មេរោគ Voldemort
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណយុទ្ធនាការមេរោគថ្មីដែលប្រើ Google Sheets ជាវេទិកាបញ្ជា និងបញ្ជា (C2) ។
រកឃើញដោយក្រុមអ្នកស្រាវជ្រាវក្នុងខែសីហា ឆ្នាំ 2024 យុទ្ធនាការវាយប្រហារបានក្លែងបន្លំជាអាជ្ញាធរពន្ធដារមកពីអឺរ៉ុប អាស៊ី និងសហរដ្ឋអាមេរិក ដើម្បីកំណត់គោលដៅជាង 70 អង្គការទូទាំងពិភពលោក។ អ្នកវាយប្រហារប្រើឧបករណ៍ផ្ទាល់ខ្លួនហៅថា Voldemort ដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មាន និងដាក់ពង្រាយមេរោគបន្ថែម។
វិស័យគោលដៅរួមមាន ធានារ៉ាប់រង លំហអាកាស ការដឹកជញ្ជូន បណ្ឌិតសភា ហិរញ្ញវត្ថុ បច្ចេកវិទ្យា ឧស្សាហកម្ម ថែទាំសុខភាព រថយន្ត បដិសណ្ឋារកិច្ច ថាមពល រដ្ឋាភិបាល ប្រព័ន្ធផ្សព្វផ្សាយ ផលិតកម្ម ទូរគមនាគមន៍ និងអង្គការអត្ថប្រយោជន៍សង្គម។ ទោះបីជាយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតមិនត្រូវបានភ្ជាប់ជាមួយតួអង្គគំរាមកំហែងជាក់លាក់ក៏ដោយ វាត្រូវបានគេប៉ាន់ប្រមាណថាមានអ៊ីមែលរហូតដល់ 20,000 ត្រូវបានផ្ញើនៅក្នុងការវាយប្រហារទាំងនេះ។
តារាងមាតិកា
វ៉ិចទ័រសម្របសម្រួលដំបូងត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកវាយប្រហារ
អ៊ីមែលដែលបានរកឃើញបញ្ជាក់ថាមកពីអាជ្ញាធរពន្ធដារនៅសហរដ្ឋអាមេរិក ចក្រភពអង់គ្លេស បារាំង អាល្លឺម៉ង់ អ៊ីតាលី ឥណ្ឌា និងជប៉ុន ដោយជូនដំណឹងដល់អ្នកទទួលព័ត៌មានអំពីការធ្វើបច្ចុប្បន្នភាពចំពោះឯកសារបង់ពន្ធរបស់ពួកគេ ហើយជំរុញឱ្យពួកគេចុចលើ Google AMP Cache URLs ដែលនាំពួកគេទៅកាន់អន្តរការី។ ទំព័រចុះចត។
ទំព័រនេះពិនិត្យខ្សែអក្សរ User-Agent ដើម្បីកំណត់ថាតើប្រព័ន្ធប្រតិបត្តិការរបស់អ្នកប្រើជា Windows ដែរឬទេ។ ប្រសិនបើវាជា ទំព័រប្រើកម្មវិធីគ្រប់គ្រងពិធីការ URI ដើម្បីបង្ហាញឯកសារផ្លូវកាត់វីនដូ (LNK) ដែលក្លែងបន្លំជា PDF ដោយប្រើកម្មវិធី Adobe Acrobat Reader ក្នុងគោលបំណងបញ្ឆោតជនរងគ្រោះឱ្យបើកវា។
ប្រសិនបើឯកសារ LNK ត្រូវបានប្រតិបត្តិ វាបង្កឱ្យ PowerShell ដំណើរការ Python.exe ពីការចែករំលែក WebDAV (\library) ដោយឆ្លងកាត់ស្គ្រីប Python ដែលមានទីតាំងនៅលើការចែករំលែកផ្សេងទៀត (\resource) នៅលើម៉ាស៊ីនមេដូចគ្នាជាអាគុយម៉ង់មួយ។
របៀបដែលមេរោគ Voldemort ត្រូវបានដាក់ពង្រាយនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល
វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យ Python ប្រតិបត្តិស្គ្រីបដោយមិនចាំបាច់រក្សាទុកឯកសារណាមួយទៅក្នុងកុំព្យូទ័រ ដោយភាពអាស្រ័យត្រូវបានផ្ទុកដោយផ្ទាល់ពីការចែករំលែក WebDAV ។
