មេរោគ LOBSHOT ត្រូវបានរកឃើញតាមរយៈការស៊ើបអង្កេត Malvertising
ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវ Elastic Security Labs បានរកឃើញមេរោគថ្មីមួយដែលមានឈ្មោះថា LOBSHOT កំឡុងពេលការស៊ើបអង្កេតហ្មត់ចត់របស់ពួកគេអំពីការកើនឡើងនៃយុទ្ធនាការផ្សព្វផ្សាយពាណិជ្ជកម្ម។ LOBSHOT មានការចាប់អារម្មណ៍ជាពិសេស ដោយសារតែវាផ្តល់ឱ្យតួអង្គគំរាមកំហែងដែលលាក់ VNC (Virtual Network Computing) ចូលទៅកាន់ឧបករណ៍ដែលមានមេរោគ។ អ្នកស្រាវជ្រាវក៏បានរកឃើញទំនាក់ទំនងរវាងមេរោគ និង TA505 ដែលជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលជំរុញទឹកចិត្តផ្នែកហិរញ្ញវត្ថុដែលត្រូវបានគេស្គាល់ថាសម្រាប់ដាក់ពង្រាយ ransomware និង trojan ធនាគារ ផ្សេងៗ។
តារាងមាតិកា
កើនឡើងនៅក្នុងយុទ្ធនាការ Malvertising
យុទ្ធនាការផ្សព្វផ្សាយមិនពិតបាននិងកំពុងកើនឡើងជាលំដាប់ ហើយលក្ខណៈលាក់លៀមរបស់វាធ្វើឱ្យអ្នកប្រើប្រាស់ពិបាកបែងចែករវាងការផ្សាយពាណិជ្ជកម្មស្របច្បាប់ និងព្យាបាទ។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានសង្កេតឃើញថាការកើនឡើងនេះអាចត្រូវបានសន្មតថាជាការគំរាមកំហែងដល់តួអង្គដែលលក់ការផ្សាយពាណិជ្ជកម្មមិនពិតដែលជាសេវាកម្ម ដោយបញ្ជាក់បន្ថែមអំពីសារៈសំខាន់នៃការប្រុងប្រយ័ត្ននៅពេលធ្វើអន្តរកម្មជាមួយការផ្សាយពាណិជ្ជកម្មតាមអ៊ីនធឺណិត។
តាមរយៈការស្រាវជ្រាវរបស់ពួកគេ Elastic Security Labs បានសង្កេតឃើញការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងយុទ្ធនាការផ្សព្វផ្សាយពាណិជ្ជកម្មដោយប្រើប្រាស់ឧបករណ៍កេងប្រវ័ញ្ចដើម្បីកំណត់គោលដៅភាពងាយរងគ្រោះជាក់លាក់នៅក្នុងកម្មវិធីដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយ។ យុទ្ធនាការទាំងនេះត្រូវបានគេសង្កេតឃើញកាន់តែខ្លាំងឡើងនៅលើគេហទំព័រពេញនិយមជាច្រើន ដោយបង្ហាញអ្នកប្រើប្រាស់រាប់លាននាក់ពីការគំរាមកំហែងដែលអាចកើតមាន។ ជាធម្មតា អ្នកទស្សនានៃគេហទំព័រទាំងនេះជួបប្រទះនឹងការផ្សាយពាណិជ្ជកម្មមិនប្រក្រតី ដែលនៅពេលចុច ប្តូរទិសទៅទំព័រចុះចតឧបករណ៍កេងប្រវ័ញ្ច ដែល LOBSHOT ប្រតិបត្តិជាយថាហេតុនៅលើឧបករណ៍របស់អ្នកប្រើ។
TA505 ហេដ្ឋារចនាសម្ព័ន្ធ
TA505 ដែលជាក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលសង្ស័យថាជាអ្នកនៅពីក្រោយការអភិវឌ្ឍន៍ និងការដាក់ឱ្យប្រើប្រាស់ LOBSHOT ត្រូវបានគេទទួលស្គាល់ជាយូរមកហើយសម្រាប់សកម្មភាពព្យាបាទដ៏ទូលំទូលាយរបស់ខ្លួន។ ក្រុមនេះត្រូវបានគេស្គាល់ថាសម្រាប់យុទ្ធនាការវាយប្រហារដែលត្រូវបានរៀបចំយ៉ាងល្អ និងចម្រុះរបស់ខ្លួន ជាពិសេសផ្តោតលើស្ថាប័នហិរញ្ញវត្ថុជាគោលដៅចម្បងរបស់ពួកគេ ប៉ុន្តែថែមទាំងពង្រីកសកម្មភាពព្យាបាទរបស់ពួកគេទៅកាន់ឧស្សាហកម្មផ្សេងទៀតផងដែរ។
