មេរោគ Decoy Dog Malware

នៅពេលធ្វើការពិនិត្យយ៉ាងទូលំទូលាយអំពីមេរោគ q ដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីនោះ Decoy Dog អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញថាវាតំណាងឱ្យការរីកចម្រើនគួរឱ្យកត់សម្គាល់បើប្រៀបធៀបទៅនឹងមូលដ្ឋានគ្រឹះរបស់វា trojan Pupy RAT ប្រភពបើកចំហ។

The Decoy Dog បង្ហាញនូវសមត្ថភាពដ៏ច្រើនសន្ធឹកសន្ធាប់ និងសមត្ថភាពដែលមិនបានបង្ហាញពីមុន ដោយកំណត់វាដាច់ពីគ្នាថាជាការគំរាមកំហែងកាន់តែទំនើប។ ក្នុងចំណោមលក្ខណៈពិសេសដ៏គួរឱ្យកត់សម្គាល់របស់វាគឺសមត្ថភាពក្នុងការផ្លាស់ប្តូរទីតាំងជនរងគ្រោះទៅកាន់ឧបករណ៍បញ្ជាជំនួស ដែលអនុញ្ញាតឱ្យតួអង្គដែលមានគំនិតមិនល្អនៅពីក្រោយមេរោគនេះ ដើម្បីរក្សាទំនាក់ទំនងជាមួយម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល ខណៈពេលដែលគេចចេញពីការរាវរកក្នុងរយៈពេលវែង។ គួរកត់សម្គាល់ មានករណីជាច្រើនដែលជនរងគ្រោះបានធ្វើអន្តរកម្មដោយមិនដឹងខ្លួនជាមួយម៉ាស៊ីនមេ Decoy Dog អស់រយៈពេលជាងមួយឆ្នាំ ដែលបង្ហាញពីការបំបាំងកាយ និងភាពធន់នៃកម្មវិធីព្យាបាទនេះ។

មេរោគ Decoy Dog Malware ត្រូវបានបំពាក់ដោយមុខងារគំរាមកំហែងដែលពង្រីក

មេរោគដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីៗនេះគឺ Decoy Dog មានមុខងារប្រលោមលោកជាច្រើនដែលកំណត់វាដាច់ដោយឡែក។ គួរកត់សម្គាល់ថាឥឡូវនេះ Decoy Dog មានសមត្ថភាពក្នុងការប្រតិបត្តិកូដ Java បំពានលើម៉ាស៊ីនភ្ញៀវ ដោយផ្តល់ឱ្យវានូវសកម្មភាពទូលំទូលាយបន្ថែមទៀត។

បន្ថែមពីលើនេះ មេរោគត្រូវបានបំពាក់ដោយយន្តការស្រដៀងនឹងក្បួនដោះស្រាយការបង្កើតដែន DNS ប្រពៃណី (DGA) ដើម្បីភ្ជាប់ទៅឧបករណ៍បញ្ជាគ្រាអាសន្ន។ យន្តការនេះពាក់ព័ន្ធនឹងការវិស្វកម្មដែន Decoy Dog ដើម្បីឆ្លើយតបទៅនឹងសំណួរ DNS ដែលបានចាក់ឡើងវិញដែលមានប្រភពមកពីអតិថិជនដែលបំពាន។ តាមរយៈវិធីសាស្រ្តនេះ តួអង្គព្យាបាទនៅពីក្រោយ Decoy Dog អាចផ្លាស់ប្តូរទំនាក់ទំនងនៃឧបករណ៍ដែលត្រូវបានសម្របសម្រួលពីឧបករណ៍បញ្ជាបច្ចុប្បន្នរបស់ពួកគេទៅឧបករណ៍មួយទៀតប្រកបដោយប្រសិទ្ធភាព។ ពាក្យបញ្ជាសំខាន់នេះណែនាំឧបករណ៍ដែលត្រូវបានសម្របសម្រួលឱ្យឈប់ទំនាក់ទំនងជាមួយឧបករណ៍បញ្ជាបច្ចុប្បន្ន និងបង្កើតទំនាក់ទំនងជាមួយឧបករណ៍ថ្មី។

