មេរោគ DownEx
យោងតាមក្រុមអ្នកស្រាវជ្រាវ infosec អង្គការរដ្ឋាភិបាលនៅអាស៊ីកណ្តាលបានក្លាយជាចំណុចសំខាន់នៃយុទ្ធនាការចារកម្មដែលមានគោលដៅ និងស្មុគស្មាញ។ ប្រតិបត្តិការនេះប្រើប្រភេទមេរោគថ្មីហៅថា DownEx ដែលពីមុនមិនស្គាល់ដោយអ្នកជំនាញ។ រហូតមកដល់ពេលនេះ ការវាយប្រហារមិនត្រូវបានគេសន្មតថាជាក្រុមជាក់លាក់ APT (Advanced Persistent Threat) ឬក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទេ ប៉ុន្តែភស្តុតាងចង្អុលបង្ហាញពីការជាប់ពាក់ព័ន្ធរបស់តួអង្គដែលមានមូលដ្ឋាននៅក្នុងប្រទេសរុស្ស៊ី។
ឧប្បត្តិហេតុដែលត្រូវបានរាយការណ៍ជាលើកដំបូងដែលពាក់ព័ន្ធនឹងមេរោគ DownEx បានកើតឡើងនៅក្នុងប្រទេសកាហ្សាក់ស្ថាន ជាកន្លែងដែលការវាយប្រហារដែលមានគោលដៅខ្ពស់ត្រូវបានចាប់ផ្តើមប្រឆាំងនឹងស្ថាប័នរដ្ឋាភិបាលបរទេសនៅចុងឆ្នាំ 2022 ។ ការវាយប្រហារមួយផ្សេងទៀតត្រូវបានគេសង្កេតឃើញនៅពេលក្រោយនៅក្នុងប្រទេសអាហ្វហ្គានីស្ថាន។ ការប្រើប្រាស់ឯកសារដែលមានប្រធានបទការទូតដើម្បីទាក់ទាញជនរងគ្រោះ និងការផ្តោតអារម្មណ៍របស់អ្នកវាយប្រហារលើការប្រមូលទិន្នន័យរសើប បង្ហាញយ៉ាងច្បាស់ថាមានការចូលរួមពីក្រុមដែលឧបត្ថម្ភដោយរដ្ឋ។ ទោះយ៉ាងណា អត្តសញ្ញាណរបស់ក្រុម Hacker នេះមិនទាន់ត្រូវបានគេបញ្ជាក់នៅឡើយទេ។ ប្រតិបត្តិការនៅតែបន្ត ហើយការវាយប្រហារបន្ថែមទៀតអាចកើតឡើង ព្រមានអ្នកស្រាវជ្រាវនៅ Bitdefender ដែលបានចេញផ្សាយរបាយការណ៍ស្តីពីការគំរាមកំហែង និងសកម្មភាពវាយប្រហារដែលពាក់ព័ន្ធរបស់វា។
ខ្សែសង្វាក់វាយប្រហារមេរោគ DownEx ចាប់ផ្តើមជាមួយនឹងសារទាក់ទាញ
វាត្រូវបានគេសង្ស័យថា មធ្យោបាយនៃការឈ្លានពានដំបូងសម្រាប់យុទ្ធនាការចារកម្មពាក់ព័ន្ធនឹង spear-phishing email ដែលផ្ទុកបន្ទុកគំរាមកំហែង។ payload បាននិយាយថាគឺជាកម្មវិធីផ្ទុកដែលអាចប្រតិបត្តិបានដែលក្លែងបន្លំជាឯកសារ Microsoft Word ។ នៅពេលដែលឯកសារភ្ជាប់ត្រូវបានបើក ឯកសារចំនួនពីរត្រូវបានស្រង់ចេញ ដែលឯកសារមួយជាឯកសារក្លែងក្លាយដែលត្រូវបានបង្ហាញដល់ជនរងគ្រោះថាជាការបោកប្រាស់។ ក្នុងពេលដំណាលគ្នានោះ កម្មវិធី HTML ព្យាបាទ (.HTA) ដែលមានកូដ VBScript ដំណើរការក្នុងផ្ទៃខាងក្រោយ។
ឯកសារ HTA ត្រូវបានរចនាឡើងដើម្បីបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ពីចម្ងាយ ដើម្បីទទួលបានបន្ទុកដំណាក់កាលបន្ទាប់។ លក្ខណៈពិតប្រាកដនៃឧបករណ៍មេរោគនេះមិនត្រូវបានបង្ហាញនៅឡើយទេ ប៉ុន្តែវាត្រូវបានគេជឿថាជា backdoor ដែលមានភារកិច្ចបង្កើតការជាប់គាំងនៅលើប្រព័ន្ធដែលបំពាន។ នេះបង្ហាញថាយុទ្ធនាការនេះកំពុងត្រូវបានអនុវត្តដោយតួអង្គគំរាមកំហែងដែលមានការរៀបចំខ្ពស់ និងស្មុគ្រស្មាញ ដែលភាគច្រើនទំនងជាក្រុមដែលឧបត្ថម្ភដោយរដ្ឋ ដោយផ្តោតលើការដកទិន្នន័យចេញពីស្ថាប័នរដ្ឋាភិបាលបរទេស។
ឧបករណ៍គំរាមកំហែងបន្ថែមត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាមួយមេរោគ DownEx
កំណែពីរផ្សេងគ្នានៃមេរោគ DownEx ត្រូវបានគេសង្កេតឃើញ។ វ៉ារ្យ៉ង់ទីមួយប្រើ VBScript កម្រិតមធ្យមដើម្បីប្រមូល និងផ្ញើឯកសារទៅម៉ាស៊ីនមេពីចម្ងាយក្នុងទម្រង់ជាប័ណ្ណសារហ្ស៊ីប។ វ៉ារ្យ៉ង់ទីពីរត្រូវបានទាញយកតាមរយៈស្គ្រីប VBE ដែលហៅថា slmgr.vibe ហើយប្រើ VBScript ជំនួសឱ្យ C++ ។ ទោះបីជាមានភាសាសរសេរកម្មវិធីខុសគ្នាក៏ដោយ កំណែទីពីរនៅតែរក្សាសមត្ថភាពព្យាបាទដូចគ្នានឹងភាសាទីមួយដែរ។
វ៉ារ្យ៉ង់ DownEx Malware ទីពីរប្រើបច្ចេកទេសវាយប្រហារគ្មានឯកសារ។ នេះមានន័យថា ស្គ្រីប DownEx ត្រូវបានប្រតិបត្តិក្នុងអង្គចងចាំតែប៉ុណ្ណោះ ហើយមិនដែលប៉ះថាសរបស់ឧបករណ៍ដែលមានមេរោគនោះទេ។ បច្ចេកទេសនេះបង្ហាញពីភាពរីកចម្រើននៃការវាយប្រហារតាមអ៊ីនធឺណិតទំនើប ហើយបង្ហាញថាឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងបង្កើតវិធីសាស្រ្តថ្មីដើម្បីធ្វើឱ្យការវាយប្រហាររបស់ពួកគេកាន់តែមានប្រសិទ្ធភាព និងពិបាកក្នុងការរកឃើញ។
