យុទ្ធនាការលួចចូលប្រព័ន្ធគ្រីបតូ XMRig
ការស៊ើបអង្កេតយ៉ាងទូលំទូលាយបានរកឃើញយុទ្ធនាការលួចចូលប្រព័ន្ធដ៏ស្មុគស្មាញមួយ ដែលទាញយកអត្ថប្រយោជន៍ពីបណ្តុំកម្មវិធីលួចចម្លង ដើម្បីឆ្លងប្រព័ន្ធជាមួយម៉ាស៊ីនរុករករ៉ែ XMRig ដែលត្រូវបានកំណត់តាមតម្រូវការ។ ប្រតិបត្តិការនេះពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវិស្វកម្មសង្គម ការផ្សាយពាណិជ្ជកម្មកម្មវិធីបុព្វលាភឥតគិតថ្លៃ ដូចជាឈុតផលិតភាពការិយាល័យដែលបំបែក ដើម្បីទាក់ទាញអ្នកប្រើប្រាស់ឱ្យទាញយកកម្មវិធីដំឡើងដែលមានមេរោគ Trojan។
កម្មវិធីដែលអាចប្រតិបត្តិបានដែលមានគំនិតអាក្រក់ទាំងនេះបម្រើជាចំណុចចូលចម្បង។ នៅពេលដែលត្រូវបានប្រតិបត្តិ ពួកវាចាប់ផ្តើមដំណើរការឆ្លងមេរោគដែលត្រូវបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន ដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនទិន្នផលជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូ ជាញឹកញាប់ដែលធ្វើឱ្យប៉ះពាល់ដល់ស្ថេរភាពប្រព័ន្ធ។ ការពឹងផ្អែករបស់យុទ្ធនាការលើយុទ្ធសាស្ត្រចែកចាយបោកប្រាស់បង្ហាញពីប្រសិទ្ធភាពជាបន្តបន្ទាប់នៃការលួចចម្លងកម្មវិធីជាបណ្តាញចែកចាយមេរោគ។
តារាងមាតិកា
ម៉ាស៊ីនចម្លងមេរោគម៉ូឌុលដែលមានរបៀបប្រតិបត្តិការច្រើន
នៅចំកណ្តាលនៃការវាយប្រហារនេះគឺជាប្រព័ន្ធគោលពីរពហុមុខងារដែលដំណើរការជាមជ្ឈមណ្ឌលបញ្ជានៃវដ្តជីវិតនៃការឆ្លងមេរោគ។ ដោយដើរតួជាអ្នកដំឡើង អ្នកឃ្លាំមើល អ្នកគ្រប់គ្រងបន្ទុក និងឧបករណ៍ប្រើប្រាស់សម្អាត សមាសភាគនេះត្រួតពិនិត្យការដាក់ពង្រាយ ការបន្ត ការត្រួតពិនិត្យ និងការដកចេញដោយខ្លួនឯងដែលអាចកើតមាន។
ការរចនាម៉ូឌុលរបស់មេរោគនេះបំបែកសមត្ថភាពត្រួតពិនិត្យពីបន្ទុកស្នូលដែលទទួលខុសត្រូវចំពោះការជីកយករ៉ែ ការកើនឡើងសិទ្ធិ និងការតស៊ូ។ ភាពបត់បែនប្រតិបត្តិការត្រូវបានសម្រេចតាមរយៈអាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជាជាក់លាក់ដែលអនុញ្ញាតឱ្យមានរបៀបប្រតិបត្តិដាច់ដោយឡែកពីគ្នា៖
គ្មានប៉ារ៉ាម៉ែត្រ ៖ អនុវត្តការផ្ទៀងផ្ទាត់បរិស្ថាន និងដោះស្រាយការដំឡើង និងការធ្វើចំណាកស្រុកដំណាក់កាលដំបូង។
