ពួក Hacker កូរ៉េខាងជើងបានរីករាលដាលមេរោគ BeaverTail តាមរយៈកញ្ចប់ npm ព្យាបាទ
រលកថ្មីនៃការវាយប្រហារពីពួក Hacker របស់កូរ៉េខាងជើងបានផ្ទុះឡើង ដោយផ្តោតលើសហគមន៍អភិវឌ្ឍន៍កម្មវិធីតាមរយៈកញ្ចប់ npm ព្យាបាទ។ កញ្ចប់ទាំងនេះ ដែលភ្ជាប់ជាមួយនឹងយុទ្ធនាការការសម្ភាសន៍ឆ្លងដែលកំពុងដំណើរការ ត្រូវបាន រចនាឡើងដើម្បីចែកចាយមេរោគ BeaverTail ក៏ដូចជាកម្មវិធីផ្ទុកមេរោគ Trojan (RAT) ដែលទើបរកឃើញពីចម្ងាយ។ យុទ្ធនាការនេះគឺជាផ្នែកមួយនៃកិច្ចខិតខំប្រឹងប្រែងដ៏ទូលំទូលាយដោយ Lazarus Group ក្នុងការជ្រៀតចូលប្រព័ន្ធ លួចទិន្នន័យរសើប និងរក្សាការចូលប្រើប្រាស់រយៈពេលយូរទៅកាន់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។
តារាងមាតិកា
បច្ចេកទេស Obfuscation ប្រើដើម្បីគេចពីការរកឃើញ
យោងតាមអ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាព Socket លោក Kirill Boychenko គំរូចុងក្រោយបំផុតទាំងនេះប្រើការអ៊ិនកូដខ្សែអក្សរគោលដប់ប្រាំមួយជាបច្ចេកទេសធ្វើឱ្យខូចទ្រង់ទ្រាយ ដែលធ្វើឲ្យពួកគេពិបាកក្នុងការរកឃើញដោយប្រព័ន្ធស្វ័យប្រវត្តិទាំងពីរ និងសវនកម្មកូដដោយដៃ។ ការអាប់ដេតនេះនៅក្នុងយុទ្ធសាស្រ្តគេចវេសរបស់មេរោគបង្ហាញការវិវត្តយ៉ាងច្បាស់លាស់នៅក្នុងវិធីសាស្រ្តរបស់អ្នកគំរាមកំហែងដើម្បីគេចពីវិធានការសុវត្ថិភាព។
កញ្ចប់ព្យាបាទ លាក់បាំងជាឧបករណ៍អ្នកអភិវឌ្ឍន៍
កញ្ចប់ npm ព្យាបាទត្រូវបានទាញយកច្រើនជាង 5,600 ដង មុនពេលពួកវាត្រូវបានយកចេញ។ កញ្ចប់គ្រោះថ្នាក់មួយចំនួនរួមមានកម្មវិធីទទេអារេ validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log, និង consolidate-logger ។ កញ្ចប់ទាំងនេះមានគោលបំណងក្លែងបន្លំជាឧបករណ៍ប្រើប្រាស់ស្របច្បាប់ ឬឧបករណ៍បំបាត់កំហុស ប៉ុន្តែតាមពិតកំពុងផ្ទុកបន្ទុកអាក្រក់។
ការលួចទិន្នន័យតាមរយៈការសម្ភាសន៍ការងារក្លែងក្លាយ
ការបង្ហាញនេះកើតឡើងបន្ទាប់ពីឧប្បត្តិហេតុស្រដៀងគ្នាដែលបានកើតឡើងកាលពីមួយខែមុននៅពេលដែលកញ្ចប់ npm ចំនួនប្រាំមួយត្រូវបានរកឃើញរីករាលដាល BeaverTail ដែលជាអ្នកលួច JavaScript ដែលបានចែកចាយ backdoor ដែលមានមូលដ្ឋានលើ Python ដែលហៅថា InvisibleFerret ផងដែរ។ គោលដៅចុងក្រោយនៃការវាយប្រហារនេះគឺដើម្បីជ្រៀតចូលប្រព័ន្ធអ្នកអភិវឌ្ឍន៍ក្រោមការដឹកនាំនៃដំណើរការសម្ភាសន៍ការងារ។ នៅពេលចូល មេរោគនេះលួចយកព័ត៌មានរសើប ឆក់យកទ្រព្យសម្បត្តិហិរញ្ញវត្ថុ និងអនុញ្ញាតឱ្យពួក Hacker រក្សាការចូលប្រើប្រាស់ជាបន្តបន្ទាប់ទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