បន្ទាប់ពីការវិភាគរបស់ LOBSHOT, Elastic Security Labs បានរកឃើញការត្រួតស៊ីគ្នាយ៉ាងច្បាស់រវាងហេដ្ឋារចនាសម្ព័ន្ធរបស់មេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធ TA505 ដែលបានកំណត់ពីមុន។ ភាពស្រដៀងគ្នានៅក្នុងវិធីសាស្រ្តវាយប្រហារ និងហេដ្ឋារចនាសម្ព័ន្ធត្រួតស៊ីគ្នា ផ្តល់ទំនុកចិត្តដល់សម្មតិកម្មដែលថា TA505 ទទួលខុសត្រូវចំពោះការអភិវឌ្ឍន៍ និងការប្រើប្រាស់សកម្មរបស់ LOBSHOT ។
ការចូលប្រើ VNC ដែលលាក់
ទិដ្ឋភាពមួយក្នុងចំណោមទិដ្ឋភាពដែលពាក់ព័ន្ធបំផុតនៃ LOBSHOT គឺសមត្ថភាពរបស់វាក្នុងការផ្តល់ឱ្យតួអង្គគំរាមកំហែងដែលលាក់ការចូលទៅកាន់ឧបករណ៍របស់ជនរងគ្រោះតាមរយៈ VNC ។ លក្ខណៈពិសេសជាក់លាក់នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចចូលប្រើពីចម្ងាយទៅកាន់ឧបករណ៍ដែលមានមេរោគ ខណៈពេលដែលឆ្លងកាត់ការយល់ព្រមពីអ្នកប្រើប្រាស់ ដោយផ្តល់ឱ្យពួកគេនូវសមត្ថភាពក្នុងការត្រួតពិនិត្យ រៀបចំ និងបណ្តេញចេញនូវទិន្នន័យរសើបដោយមិនចាំបាច់មានចំណេះដឹងរបស់អ្នកប្រើប្រាស់។ ការចូលប្រើ VNC ដែលលាក់ធ្វើឱ្យ LOBSHOT ជាឧបករណ៍ដ៏មានឥទ្ធិពល និងគ្រោះថ្នាក់នៅក្នុងឃ្លាំងអាវុធនៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ជាពិសេសអ្នកដែលមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ។
វិធីសាស្រ្តចែកចាយ
វិធីសាស្រ្តចែកចាយនៃមេរោគ LOBSHOT ត្រូវបានគេសង្កេតឃើញពាក់ព័ន្ធនឹងឧបាយកលបោកបញ្ឆោត ប្រើប្រាស់ Google Ads និងគេហទំព័រក្លែងក្លាយដើម្បីទាក់ទាញជនរងគ្រោះដែលមិនសង្ស័យ។ បច្ចេកទេសទាំងនេះបង្ហាញឱ្យឃើញកាន់តែច្បាស់ពីភាពទំនើប និងការសម្របខ្លួនរបស់តួអង្គគំរាមកំហែងនៅពីក្រោយមេរោគនេះ ដែលធ្វើឱ្យវាកាន់តែមានសារៈសំខាន់សម្រាប់អ្នកប្រើប្រាស់ចុងក្រោយក្នុងការប្រុងប្រយ័ត្ននៅពេលរុករក និងចុចលើការផ្សាយពាណិជ្ជកម្ម។
គេហទំព័រក្លែងក្លាយតាមរយៈ Google Ads
វិធីចម្បងមួយរបស់ LOBSHOT កំពុងត្រូវបានចែកចាយគឺតាមរយៈការប្រើប្រាស់គេហទំព័រក្លែងក្លាយដែលត្រូវបានផ្សព្វផ្សាយតាមរយៈ Google Ads ។ តួអង្គគំរាមកំហែងបង្កើត និងថែរក្សាគេហទំព័រក្លែងក្លាយទាំងនេះ ដែលត្រូវបានរចនាឡើងដើម្បីធ្វើត្រាប់តាមគេហទំព័រ និងសេវាកម្មស្របច្បាប់។ តាមរយៈការកេងប្រវ័ញ្ចលើវេទិកា Google Ads សត្រូវអាចបង្ហាញការផ្សាយពាណិជ្ជកម្មព្យាបាទរបស់ពួកគេចំពោះអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យ ដែលអាចចុចលើការផ្សាយពាណិជ្ជកម្មក្រោមការចាប់អារម្មណ៍ថាពួកគេពិតប្រាកដ ដែលនាំទៅដល់ការដំឡើងមេរោគ LOBSHOT នៅលើឧបករណ៍របស់ពួកគេ។
ប្តូរទិសអ្នកប្រើប្រាស់ទៅក្លែងក្លាយ AnyDesk Domain