០០២ ឆ្លើយតប៖ ០ ៖ ទម្លាក់បន្ទុកចម្បង បើកដំណើរការម៉ាស៊ីនរុករករ៉ែ ហើយចូលទៅក្នុងរង្វិលជុំត្រួតពិនិត្យ។
០១៦ : ចាប់ផ្ដើមម៉ាស៊ីនរុករករ៉ែឡើងវិញ ប្រសិនបើវាត្រូវបានបញ្ឈប់។
barusu : ចាប់ផ្តើមលំដាប់បំផ្លាញខ្លួនឯង ដោយបញ្ចប់សមាសធាតុមេរោគ និងលុបឯកសារពាក់ព័ន្ធ។
វិធីសាស្រ្តប្តូររបៀបដែលមានរចនាសម្ព័ន្ធនេះជួយបង្កើនភាពធន់ និងធានានូវសកម្មភាពរុករករ៉ែប្រកបដោយចីរភាព សូម្បីតែនៅពេលដែលមានសកម្មភាពការពារក៏ដោយ។
គ្រាប់បែកឡូជីខលដែលបានបង្កប់ និងការរុះរើតាមពេលវេលា
លក្ខណៈគួរឱ្យកត់សម្គាល់មួយនៃមេរោគនេះគឺការដាក់បញ្ចូលគ្រាប់បែកឡូជីខល។ ប្រព័ន្ធគោលពីរទាញយកម៉ោងក្នុងស្រុករបស់ប្រព័ន្ធ ហើយប្រៀបធៀបវាទៅនឹងថ្ងៃផុតកំណត់ដែលបានអ៊ិនកូដរឹងនៅថ្ងៃទី 23 ខែធ្នូ ឆ្នាំ 2025។
- ប្រសិនបើត្រូវបានប្រតិបត្តិមុនថ្ងៃទី ២៣ ខែធ្នូ ឆ្នាំ ២០២៥ មេរោគនឹងបន្តការដំឡើង និងការដាក់ពង្រាយឧបករណ៍រុករករ៉ែ។
- ប្រសិនបើត្រូវបានប្រតិបត្តិបន្ទាប់ពីកាលបរិច្ឆេទនេះ វានឹងបើកដំណើរការឡើងវិញដោយស្វ័យប្រវត្តិដោយប្រើប៉ារ៉ាម៉ែត្រ 'barusu' ដែលបង្កឱ្យមានដំណើរការរុះរើដោយស្វ័យប្រវត្តិដែលគ្រប់គ្រងបាន។
ដែនកំណត់ដែលបានកំណត់ជាមុនបង្ហាញថាយុទ្ធនាការនេះត្រូវបានបម្រុងទុកដើម្បីដំណើរការជាបន្តបន្ទាប់រហូតដល់កាលបរិច្ឆេទនោះ។ ថ្ងៃផុតកំណត់អាចត្រូវគ្នាទៅនឹងការផុតកំណត់នៃហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យដែលបានជួល ការផ្លាស់ប្តូរទីផ្សាររូបិយប័ណ្ណគ្រីបតូដែលរំពឹងទុក ឬការផ្លាស់ប្តូរជាយុទ្ធសាស្ត្រទៅជាមេរោគជំនាន់ក្រោយ។
ការកើនឡើងសិទ្ធិ និងការបង្កើនប្រសិទ្ធភាពនៃការជីកយករ៉ែតាមរយៈ BYOVD
ក្នុងអំឡុងពេលនៃការឆ្លងមេរោគស្តង់ដារ ប្រព័ន្ធគោលពីរ ដែលដំណើរការជាឧបករណ៍ផ្ទុកទិន្នន័យដោយខ្លួនឯង សរសេរសមាសធាតុចាំបាច់ទាំងអស់ទៅកាន់ថាស។ ក្នុងចំណោមទាំងនេះ គឺជាសេវាកម្ម Windows Telemetry ដែលអាចប្រតិបត្តិបាន ដែលត្រូវបានរំលោភបំពានដើម្បីផ្ទុក DLL មេរោគ។
