNS ការក្លែងបន្លំម៉ាកយីហោដែលទុកចិត្ត កម្មវិធីផ្ទុកទិន្នន័យច្រើនស្រទាប់ និងការអ៊ិនគ្រីបដែលចងភ្ជាប់ប្រព័ន្ធ ក្រុមនេះបង្ហាញពីសមត្ថភាពច្បាស់លាស់ក្នុងការគេចវេះការការពារ ខណៈពេលដែលរក្សាបាននូវការចូលប្រើជាប់លាប់ទៅកាន់គោលដៅដែលមានតម្លៃខ្ពស់។ ប្រតិបត្តិការនេះពង្រឹងតម្រូវការសម្រាប់សុវត្ថិភាព DNS កាន់តែរឹងមាំ ការផ្ទៀងផ្ទាត់ខ្សែសង្វាក់ផ្គត់ផ្គង់ និងការត្រួតពិនិត្យយន្តការធ្វើបច្ចុប្បន្នភាពនៅក្នុងបរិយាកាសរសើប។

និន្នាការ

Search.ansiblealgorithm.com

គេហទំព័រក្លែងក្លាយ, ចោរប្លន់កម្មវិធីរុករក, កម្មវិធីដែលមិនចង់បានសក្តានុពល
នៅក្នុងទិដ្ឋភាពគំរាមកំហែងនាពេលបច្ចុប្បន្ននេះ ការការពារប្រព័ន្ធរបស់អ្នកពីកម្មវិធីដែលជ្រៀតជ្រែក និងមិនគួរឱ្យទុកចិត្តគឺមានសារៈសំខាន់ដូចគ្នានឹងការការពារប្រឆាំងនឹងមេរោគដែរ។ កម្មវិធីដែលអាចមិនចង់បាន (PUP)...

ការជូនដំណឹងសំខាន់អំពីការបោកប្រាស់អ៊ីមែលគណនី...

ការបន្លំ, សារឥតបានការ
អ៊ីមែលដែលមិននឹកស្មានដល់ដែលទាមទារការយកចិត្តទុកដាក់ជាបន្ទាន់ គឺជាអាវុធដ៏ពេញនិយមរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ វាមិនអាចសង្កត់ធ្ងន់បានគ្រប់គ្រាន់ទេថា វាមានសារៈសំខាន់យ៉ាងណាក្នុងការប្រុងប្រយ័ត្ននៅពេលដែលសារលេចឡើងដោយចៃដន្យ ជាពិសេសសារព្រមានអំពីបញ្ហាគណនី ឬឯកសារដែលទើបចេញផ្សាយថ្មីៗ។ ការគំរាមកំហែងមួយក្នុងចំណោមការគំរាមកំហែងទាំងនោះដែលចរាចរតាមអ៊ីនធឺណិតគឺការបោកប្រាស់អ៊ីមែល 'វិក្កយបត្រកំពុងត្រូវបានចេញផ្សាយ'...

មេរោគ GachiLoader

មេរោគ
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញកម្មវិធីផ្ទុកមេរោគដែលមានមូលដ្ឋានលើ JavaScript ដែលទើបកំណត់អត្តសញ្ញាណថ្មីមួយ ដែលគេស្គាល់ថា GachiLoader ដែលត្រូវបានបង្កើតឡើងដោយប្រើ Node.js...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
29,658
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
23,430
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...