ក្រៅពីការប្រើប្រាស់គេហទំព័រក្លែងក្លាយ ដំណើរការចែកចាយសម្រាប់មេរោគ LOBSHOT ក៏ពាក់ព័ន្ធនឹងការបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់ដែន AnyDesk ក្លែងក្លាយផងដែរ។ AnyDesk គឺជាកម្មវិធីកុំព្យូទ័រពីចម្ងាយដ៏ពេញនិយមដែលអាជីវកម្ម និងបុគ្គលជាច្រើនពឹងផ្អែកលើសម្រាប់ការចូលប្រើ និងការគាំទ្រពីចម្ងាយ។ តួអង្គគំរាមកំហែងបានទាញយកអត្ថប្រយោជន៍ពីការជឿទុកចិត្តនេះដោយបង្កើតដែន AnyDesk ប្រឌិតដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកកំណែព្យាបាទនៃកម្មវិធីដែលតាមពិតទៅ LOBSHOT malware ។ វិធីសាស្រ្តនេះបញ្ជាក់បន្ថែមអំពីល្បិចកលដែលប្រើដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទាំងនេះ ដើម្បីចាប់ជនរងគ្រោះ និងប្រតិបត្តិសកម្មភាពព្យាបាទរបស់ពួកគេ។
ការដំឡើងតាមរយៈប្រព័ន្ធសម្របសម្រួល
ក្នុងករណីខ្លះ មេរោគ LOBSHOT អាចត្រូវបានដំឡើងនៅលើឧបករណ៍របស់ជនរងគ្រោះតាមរយៈប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ វាអាចកើតឡើង ប្រសិនបើអ្នកប្រើប្រាស់ចូលមើលដោយមិនដឹងខ្លួន ឬទាញយកមាតិកាពីគេហទំព័រដែលត្រូវបានឆ្លងមេរោគដោយមេរោគ ឬប្រសិនបើពួកគេបានក្លាយជាគោលដៅនៃយុទ្ធនាការ spear-phishing។ នៅពេលដែលមេរោគបានជ្រៀតចូលឧបករណ៍របស់ជនរងគ្រោះដោយជោគជ័យ វាអាចផ្តល់សិទ្ធិចូលប្រើ VNC ដែលលាក់ទៅអ្នកគំរាមកំហែង ដែលបន្ទាប់មកអាចគ្រប់គ្រង និងរៀបចំប្រព័ន្ធពីចម្ងាយតាមការចង់បាន។
សមត្ថភាពរបស់ LOBSHOT
មេរោគ LOBSHOT មានសមត្ថភាពគួរសមជាច្រើនដែលធ្វើឱ្យវាមានជំនាញក្នុងការជ្រៀតចូល និងកេងប្រវ័ញ្ចឧបករណ៍អ្នកប្រើ។ Malware ផ្តោតជាចម្បងលើ Virtual Network Computing (hVNC) ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងឧបករណ៍ដែលមានមេរោគពីចម្ងាយ និងចូលប្រើចំណុចប្រទាក់អ្នកប្រើប្រាស់របស់ពួកគេ។ សមត្ថភាពស្នូលរបស់ LOBSHOT រួមមាន:
កុំព្យូទ័របណ្តាញនិម្មិតដែលលាក់ (hVNC)
ចំណុចសំខាន់នៃមុខងាររបស់ LOBSHOT គឺសមត្ថភាពរបស់វាក្នុងការផ្តល់នូវការចូលប្រើ VNC ដែលលាក់ទៅឧបករណ៍ជនរងគ្រោះ។ តាមរយៈ hVNC អ្នកវាយប្រហារត្រូវបានផ្តល់វិធីសាស្ត្រលាក់បាំងក្នុងការគ្រប់គ្រងឧបករណ៍ពីចម្ងាយដោយមិនមានការយល់ព្រម ឬចំណេះដឹងពីជនរងគ្រោះ។ លក្ខណៈពិសេស hVNC ធ្វើឱ្យ LOBSHOT មានគ្រោះថ្នាក់ជាពិសេស ព្រោះវាអនុញ្ញាតឱ្យតួអង្គអាក្រក់រក្សាវត្តមានសម្ងាត់នៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ខណៈពេលដែលកំពុងធ្វើសកម្មភាពមិនសមរម្យផ្សេងៗ។
ការបញ្ជាពីចម្ងាយនៃឧបករណ៍
សមត្ថភាព hVNC របស់ LOBSHOT អនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងពេញលេញនៃឧបករណ៍ដែលមានមេរោគ ប្រតិបត្តិពាក្យបញ្ជា ធ្វើការផ្លាស់ប្តូរ និងការចូលប្រើធនធានដូចជាប្រសិនបើពួកគេជាអ្នកប្រើប្រាស់ស្របច្បាប់។ កម្រិតនៃការគ្រប់គ្រងនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងអនុវត្តសកម្មភាពព្យាបាទជាច្រើន រួមទាំងការដកទិន្នន័យ ដំឡើងមេរោគបន្ថែម និងធ្វើយុទ្ធនាការចារកម្ម។ សមត្ថភាពក្នុងការគ្រប់គ្រងឧបករណ៍របស់ជនរងគ្រោះពីចម្ងាយបង្ហាញពីការគំរាមកំហែងដ៏សំខាន់ដែលបង្កឡើងដោយ LOBSHOT ។
