AllaKore RAT

យុទ្ធនាការបន្លំលំពែងកំពុងកំណត់គោលដៅស្ថាប័នហិរញ្ញវត្ថុម៉ិកស៊ិក ដោយប្រើប្រាស់កំណែដែលបានកែប្រែនៃ AllaKore RAT ដែលជា Open-source Remote Access Trojan។ យុទ្ធនាការ​នេះ​ត្រូវ​បាន​ភ្ជាប់​ទៅ​នឹង​តួអង្គ​គំរាមកំហែង​ផ្នែក​ហិរញ្ញវត្ថុ​ដែល​មិន​ស្គាល់​អត្តសញ្ញាណ​ដែល​មាន​មូលដ្ឋាន​នៅ​អាមេរិក​ឡាទីន។ សកម្មភាពគម្រាមកំហែងនេះបានបន្តចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2021។ យុទ្ធសាស្ត្របន្លំពាក់ព័ន្ធនឹងការប្រើប្រាស់អនុសញ្ញាដាក់ឈ្មោះដែលពាក់ព័ន្ធជាមួយវិទ្យាស្ថានសន្តិសុខសង្គមម៉ិកស៊ិក (IMSS) និងការផ្តល់នូវតំណភ្ជាប់ទៅកាន់ឯកសារដែលហាក់ដូចជាស្របច្បាប់ក្នុងដំណាក់កាលដំឡើង។ បន្ទុក AllaKore RAT ដែលប្រើក្នុងប្រតិបត្តិការវាយប្រហារបានឆ្លងកាត់ការកែប្រែយ៉ាងច្រើន ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងបញ្ជូនព័ត៌មានសម្ងាត់ធនាគារដែលលួចលាក់ និងព័ត៌មានលម្អិតនៃការផ្ទៀងផ្ទាត់តែមួយគត់ទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2) ដែលសម្របសម្រួលការក្លែងបន្លំផ្នែកហិរញ្ញវត្ថុ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំណត់គោលដៅសាជីវកម្មធំជាមួយ AllaKore RAT

ការវាយប្រហារនេះហាក់ដូចជាផ្តោតជាពិសេសទៅលើសាជីវកម្មធំៗដែលមានប្រាក់ចំណូលប្រចាំឆ្នាំលើសពី 100 លានដុល្លារ។ អង្គភាពគោលដៅមានវិសាលភាពក្នុងវិស័យផ្សេងៗ រួមទាំងការលក់រាយ កសិកម្ម វិស័យសាធារណៈ ផលិតកម្ម ការដឹកជញ្ជូន សេវាកម្មពាណិជ្ជកម្ម ទំនិញមូលធន និងធនាគារ។

ការឆ្លងកើតឡើងជាមួយឯកសារ ZIP ដែលត្រូវបានចែកចាយតាមរយៈការបន្លំឬការសម្របសម្រួលដោយដ្រាយ។ ឯកសារ ZIP នេះមានកម្មវិធីដំឡើង MSI ដែលទទួលខុសត្រូវក្នុងការដាក់ពង្រាយកម្មវិធីទាញយក .NET ។ ភារកិច្ចចម្បងរបស់អ្នកទាញយករួមមានការបញ្ជាក់ទីតាំងភូមិសាស្ត្រម៉ិកស៊ិករបស់ជនរងគ្រោះ និងការទៅយក AllaKore RAT ដែលបានកែប្រែ។ AllaKore RAT ដែលត្រូវបានកំណត់អត្តសញ្ញាណដំបូងក្នុងឆ្នាំ 2015 ជា RAT ដែលមានមូលដ្ឋានលើ Delphi អាចលេចឡើងជាមូលដ្ឋានមួយចំនួន ប៉ុន្តែមានសមត្ថភាពខ្លាំងដូចជាការចាក់សោរ ការចាប់យកអេក្រង់ ការបង្ហោះ/ទាញយកឯកសារ និងសូម្បីតែការបញ្ជាពីចម្ងាយនៃប្រព័ន្ធដែលរងផលប៉ះពាល់។

AllaKore RAT ត្រូវបានបំពាក់ដោយមុខងារគំរាមកំហែងបន្ថែម

តួអង្គគំរាមកំហែងបានធ្វើឱ្យប្រសើរឡើងនូវមេរោគជាមួយនឹងមុខងារថ្មីដែលផ្តោតជាចម្បងលើការក្លែងបន្លំធនាគារ ជាពិសេសផ្តោតលើធនាគារម៉ិកស៊ិក និងវេទិកាជួញដូរគ្រីបតូ។ លក្ខណៈពិសេសដែលបានបន្ថែមរួមមានសមត្ថភាពក្នុងការផ្តួចផ្តើមពាក្យបញ្ជាសម្រាប់ការចាប់ផ្តើមសែលបញ្ច្រាស ការទាញយកមាតិកាក្ដារតម្បៀតខ្ទាស់ និងការទៅយក ក៏ដូចជាការប្រតិបត្តិបន្ទុកបន្ថែម។

