មេរោគ DroxiDat
តួសម្តែងពាក់ព័ន្ធនឹងការក្លែងបន្លំដែលមិនស្គាល់អត្តសញ្ញាណត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការវាយប្រហារតាមអ៊ីនធឺណិតលើក្រុមហ៊ុនផលិតថាមពលដែលមានទីតាំងនៅភាគខាងត្បូងអាហ្វ្រិក។ ការវាយប្រហារបានប្រើប្រាស់ការគំរាមកំហែងមេរោគប្រលោមលោកដែលត្រូវបានតាមដានជា DroxiDat ។ មេរោគនេះត្រូវបានបញ្ជាក់ថាជាការកើតឡើងម្តងទៀតនៃ SystemBC ដែលបានរកឃើញពីមុន ហើយត្រូវបានគេសន្មត់ថាត្រូវបានដាក់ពង្រាយជាជំហានដំបូងសម្រាប់ការវាយប្រហារ ransomware ដែលរំពឹងទុក។
ការដាក់ពង្រាយ DroxiDat ដែលជា backdoor បំពាក់ដោយសមត្ថភាពប្រូកស៊ី បានកើតឡើងក្នុងពេលដំណាលគ្នាជាមួយនឹងការប្រើប្រាស់ Cobalt Strike Beacons នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។ អ្នកស្រាវជ្រាវបានកំណត់ថាឧប្បត្តិហេតុនេះបានផ្ទុះឡើងនៅចុងខែមីនា ឆ្នាំ 2023។ ក្នុងអំឡុងពេលនេះ គេជឿថាប្រតិបត្តិការវាយប្រហារគឺស្ថិតនៅក្នុងដំណាក់កាលដំបូងរបស់វា ដោយផ្តោតលើការកំណត់ទម្រង់ប្រព័ន្ធ និងការបង្កើតបណ្តាញប្រូកស៊ីដោយប្រើប្រាស់ពិធីការ SOCKS5 ដើម្បីជួយសម្រួលដល់ការទំនាក់ទំនងជាមួយបញ្ជា។ -and-Control (C2) ហេដ្ឋារចនាសម្ព័ន្ធ។
អ្នកបង្កើត DroxiDat បានប្រើ SystemBC Malware ជាមូលដ្ឋាន
SystemBC គឺជាមេរោគទំនិញ និងឧបករណ៍រដ្ឋបាលពីចម្ងាយដែលត្រូវបានសរសេរកូដនៅក្នុង C/C++ ។ ការគំរាមកំហែងដំបូងបានកើតឡើងនៅឆ្នាំ 2019 ។ មុខងារចម្បងរបស់វាពាក់ព័ន្ធនឹងការបង្កើតប្រូកស៊ី SOCKS5 នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ ប្រូកស៊ីទាំងនេះបម្រើជាបំពង់សម្រាប់ចរាចរក្លែងក្លាយដែលភ្ជាប់ទៅនឹងទម្រង់មេរោគផ្សេងទៀត។ ការធ្វើឡើងវិញនាពេលថ្មីៗនេះនៃមេរោគពិសេសនេះ បានពង្រីកសមត្ថភាព ដែលអាចឱ្យការទាញយក និងដំណើរការបន្ទុកគំរាមកំហែងបន្ថែម។
ការដាក់ពង្រាយជាប្រវត្តិសាស្ត្ររបស់ SystemBC ជាឧបករណ៍សម្រាប់ការវាយប្រហារ ransomware ត្រូវបានចងក្រងយ៉ាងល្អ។ នៅក្នុងខែធ្នូ ឆ្នាំ 2020 អ្នកស្រាវជ្រាវបានបង្ហាញករណីនៃប្រតិបត្តិករ ransomware ដែលងាកទៅរក SystemBC ជា Backdoor ដែលមានមូលដ្ឋានលើ Tor ដែលអាចរកបានសម្រាប់អនុវត្តការឆ្លងមេរោគ Ryuk និង Egregor Ransomware ។