តំណភ្ជាប់ទៅកាន់ Lazarus Group និង Phantom Circuit Campaign
កញ្ចប់គួរឱ្យកត់សម្គាល់មួយ dev-debugger-vite បានប្រើអាសយដ្ឋានពាក្យបញ្ជា និងការគ្រប់គ្រង (C2) ដែលត្រូវបានសម្គាល់ដោយ SecurityScorecard ពីមុនថាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុម Lazarus នៅក្នុងយុទ្ធនាការមួយដែលមានឈ្មោះថា Phantom Circuit ដែលបានកើតឡើងនៅក្នុងខែធ្នូ ឆ្នាំ 2024 ។ កញ្ចប់ផ្សេងទៀតដូចជា event-utils និង icloud-cod ត្រូវបានគេរកឃើញថាត្រូវបានភ្ជាប់ទៅ Bitbucket ដែលឃើញពីឃ្លាំងផ្ទុកទិន្នន័យពីមុន។ ការផ្លាស់ប្តូរនេះ រួមជាមួយនឹងថត "eiwork_hire" ដែលបានរកឃើញនៅក្នុងកញ្ចប់ icloud-cod បង្ហាញថាអ្នកវាយប្រហារបន្តប្រើយុទ្ធសាស្ត្រទាក់ទងនឹងការសម្ភាសន៍ការងារដើម្បីធ្វើឱ្យការឆ្លងមេរោគសកម្ម។
វ៉ារ្យ៉ង់ជាច្រើនដើម្បីបង្កើនជោគជ័យនៃការឆ្លង
ការវិភាគនៃកញ្ចប់មួយចំនួន រួមទាំង cln-logger, node-clog, consolidate-log, និង consolidate-logger បានបង្ហាញពីការប្រែប្រួលតូចៗនៅក្នុងកូដ។ ការផ្លាស់ប្តូរទាំងនេះបង្ហាញថា តួអង្គគំរាមកំហែងកំពុងព្យាយាមបង្កើនអត្រាជោគជ័យនៃយុទ្ធនាការរបស់ពួកគេ ដោយដាក់ពង្រាយវ៉ារ្យ៉ង់មេរោគជាច្រើន។ ទោះបីជាមានភាពខុសគ្នាទាំងនេះក៏ដោយ កូដដែលបានបង្កប់នៅទូទាំងកញ្ចប់ទាំងបួននេះមានមុខងារជាអ្នកផ្ទុក RAT ដែលមានសមត្ថភាពទាញយក និងដំណើរការបន្ទុកបន្ថែមពីម៉ាស៊ីនមេពីចម្ងាយ។ នៅដំណាក់កាលនេះ លក្ខណៈពិតប្រាកដនៃមេរោគដែលកំពុងត្រូវបានផ្ទុក នៅតែមិនទាន់ច្បាស់នៅឡើយ ដោយសារចំណុចបញ្ចប់ C2 លែងបម្រើបន្ទុកនៅពេលអ្នកស្រាវជ្រាវបានស៊ើបអង្កេត។
RAT Loader បើកការបញ្ជាពីចម្ងាយនៃប្រព័ន្ធឆ្លង
Boychenko បានពណ៌នាអំពីកូដព្យាបាទថាជាកម្មវិធីផ្ទុកសកម្មដែលមានសមត្ថភាព RAT ដោយប្រើ eval() ដើម្បីទាញយក និងដំណើរការ JavaScript ពីចម្ងាយ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ពង្រាយមេរោគតាមដានណាមួយនៃការជ្រើសរើសរបស់ពួកគេ ដោយធ្វើឱ្យកម្មវិធីផ្ទុក RAT មានការគំរាមកំហែងយ៉ាងសំខាន់នៅក្នុងខ្លួនវា។
យុទ្ធនាការសំភាសន៍ឆ្លងមិនបង្ហាញសញ្ញានៃការយឺតយ៉ាវទេ។
ការរកឃើញទាំងនេះសង្កត់ធ្ងន់លើការបន្តនៃយុទ្ធនាការសម្ភាសន៍ឆ្លង។ អ្នកវាយប្រហារមិនបានបង្ហាញសញ្ញានៃការបន្ថយល្បឿននោះទេ ដោយបន្តបង្កើតគណនី npm ថ្មី និងដាក់ពង្រាយកូដព្យាបាទនៅទូទាំងវេទិកាផ្សេងៗដូចជា npm, GitHub និង Bitbucket ជាដើម។ ពួកគេក៏បានធ្វើពិពិធកម្មយុទ្ធសាស្ត្ររបស់ពួកគេ ដោយបោះផ្សាយមេរោគថ្មីក្រោមឈ្មោះក្លែងក្លាយផ្សេងៗ ដោយប្រើឃ្លាំងផ្ទុកចម្រុះ និងប្រើប្រាស់វ៉ារ្យ៉ង់មេរោគល្បីដូចជា BeaverTail និង InvisibleFerret រួមជាមួយនឹងវ៉ារ្យ៉ង់ RAT/loader ថ្មី។