ទំនាក់ទំនងរបស់តួអង្គគម្រាមកំហែងទៅកាន់អាមេរិកឡាទីនត្រូវបានបង្ហាញឱ្យឃើញតាមរយៈការប្រើប្រាស់ IPs របស់ Mexico Starlink ក្នុងយុទ្ធនាការនេះ។ លើសពីនេះ បន្ទុក RAT ដែលបានកែប្រែរួមមានការណែនាំជាភាសាអេស្ប៉ាញ។ គួរកត់សម្គាល់ថាការបោកបញ្ឆោតត្រូវបានកែសម្រួលទៅតាមក្រុមហ៊ុនដែលមានទំហំសំខាន់ៗដែលរាយការណ៍ដោយផ្ទាល់ទៅនាយកដ្ឋានវិទ្យាស្ថានសន្តិសុខសង្គមម៉ិកស៊ិក (IMSS)។

តួអង្គគម្រាមកំហែងជាប់លាប់នេះបាននិងកំពុងដឹកនាំកិច្ចខិតខំប្រឹងប្រែងរបស់ខ្លួនឆ្ពោះទៅរកអង្គភាពម៉ិកស៊ិកដោយចេតនានៃការកេងប្រវ័ញ្ចហិរញ្ញវត្ថុ។ សកម្មភាពដែលបង្កគ្រោះថ្នាក់បានស៊ូទ្រាំអស់រយៈពេលជាង 2 ឆ្នាំមកហើយ ដោយមិនមានការបង្ហាញអំពីការបញ្ឈប់នោះទេ។

ការគំរាមកំហែងរបស់ RAT អាចនាំឱ្យមានផលវិបាកធ្ងន់ធ្ងរដល់ជនរងគ្រោះ

Trojans ការចូលប្រើពីចម្ងាយ (RATs) បង្កគ្រោះថ្នាក់យ៉ាងសំខាន់ ដោយសារពួកវាផ្តល់នូវការចូលប្រើប្រាស់ និងការគ្រប់គ្រងដោយគ្មានការអនុញ្ញាតលើកុំព្យូទ័រ ឬបណ្តាញរបស់ជនរងគ្រោះទៅកាន់តួអង្គព្យាបាទ។ នេះគឺជាគ្រោះថ្នាក់សំខាន់ៗមួយចំនួនដែលទាក់ទងនឹងការគំរាមកំហែង RAT៖