ការរកឃើញនៃកញ្ចប់ឧបករណ៍ដ៏ទំនើបនេះបានកើតឡើងនៅដើមខែមេសា ឆ្នាំ 2023 ដែលត្រូវបានជំរុញដោយការរកឃើញនូវសកម្មភាពបញ្ចេញសញ្ញា DNS ដែលមិនប្រក្រតី។ វិវរណៈនេះបាននាំមកបំភ្លឺនូវការវាយប្រហារដែលមានគោលដៅខ្ពស់របស់មេរោគដែលមានបំណងជាពិសេសទៅលើបណ្តាញសហគ្រាស។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយមេរោគ Decoy Dog Malware អាចកំណត់គោលដៅតំបន់ជាក់លាក់

ដើមកំណើតរបស់ Decoy Dog មិនទាន់ត្រូវបានបង្កើតឡើងច្បាស់លាស់នៅឡើយទេ ប៉ុន្តែវាត្រូវបានគេសង្ស័យថាត្រូវបានដំណើរការដោយក្រុម Hacker ជ្រើសរើសប្រទេស។ ពួក Hacker ទាំងនេះប្រើយុទ្ធសាស្ត្រផ្សេងគ្នា ខណៈពេលដែលឆ្លើយតបទៅនឹងសំណើចូលដែលស្របតាមរចនាសម្ព័ន្ធនៃការទំនាក់ទំនងអតិថិជន ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងដ៏ខ្លាំងក្លា និងពិបាកយល់នៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិត។

ឆ្កែ Decoy ប្រើប្រាស់ប្រព័ន្ធឈ្មោះដែន (DNS) យ៉ាងមានប្រសិទ្ធភាពសម្រាប់ប្រតិបត្តិការ Command-and-Control (C2) របស់វា។ នៅពេលដែលឧបករណ៍ត្រូវបានសម្របសម្រួលដោយមេរោគនេះ វាបង្កើតការទំនាក់ទំនងជាមួយឧបករណ៍បញ្ជាដែលបានកំណត់ (ម៉ាស៊ីនមេ) តាមរយៈសំណួរ DNS និងការឆ្លើយតបអាសយដ្ឋាន IP ដោយទទួលបានការណែនាំពីឧបករណ៍បញ្ជា។

បន្ទាប់ពីត្រូវបានលាតត្រដាងដោយអ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិត តួអង្គគំរាមកំហែងនៅពីក្រោយ Decoy Dog បានធ្វើសកម្មភាពយ៉ាងឆាប់រហ័សដោយយក DNS nameservers មួយចំនួន ហើយចុះឈ្មោះដែនជំនួសថ្មីភ្លាមៗ ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរពីចម្ងាយ និងការគ្រប់គ្រងបន្ត។ នេះអនុញ្ញាតឱ្យពួកគេផ្ទេរអតិថិជនដែលបានសម្របសម្រួលដែលមានស្រាប់ទៅកាន់ឧបករណ៍បញ្ជាថ្មី ដោយបង្ហាញពីការប្តេជ្ញាចិត្តរបស់ពួកគេក្នុងការរក្សាសិទ្ធិចូលប្រើប្រាស់ជនរងគ្រោះរបស់ពួកគេ។

ការដាក់ពង្រាយដំបូងនៃ Decoy Dog តាមដានរហូតដល់ចុងខែមីនា ឬដើមខែមេសា ឆ្នាំ 2022។ ចាប់តាំងពីពេលនោះមក ចង្កោមមេរោគបីផ្សេងទៀតត្រូវបានរកឃើញ ដែលនីមួយៗដំណើរការដោយឧបករណ៍បញ្ជាផ្សេងគ្នា។ រហូតមកដល់ពេលនេះ ដែន Decoy Dog សរុបចំនួន 21 ត្រូវបានកំណត់អត្តសញ្ញាណ។ លើសពីនេះទៅទៀត ឧបករណ៍បញ្ជាមួយឈុតដែលបានចុះបញ្ជីតាំងពីខែមេសា ឆ្នាំ 2023 បានកែសម្រួលយុទ្ធសាស្ត្ររបស់ខ្លួនដោយអនុវត្តបច្ចេកទេស geofencing ។ បច្ចេកទេសនេះដាក់កម្រិតលើការឆ្លើយតបចំពោះអាសយដ្ឋាន IP របស់អតិថិជនចំពោះទីតាំងភូមិសាស្រ្តជាក់លាក់ ដោយសកម្មភាពដែលបានសង្កេតឃើញមានកម្រិតលើសលុបចំពោះតំបន់ក្នុងប្រទេសរុស្ស៊ី និងអឺរ៉ុបខាងកើត។