ស្គ្រីប Python ត្រូវបានកម្មវិធីដើម្បីប្រមូលព័ត៌មានប្រព័ន្ធ និងបញ្ជូនវាជាខ្សែអក្សរដែលបានអ៊ិនកូដ Base64 ទៅកាន់ដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ បន្ទាប់មក វាបង្ហាញ PDF ក្លែងក្លាយដល់អ្នកប្រើប្រាស់ ហើយទាញយកឯកសារ ZIP ដែលការពារដោយពាក្យសម្ងាត់ពី OpenDrive ។
បណ្ណសារហ្ស៊ីបមានឯកសារពីរ៖ ឯកសារដែលអាចប្រតិបត្តិបានស្របច្បាប់ 'CiscoCollabHost.exe' ដែលងាយរងគ្រោះដោយសារការផ្ទុកចំហៀង DLL និងឯកសារ DLL ព្យាបាទ 'CiscoSparkLauncher.dll' (ត្រូវបានគេស្គាល់ថា Voldemort) ដែលត្រូវបានផ្ទុកដោយកម្មវិធីប្រតិបត្តិ។
សមត្ថភាពនៃការគំរាមកំហែងមេរោគ Voldemort
Voldemort គឺជា backdoor ផ្ទាល់ខ្លួនដែលសរសេរក្នុង C ដែលភ្ជាប់មកជាមួយសមត្ថភាពសម្រាប់ការប្រមូលព័ត៌មាន និងការផ្ទុកបន្ទុកនៅដំណាក់កាលបន្ទាប់ ជាមួយនឹងមេរោគដែលប្រើប្រាស់ Google Sheets សម្រាប់ C2 ការដកទិន្នន័យ និងការប្រតិបត្តិពាក្យបញ្ជាពីប្រតិបត្តិករ។
អ្នកស្រាវជ្រាវបានពណ៌នាអំពីសកម្មភាពនេះថា ស្របតាម Advanced Persistent Threats (APT) ប៉ុន្តែមានចរិតលក្ខណៈឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដោយសារការប្រើប្រាស់បច្ចេកទេសពេញនិយមនៅក្នុងទិដ្ឋភាពឧក្រិដ្ឋកម្មអេឡិចត្រូនិច។
តួអង្គគំរាមកំហែងបំពានគ្រោងការណ៍ឯកសារ URIs ដើម្បីចូលប្រើធនធានចែករំលែកឯកសារខាងក្រៅសម្រាប់ដំណើរការមេរោគ ជាពិសេស WebDAV និង Server Message Block (SMB)។ នេះត្រូវបានធ្វើដោយប្រើ schema 'file://' ហើយចង្អុលទៅម៉ាស៊ីនមេពីចម្ងាយដែលបង្ហោះមាតិកាគំរាមកំហែង។
វិធីសាស្រ្តនេះត្រូវបានរីករាលដាលកាន់តែខ្លាំងឡើងក្នុងចំណោមគ្រួសារមេរោគដែលដើរតួជាឈ្មួញកណ្តាលចូលប្រើដំបូង (IABs) ដូចជា Latrodectus , DarkGate និង XWor m ។
គោលដៅរបស់អ្នកវាយប្រហារនៅតែមិនស្គាល់
យុទ្ធនាការដែលបង្កគ្រោះថ្នាក់ត្រូវបានគេចាត់ទុកថាមិនធម្មតា ដោយលើកឡើងថា សកម្មភាពគំរាមកំហែងដំបូងប្រហែលជាបានកំណត់គោលដៅទូលំទូលាយនៃជនរងគ្រោះដែលមានសក្តានុពល មុនពេលបង្រួមការផ្តោតអារម្មណ៍របស់ពួកគេទៅក្រុមដែលបានជ្រើសរើស។ វាក៏អាចទៅរួចដែរដែលអ្នកវាយប្រហារ ដែលហាក់ដូចជាមានកម្រិតជំនាញបច្ចេកទេសផ្សេងៗគ្នា មានបំណងសម្របសម្រួលអង្គការជាច្រើន។
ទោះបីជាទិដ្ឋភាពជាច្រើននៃយុទ្ធនាការនេះប្រហាក់ប្រហែលនឹងសកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតធម្មតាក៏ដោយ យើងជឿថាវាទំនងជាកិច្ចខិតខំប្រឹងប្រែងចារកម្មក្នុងគោលបំណងសម្រេចបាននូវគោលបំណងដែលមិនទាន់ដឹងនៅឡើយ។ ការលាយបញ្ចូលគ្នានៃយុទ្ធសាស្ត្រកម្រិតខ្ពស់ និងឆ្លាតវៃរបស់យុទ្ធនាការនេះ រួមផ្សំជាមួយនឹងបច្ចេកទេសមូលដ្ឋានមួយចំនួន ធ្វើឱ្យស្មុគស្មាញដល់ការវាយតម្លៃសមត្ថភាពរបស់តួអង្គគំរាមកំហែង និងធ្វើឱ្យវាពិបាកក្នុងការកំណត់គោលដៅចុងក្រោយរបស់ពួកគេដោយទំនុកចិត្តខ្ពស់។