• ការចូលប្រើ និងការត្រួតពិនិត្យដោយគ្មានការអនុញ្ញាត ៖ RATs អនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងពីចម្ងាយនៃប្រព័ន្ធសម្របសម្រួលមួយ។ កម្រិតនៃការចូលប្រើនេះ អាចឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជា រៀបចំឯកសារ ដំឡើង និងលុបកម្មវិធី ហើយគ្រប់គ្រងកុំព្យូទ័ររបស់ជនរងគ្រោះជាសំខាន់ ដូចជាមានវត្តមានរាងកាយ។
• ការលួចទិន្នន័យ និងចារកម្ម ៖ RATs ត្រូវបានប្រើប្រាស់ជាទូទៅដើម្បីប្រមូលព័ត៌មានឯកជន ដូចជាព័ត៌មានសម្ងាត់សម្រាប់ការចូល ទិន្នន័យហិរញ្ញវត្ថុ ព័ត៌មានផ្ទាល់ខ្លួន និងកម្មសិទ្ធិបញ្ញា។ អ្នកវាយប្រហារអាចតាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ដោយស្ងៀមស្ងាត់ ចាប់យកការចុចគ្រាប់ចុច និងចូលប្រើឯកសារ ដែលនាំទៅដល់ការបំពានទិន្នន័យដែលអាចកើតមាន និងចារកម្មសាជីវកម្ម។
• ការឈ្លបយកការណ៍ និងការលុកលុយពីឯកជនភាព ៖ នៅពេលដែល RAT ត្រូវបានដាក់ឱ្យប្រើប្រាស់ អ្នកវាយប្រហារអាចដំណើរការ webcam និងមីក្រូហ្វូនរបស់ជនរងគ្រោះដោយមិនមានចំណេះដឹង ដែលនាំឱ្យមានការឃ្លាំមើលដោយគ្មានការអនុញ្ញាត។ ការរំលោភលើភាពឯកជននេះអាចមានផលវិបាកដ៏មានអត្ថន័យសម្រាប់បុគ្គល និងស្ថាប័ន។
• Propagation and Lateral Movement : ជារឿយៗ RATs មានសមត្ថភាពក្នុងការចម្លងដោយខ្លួនឯង និងរីករាលដាលនៅក្នុងបណ្តាញ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្លាស់ទីនៅពេលក្រោយតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធរបស់អង្គការ។ នេះអាចបណ្តាលឱ្យមានការសម្របសម្រួលនៃប្រព័ន្ធជាច្រើន និងការកើនឡើងនៃការគំរាមកំហែងផ្នែកសុវត្ថិភាពទាំងមូល។
• ការបាត់បង់ហិរញ្ញវត្ថុ និងការក្លែងបន្លំ ៖ RATs ដែលមានសមត្ថភាពសម្រាប់ការក្លែងបន្លំធនាគារអាចកំណត់គោលដៅដល់ស្ថាប័នហិរញ្ញវត្ថុ និងអ្នកប្រើប្រាស់ ដែលនាំទៅដល់ប្រតិបត្តិការដែលគ្មានការអនុញ្ញាត ការលួចមូលនិធិ និងការខាតបង់ហិរញ្ញវត្ថុផ្សេងទៀត។ វេទិកាជួញដូរគ្រីបតូក៏ជាគោលដៅងាយរងគ្រោះសម្រាប់អ្នកវាយប្រហារដែលស្វែងរកប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុផងដែរ។
• ការរំខាននៃសេវាកម្ម ៖ អ្នកវាយប្រហារអាចប្រើ RATs ដើម្បីរំខានសេវាកម្មដោយការកែប្រែ ឬលុបឯកសារសំខាន់ៗ កែប្រែការកំណត់ប្រព័ន្ធ ឬបើកការវាយប្រហារបដិសេធសេវាកម្ម។ នេះអាចនាំឱ្យមានការផ្អាក ការខាតបង់ផ្នែកហិរញ្ញវត្ថុ និងការខូចខាតដល់កេរ្តិ៍ឈ្មោះរបស់អង្គការ។
• ភាពជាប់លាប់ និងការលំបាកក្នុងការរកឃើញ ៖ RATs ត្រូវបានរចនាឡើងដើម្បីរក្សាភាពស្ថិតស្ថេរលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ធ្វើឱ្យពួកគេពិបាកក្នុងការស្វែងរក និងដកចេញ។ ពួកគេអាចនឹងប្រើបច្ចេកទេសគេចវេសផ្សេងៗ ដើម្បីចៀសវៀងវិធានការសុវត្ថិភាព ដែលធ្វើឱ្យវាពិបាកសម្រាប់ដំណោះស្រាយកំចាត់មេរោគបែបប្រពៃណីដើម្បីកំណត់ និងកាត់បន្ថយការគំរាមកំហែង។
• ភូមិសាស្ត្រនយោបាយ និងចារកម្មសាជីវកម្ម ៖ តួអង្គដែលឧបត្ថម្ភដោយរដ្ឋ និងក្រុមចារកម្មសាជីវកម្មអាចប្រើ RATs សម្រាប់គោលបំណងយុទ្ធសាស្ត្រដើម្បីទទួលបានព័ត៌មានរសើប កម្មសិទ្ធិបញ្ញា ឬទិន្នន័យដែលបានចាត់ថ្នាក់។ នេះអាចផ្តល់លទ្ធផលយ៉ាងទូលំទូលាយសម្រាប់សន្តិសុខជាតិ និងអង្គការដែលរងផលប៉ះពាល់។

ដើម្បីកាត់បន្ថយហានិភ័យដែលទាក់ទងនឹងការគំរាមកំហែងរបស់ RAT អង្គការ និងបុគ្គលគួរតែប្រើប្រាស់វិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏រឹងមាំ រួមទាំងការត្រួតពិនិត្យសុវត្ថិភាពជាប្រចាំ ការត្រួតពិនិត្យបណ្តាញ ការការពារចំណុចបញ្ចប់ និងការបណ្តុះបណ្តាលការយល់ដឹងពីអ្នកប្រើប្រាស់ ដើម្បីទទួលស្គាល់ និងជៀសវាងការវាយប្រហារដោយបន្លំ។