មេរោគ Tropidoor លេចឡើងនៅក្នុងការវាយប្រហារបន្លំគោលដៅអ្នកអភិវឌ្ឍន៍
ទន្ទឹមនឹងនេះដែរ ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតរបស់កូរ៉េខាងត្បូង AhnLab ថ្មីៗនេះបានរកឃើញទិដ្ឋភាពមួយផ្សេងទៀតនៃយុទ្ធនាការនេះ។ ពួកគេបានកំណត់អត្តសញ្ញាណការវាយប្រហារដោយបន្លំតាមប្រធានបទជ្រើសរើសបុគ្គលិកដែលផ្តល់នូវ BeaverTail ដែលបន្ទាប់មកត្រូវបានប្រើដើម្បីដាក់ពង្រាយ Windows backdoor ដែលមិនមានឯកសារពីមុនហៅថា Tropidoor ។ ទ្វារខាងក្រោយនេះ ចែកចាយតាមរយៈបណ្ណាល័យ npm ដែលបង្ហោះនៅលើ Bitbucket មានសមត្ថភាពអនុវត្តសកម្មភាពព្យាបាទជាច្រើន។ Tropidoor អាចបណ្តេញឯកសារ ប្រមូលព័ត៌មានអំពីដ្រាយ និងឯកសារ ដំណើរការដំណើរការ ចាប់យករូបថតអេក្រង់ និងសូម្បីតែលុប ឬសរសេរជាន់លើឯកសារដោយ NULL ឬទិន្នន័យឥតបានការ។
សមត្ថភាពកម្រិតខ្ពស់ណែនាំតំណភ្ជាប់ទៅកាន់មេរោគ Lazarus ដែលស្គាល់
ការវិភាគរបស់ AhnLab បានរកឃើញថា Tropidoor ដំណើរការនៅក្នុងអង្គចងចាំតាមរយៈកម្មវិធីទាញយក និងទាក់ទងម៉ាស៊ីនមេ C2 ដើម្បីទទួលបានការណែនាំ។ មេរោគនេះប្រើដោយផ្ទាល់នូវពាក្យបញ្ជារបស់ Windows ដូចជា schtasks, ping, និង reg ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងមេរោគ Lazarus Group ផ្សេងទៀតដូចជា LightlessCan ជាដើម។ ទំនាក់ទំនងនេះភ្ជាប់សកម្មភាពបច្ចុប្បន្នទៅនឹងក្រុមកូរ៉េខាងជើង ដែលមានភាពល្បីល្បាញដោយសារការប្រើប្រាស់ យុទ្ធសាស្ត្រចារកម្មតាមអ៊ីនធឺណិតដ៏ទំនើប ។
អ្នកអភិវឌ្ឍន៍បានជំរុញឱ្យរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការវាយប្រហារនៃខ្សែសង្វាក់ផ្គត់ផ្គង់
វិវរណៈចុងក្រោយនេះ គូសបញ្ជាក់ពីការគំរាមកំហែងដែលកំពុងកើតមានដោយ Lazarus Group និងតួអង្គ APT ផ្សេងទៀត។ អ្នកអភិវឌ្ឍន៍ និងអ្នកប្រើប្រាស់ដូចគ្នាត្រូវអនុវត្តការប្រុងប្រយ័ត្ននៅពេលទាញយកកញ្ចប់ ឬបើកឯកសារពីប្រភពមិនស្គាល់ ឬគួរឱ្យសង្ស័យ។ នៅពេលដែលការវាយប្រហារទាំងនេះបន្តវិវឌ្ឍ ការរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងយុទ្ធនាការបន្លំ និងការពិនិត្យមើលភាពអាស្រ័យនៃកូដព្យាបាទគឺមានសារៈសំខាន់ក្នុងការការពារព័ត៌មានរសើបពីការធ្លាក់ចូលទៅក្នុងដៃខុស។