មេរោគ PureRAT

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការបន្លំដ៏ធំមួយដែលផ្តោតលើអង្គការរុស្ស៊ី ដោយផ្តល់នូវមេរោគ backdoor ដែលត្រូវបានគេស្គាល់ថា PureRAT ។ ទោះបីជាយុទ្ធនាការនេះបានចាប់ផ្តើមនៅខែមីនា ឆ្នាំ 2023 ក៏ដោយ វាឃើញមានការកើនឡើងយ៉ាងខ្លាំងនៅដើមឆ្នាំ 2025 ដែលកើនឡើងចំនួនបួនដងនៃការវាយប្រហារដែលបានឃើញក្នុងអំឡុងពេលដូចគ្នាក្នុងឆ្នាំ 2024។ ខណៈពេលដែលមិនមានអ្នកគំរាមកំហែងជាក់លាក់ណាមួយត្រូវបានគេកំណត់អត្តសញ្ញាណ វិធីសាស្ត្រ និងមេរោគដែលបានប្រើបង្ហាញពីប្រតិបត្តិការដែលសម្របសម្រួលយ៉ាងខ្លាំង។

ការបញ្ឆោតបញ្ឆោត៖ កាយវិភាគសាស្ត្រនៃការវាយប្រហារ

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលមានបណ្ណសារ .RAR ឬតំណទាញយក។ ក្លែងបន្លំជាមួយផ្នែកបន្ថែមទ្វេដែលបំភាន់ (ឧ. doc_054_[redacted].pdf.rar) បណ្ណសារនេះធ្វើពុតជាឯកសារ Microsoft Word ឬ PDF ។ នៅពេលដែលជនរងគ្រោះបើកឯកសារ ដំណើរការខាងក្នុងត្រូវបានបើកដំណើរការ។

កម្មវិធីប្រតិបត្តិនេះអនុវត្តសកម្មភាពបំបាំងកាយជាច្រើន៖

• ចម្លងខ្លួនវាទៅ % AppData% ជា task.exe
• បង្កើតស្គ្រីប Task.vbs នៅក្នុងថត Startup សម្រាប់ការបន្ត
• ស្រង់ចេញ និងដំណើរការ ckcfb.exe

នៅក្នុងវេន ckcfb.exe បន្តប្រើ InstallUtil.exe ដើម្បីប្រតិបត្តិម៉ូឌុលដែលបានឌិគ្រីប។ វាក៏ធ្វើការឌិគ្រីប និងផ្ទុក Spydgozoi.dll ដែលមានផ្ទុក PureRAT payload បឋម។

ការបញ្ជាពីចម្ងាយ៖ អ្វីដែល PureRAT អាចធ្វើបាន

បន្ទាប់ពីទទួលបានគោលជំហរ PureRAT បង្កើតការតភ្ជាប់ដែលបានអ៊ិនគ្រីបជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) និងបញ្ជូនព័ត៌មានប្រព័ន្ធ។ បន្ទាប់មកវាអាចទទួល និងប្រតិបត្តិម៉ូឌុលដែលខូច ដូចជា៖

កម្មវិធីជំនួយPcOption

• អនុវត្តការលុបដោយខ្លួនឯង។
• ចាប់ផ្តើមដំណើរការមេរោគឡើងវិញ
• បិទ ឬចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ

កម្មវិធីជំនួយ WindowNotify

• ត្រួតពិនិត្យបង្អួចសកម្មសម្រាប់ពាក្យគន្លឹះរសើប (ឧទាហរណ៍ ពាក្យសម្ងាត់ ធនាគារ)
• អាចផ្តួចផ្តើមសកម្មភាពដូចជាការផ្ទេរមូលនិធិដែលគ្មានការអនុញ្ញាត

កម្មវិធីជំនួយ

• ជំនួសអាសយដ្ឋានកាបូប cryptocurrency ដែលបានចម្លងជាមួយអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ

លើសពីនេះទៀត PureRAT ផ្តល់ឱ្យអ្នកវាយប្រហារជាមួយនឹង:

• ការចាក់សោរ
• ការគ្រប់គ្រងលើតុពីចម្ងាយ
• ការចូលប្រើឯកសារ បញ្ជីឈ្មោះ កាមេរ៉ា មីក្រូហ្វូន និងដំណើរការដែលកំពុងដំណើរការ

ការឆ្លងមេរោគស្រទាប់៖ ច្រើនជាង PureRAT

ការប្រតិបត្តិដំបូងក៏ទាញយក StilKrip.exe ដែលជាកម្មវិធីទាញយកពាណិជ្ជកម្មដែលគេស្គាល់ថា PureCrypter ដែលមានចរាចរតាំងពីឆ្នាំ 2022។ ឧបករណ៍នេះបន្តទាញយកឯកសារបន្ទាប់បន្សំ Bghwwhmlr.wav ដែលបង្កឱ្យមានខ្សែសង្វាក់ប្រតិបត្តិថ្មី។ លំដាប់នេះនៅទីបំផុតចាប់ផ្តើម Ttcxxewxtly.exe ដែលនាំទៅដល់ការធ្វើឱ្យសកម្មនៃ Bftvbho.dll ដែលជាសមាសធាតុស្នូលនៃមេរោគទីពីរដែលគេស្គាល់ថា PureLogs ។

PureLogs មានមុខងារជាអ្នកលួចព័ត៌មានដ៏មានឥទ្ធិពល។ នៅពេលដែលសកម្ម វាប្រមូលទិន្នន័យរសើបជាច្រើនដោយស្ងៀមស្ងាត់ រួមទាំងព័ត៌មានសម្ងាត់ និងព័ត៌មានអ្នកប្រើប្រាស់ពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត កម្មវិធីអ៊ីមែល សេវាកម្ម VPN និងកម្មវិធីផ្ញើសារ។ វាក៏កំណត់គោលដៅអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ កម្មវិធីកាបូបលុយគ្រីបតូ និងឧបករណ៍ផ្ទេរឯកសារដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយដូចជា FileZilla និង WinSCP ដែលផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើប្រាស់យ៉ាងស៊ីជម្រៅទាំងទិន្នន័យផ្ទាល់ខ្លួន និងអង្គការ។

សេចក្តីសន្និដ្ឋាន៖ អ៊ីមែលនៅតែជាតំណភ្ជាប់ខ្សោយបំផុត។

ការរួមបញ្ចូលគ្នានៃ PureRAT និង PureLogs ផ្តល់នូវសមត្ថភាពយ៉ាងទូលំទូលាយដល់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដើម្បីឈ្លបយកការណ៍ ប្រមូល និងគ្រប់គ្រងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ការប្រើប្រាស់ជាបន្តបន្ទាប់នៃអ៊ីមែលបន្លំជាមួយនឹងឯកសារភ្ជាប់ ឬតំណភ្ជាប់ដែលបង្កគ្រោះថ្នាក់នៅតែបន្តជាចំណុចចូលចម្បង ដោយបញ្ជាក់ពីតម្រូវការសំខាន់សម្រាប់ការត្រងអ៊ីមែលដ៏រឹងមាំ និងការយល់ដឹងរបស់អ្នកប្រើប្រាស់ក្នុងការការពារសន្តិសុខតាមអ៊ីនធឺណិតរបស់ស្ថាប័ន។