ការអំពាវនាវរបស់ SystemBC ស្ថិតនៅក្នុងប្រសិទ្ធភាពរបស់វានៅក្នុងប្រតិបត្តិការបែបនេះ ដែលអនុញ្ញាតឱ្យមានការចូលរួមក្នុងពេលដំណាលគ្នាជាមួយនឹងគោលដៅជាច្រើនតាមរយៈនីតិវិធីស្វ័យប្រវត្តិ។ ផ្ទុយទៅវិញ វាជួយសម្រួលដល់ការដាក់ពង្រាយ ransomware តាមរយៈឧបករណ៍ Windows ដើម ប្រសិនបើអ្នកវាយប្រហារអាចទទួលបានព័ត៌មានសម្ងាត់សមស្រប។
DroxiDat អាចត្រូវបានគេប្រើជាមុនគេនៃការវាយប្រហារ Ransomware
ការតភ្ជាប់របស់ DroxiDat ទៅនឹងការដាក់ពង្រាយ ransomware មានប្រភពមកពីការកើតឡើងទាក់ទងនឹងការថែទាំសុខភាព ដែល DroxiDat ត្រូវបានចូលរួម។ ព្រឹត្តិការណ៍នេះបានលាតត្រដាងក្នុងអំឡុងពេលវេលាស្រដៀងគ្នាដែល Nokoyawa Ransomware ត្រូវបានគេជឿថាត្រូវបានចែកចាយរួមជាមួយនឹង Cobalt Strike ។
មេរោគដែលប្រើប្រាស់ក្នុងការវាយលុកនេះមានលក្ខណៈងាយស្រួល និងមានប្រសិទ្ធភាព ផ្ទុយពី SystemBC ដើម។ អ្នកអភិវឌ្ឍន៍របស់ខ្លួនបានដកមុខងាររបស់វាចេញ ដោយកាត់បន្ថយមុខងារភាគច្រើនដែលមាននៅក្នុង SystemBC ដើម្បីធ្វើឯកទេសមុខងាររបស់វាជាទម្រង់ប្រព័ន្ធមូលដ្ឋាន។ តួនាទីរបស់វាពាក់ព័ន្ធនឹងការទាញយកព័ត៌មាន និងបញ្ជូនវាទៅម៉ាស៊ីនមេពីចម្ងាយ។
ជាលទ្ធផល DroxiDat ខ្វះសមត្ថភាពក្នុងការទាញយក និងប្រតិបត្តិកម្មវិធីផ្ទុកមេរោគបន្ថែម។ ទោះយ៉ាងណាក៏ដោយ វាអាចបង្កើតតំណភ្ជាប់ជាមួយអ្នកស្តាប់ពីចម្ងាយ សម្របសម្រួលការផ្ទេរទិន្នន័យទ្វេទិស និងមានសមត្ថភាពរៀបចំការចុះបញ្ជីប្រព័ន្ធនៃឧបករណ៍ដែលមានមេរោគ។
ការកំណត់អត្តសញ្ញាណអ្នកគំរាមកំហែងដែលទទួលខុសត្រូវចំពោះការវាយប្រហារនៅមិនទាន់ដឹងនៅឡើយទេ។ ទោះជាយ៉ាងណាក៏ដោយ សូចនាករដែលមានស្រាប់បង្ហាញយ៉ាងមុតមាំថាមានការចូលរួមពីក្រុមហេគឃ័ររុស្ស៊ី ជាពិសេស FIN12 (ត្រូវបានគេស្គាល់ផងដែរថាជា Pistachio Tempest)។ ក្រុមនេះត្រូវបានគេស្គាល់ថាសម្រាប់ការដាក់ពង្រាយ SystemBC រួមជាមួយ Cobalt Strike Beacons ដែលជាផ្នែកមួយនៃយុទ្ធសាស្រ្តរបស់ពួកគេសម្រាប់ការចែកចាយ ransomware ។