យន្តការរក្សាស្ថេរភាពក៏ត្រូវបានដាក់ពង្រាយផងដែរ រួមជាមួយនឹងសមាសធាតុដែលត្រូវបានរចនាឡើងដើម្បីបិទឧបករណ៍សុវត្ថិភាព។ ដើម្បីធានាបាននូវសិទ្ធិប្រតិបត្តិកម្រិតខ្ពស់ មេរោគនេះប្រើប្រាស់បច្ចេកទេស bring-your-own-vulnerable-driver (BYOVD) ដោយប្រើកម្មវិធីបញ្ជាដែលមានបញ្ហា 'WinRing0x64.sys'។ កម្មវិធីបញ្ជានេះរងផលប៉ះពាល់ដោយ CVE-2020-14979 ដែលជាភាពងាយរងគ្រោះដែលមានពិន្ទុ CVSS 7.8 ដែលអនុញ្ញាតឱ្យមានការកើនឡើងសិទ្ធិ។
តាមរយៈការរួមបញ្ចូលការវាយប្រហារនេះដោយផ្ទាល់ទៅក្នុងម៉ាស៊ីនជីកយករ៉ែ XMRig ដែលបានកំណត់តាមតម្រូវការ អ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងកម្រិតទាបលើការកំណត់រចនាសម្ព័ន្ធ CPU។ ការបង្កើនប្រសិទ្ធភាពនៃការជីកយករ៉ែ RandomX ប្រហែល 15% ទៅ 50% ដែលធ្វើអោយប្រសើរឡើងនូវប្រាក់ចំណេញយ៉ាងច្រើន។
ការបន្តពូជដូចដង្កូវ និងចលនាចំហៀង
មិនដូចមេរោគ Trojans ប្រពៃណីដែលពឹងផ្អែកតែលើការប្រតិបត្តិដំបូងរបស់អ្នកប្រើប្រាស់នោះទេ មេរោគ XMRig នេះរួមបញ្ចូលមុខងារសាយភាយយ៉ាងសកម្ម។ វារីករាលដាលយ៉ាងសកម្មតាមរយៈឧបករណ៍ផ្ទុកទិន្នន័យដែលអាចដកចេញបាន ដែលអនុញ្ញាតឱ្យមានចលនាចំហៀងឆ្លងកាត់ប្រព័ន្ធនានា រួមទាំងប្រព័ន្ធនៅក្នុងបរិស្ថានដែលមានចន្លោះខ្យល់ផងដែរ។
សមត្ថភាពដូចដង្កូវនេះប្រែក្លាយមេរោគទៅជាការគំរាមកំហែងដែលរីករាលដាលដោយខ្លួនឯង ដោយពង្រីកវិសាលភាពរបស់វាយ៉ាងខ្លាំងនៅក្នុងបណ្តាញអង្គការ និងបង្កើនទំហំ botnet។
កាលវិភាគប្រតិបត្តិការ និងផលប៉ះពាល់ជាយុទ្ធសាស្ត្រ
ភស្តុតាងកោសល្យវិច្ច័យបង្ហាញពីសកម្មភាពរុករករ៉ែមិនទៀងទាត់ពេញមួយខែវិច្ឆិកា ឆ្នាំ២០២៥ បន្ទាប់មកដោយការកើនឡើងគួរឱ្យកត់សម្គាល់ដែលចាប់ផ្តើមនៅថ្ងៃទី៨ ខែធ្នូ ឆ្នាំ២០២៥។ គំរូនេះបង្ហាញពីយុទ្ធសាស្ត្រដាក់ពង្រាយជាដំណាក់កាល ឬការធ្វើឱ្យសកម្មដែលមានគោលបំណងជៀសវាងការរកឃើញមុន។
យុទ្ធនាការនេះគូសបញ្ជាក់ពីការវិវត្តជាបន្តបន្ទាប់នៃមេរោគឆ្លងទំនិញ។ ដោយការរួមបញ្ចូលគ្នារវាងវិស្វកម្មសង្គម ការក្លែងបន្លំកម្មវិធីស្របច្បាប់ ការសាយភាយបែបដង្កូវ និងការកេងប្រវ័ញ្ចកម្រិតខឺណែល តួអង្គគំរាមកំហែងបានរចនាបណ្តាញ botnet ដែលអាចប្រើប្រាស់បានយូរ និងមានប្រសិទ្ធភាពខ្ពស់ក្នុងការជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូប្រកបដោយនិរន្តរភាព និងបង្កើនប្រសិទ្ធភាព។
