មេរោគ BatCloak

អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញការវាយលុកច្រើនដំណាក់កាលដ៏ទំនើបដែលប្រើការបញ្ឆោតតាមប្រធានបទវិក្កយបត្រជាយានសម្រាប់ចែកចាយអារេនៃកម្មវិធីគំរាមកំហែង រួមមាន VenomRAT , RemcosRAT , XWormRAT , the NanoCore RAT stealing និង crypto waller.

អ៊ីមែលក្លែងបន្លំទាំងនេះមានឯកសារភ្ជាប់ក្នុងទម្រង់ជាឯកសារ Scalable Vector Graphics (SVG)។ នៅពេលដែលបានបើក ឯកសារទាំងនេះបង្កឱ្យមានការឆ្លងជាបន្តបន្ទាប់។ គួរកត់សម្គាល់ថានៅក្នុងប្រតិបត្តិការនេះគឺការប្រើប្រាស់ម៉ាស៊ីន obfuscation malware BatCloak និង ScrubCrypt ដើម្បីផ្សព្វផ្សាយមេរោគតាមរយៈ batch scripts ។

មេរោគ BatCloak ជួយសម្រួលដល់ការដឹកជញ្ជូនបន្ទុកដំណាក់កាលបន្ទាប់

BatCloak ដែលអាចរកបានសម្រាប់ការទិញដោយអ្នកគំរាមកំហែងផ្សេងទៀតចាប់តាំងពីចុងឆ្នាំ 2022 មានប្រភពមកពីឧបករណ៍ដែលគេស្គាល់ថា Jlaive ។ មុខងារចម្បងរបស់វាគឺដើម្បីជួយសម្រួលដល់ការផ្ទុកបន្ទុកដំណាក់កាលបន្តបន្ទាប់ក្នុងលក្ខណៈដែលគេចចេញពីវិធីសាស្ត្ររាវរកធម្មតា។

ScrubCrypt ដែលត្រូវបានកំណត់អត្តសញ្ញាណដំបូងដោយក្រុមអ្នកស្រាវជ្រាវក្នុងខែមីនា ឆ្នាំ 2023 ក្នុងអំឡុងពេលយុទ្ធនាការ cryptojacking ដែលរៀបចំឡើងដោយ 8220 Gang ត្រូវបានគេជឿថាជាការបន្តមួយរបស់ BatCloak តាមការរកឃើញដោយ Trend Micro កាលពីឆ្នាំមុន។

នៅក្នុងយុទ្ធនាការថ្មីៗបំផុតដែលត្រូវបានពិនិត្យដោយអ្នកឯកទេសសន្តិសុខតាមអ៊ីនធឺណិត ឯកសារ SVG ដើរតួជាឧបករណ៍សម្រាប់ដាក់ពង្រាយបណ្ណសារហ្ស៊ីបដែលមានស្គ្រីបជាបាច់ដែលទំនងជាបង្កើតដោយប្រើ BatCloak ។ បន្ទាប់មកស្គ្រីបនេះពន្លាឯកសារបាច់ ScrubCrypt ដើម្បីប្រតិបត្តិចុងក្រោយ Venom RAT បន្ទាប់ពីបង្កើតការតស៊ូនៅលើម៉ាស៊ីន និងអនុវត្តវិធានការដើម្បីចៀសវៀងការការពារ AMSI និង ETW ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដាក់ពង្រាយការគំរាមកំហែងមេរោគជាច្រើនតាមរយៈ BatCloak

ពន្លកនៃ Quasar RAT នេះ Venom RAT ផ្តល់អំណាចដល់អ្នកវាយប្រហារឱ្យកាន់កាប់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ប្រមូលទិន្នន័យរសើប និងប្រតិបត្តិពាក្យបញ្ជាពីម៉ាស៊ីនមេ Command-and-Control (C2) ។ ទោះបីជាមុខងារស្នូលរបស់ Venom RAT ហាក់ដូចជាសាមញ្ញក៏ដោយ វាបង្កើតបណ្តាញទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ដើម្បីទទួលបានកម្មវិធីជំនួយបន្ថែមសម្រាប់សកម្មភាពចម្រុះ។ ទាំងនេះរួមបញ្ចូល Venom RAT v6.0.3 ដែលត្រូវបានបំពាក់ដោយសមត្ថភាព keylogger ក៏ដូចជា NanoCore RAT, XWorm និង Remcos RAT ។ កម្មវិធីជំនួយ Remcos RAT ត្រូវបានផ្សព្វផ្សាយពី C2 របស់ VenomRAT តាមរយៈវិធីបីយ៉ាង៖ ស្គ្រីប VBS ដែលមិនមានភាពច្របូកច្របល់ដែលមានឈ្មោះថា 'remcos.vbs' ScrubCrypt និង GuLoader PowerShell ។

ចែកចាយផងដែរតាមរយៈប្រព័ន្ធកម្មវិធីជំនួយ គឺជាអ្នកលួចដែលលួចយកព័ត៌មានប្រព័ន្ធ និងទិន្នន័យ siphons ពីថតដែលភ្ជាប់ជាមួយកាបូប និងកម្មវិធីដូចជា Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ឈប់បន្តត្រឹមខែមីនា ឆ្នាំ 2023), Zcash, Foxmail និង Telegram ទៅ ម៉ាស៊ីនមេពីចម្ងាយ។

ប្រតិបត្តិការវាយប្រហារដ៏ស្មុគ្រស្មាញដែលបានចងក្រងជាឯកសារប្រើប្រាស់ស្រទាប់ជាច្រើននៃការលាក់បាំង និងយុទ្ធសាស្ត្រគេចវេស ដើម្បីផ្សព្វផ្សាយ និងប្រតិបត្តិ VenomRAT តាមរយៈ ScrubCrypt ។ ជនល្មើសប្រើប្រាស់មធ្យោបាយផ្សេងៗ រួមទាំងអ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់ព្យាបាទ ឯកសារស្គ្រីបដែលបំភ័ន្ត និង Guloader PowerShell ដើម្បីបំពាន និងសម្របសម្រួលប្រព័ន្ធជនរងគ្រោះ។ ជាងនេះទៅទៀត ការដាក់ពង្រាយកម្មវិធីជំនួយតាមរយៈបន្ទុកផ្សេងៗគ្នា គូសបញ្ជាក់ពីភាពអាចបត់បែនបាន និងភាពប្រែប្រួលនៃយុទ្ធនាការវាយប្រហារ។