ចំណុចប្រទាក់អ្នកប្រើក្រាហ្វិកពេញលេញ (GUI)
មេរោគក៏មានលទ្ធភាពចូលទៅកាន់ចំណុចប្រទាក់អ្នកប្រើក្រាហ្វិកពេញលេញ (GUI) នៃឧបករណ៍គោលដៅ ដែលមានន័យថាអ្នកវាយប្រហារអាចធ្វើអន្តរកម្មដោយមើលឃើញជាមួយបរិស្ថានផ្ទៃតុរបស់ឧបករណ៍។ មុខងារនេះបន្ថែមស្រទាប់នៃប្រសិទ្ធភាព និងការគ្រប់គ្រងទៅលើមេរោគ ដោយធ្វើឱ្យវាកាន់តែងាយស្រួលសម្រាប់អ្នកគំរាមកំហែងក្នុងការរុករក និងរៀបចំឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ ការចូលប្រើ GUI ពេញលេញអាចឱ្យអ្នកវាយប្រហារត្រួតពិនិត្យសកម្មភាពរបស់អ្នកប្រើប្រាស់ ចូលប្រើព័ត៌មានរសើប និងអនុវត្តសកម្មភាពដែលកំណត់ដោយអ្នកប្រើប្រាស់ស្របច្បាប់ ដោយសង្កត់ធ្ងន់បន្ថែមទៀតអំពីភាពអាក្រក់របស់ LOBSHOT ។
ការបន្ធូរបន្ថយ និងកង្វល់
មេរោគ LOBSHOT បង្ហាញការព្រួយបារម្ភយ៉ាងខ្លាំងចំពោះអ្នកប្រើប្រាស់ និងស្ថាប័ននីមួយៗ ដោយសារសមត្ថភាព VNC លាក់ខ្លួន និងការផ្សារភ្ជាប់ជាមួយនឹងតួអង្គគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុដូចជា TA505 ជាដើម។ ការបន្ធូរបន្ថយ និងការដោះស្រាយកង្វល់ទាំងនេះពាក់ព័ន្ធនឹងការយល់ដឹងអំពីហានិភ័យដែលអាចកើតមាន និងការអនុវត្តវិធានការការពារសមស្រប ក៏ដូចជាការអំពាវនាវឱ្យមានបទប្បញ្ញត្តិតឹងរ៉ឹងលើវេទិកាដូចជា Google Ads ជាដើម។
ការលួចព័ត៌មានធនាគារ និងហិរញ្ញវត្ថុ
កង្វល់ចម្បងមួយជុំវិញ LOBSHOT គឺសក្តានុពលរបស់ខ្លួនក្នុងការលួចព័ត៌មានធនាគារ និងហិរញ្ញវត្ថុពីឧបករណ៍ដែលមានមេរោគ។ ការចូលប្រើ VNC ដែលលាក់ទុករបស់វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារជ្រៀតចូលឧបករណ៍ដែលមិនបានរកឃើញ តាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ និងចាប់យកទិន្នន័យរសើបដូចជាព័ត៌មានសម្ងាត់ចូល លេខគណនី និងព័ត៌មានលម្អិតអំពីប្រតិបត្តិការ។ ព័ត៌មានបែបនេះអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីទទួលបានផលចំណេញផ្នែកសេដ្ឋកិច្ច ឬប្រើប្រាស់ក្នុងការវាយប្រហារបន្ថែមទៀត ដូចជាការបញ្ចូលព័ត៌មានសម្ងាត់ ឬយុទ្ធនាការបន្លំជាដើម។
អំពាវនាវឱ្យមានបទប្បញ្ញត្តិការផ្សាយពាណិជ្ជកម្មដ៏តឹងរ៉ឹងនៅលើ Google
ដើម្បីឆ្លើយតបទៅនឹងការគំរាមកំហែងកាន់តែខ្លាំងឡើងនៃការចែកចាយមេរោគតាមរយៈ Google Ads អ្នកស្រាវជ្រាវ និងអ្នកជំនាញផ្នែកសន្តិសុខជាច្រើនបានអំពាវនាវឱ្យក្រុមហ៊ុន Alphabet ដែលជាក្រុមហ៊ុនកាន់កាប់របស់ Google ឱ្យដាក់បទបញ្ជាតឹងរ៉ឹងលើការអនុម័តលើការផ្សាយពាណិជ្ជកម្ម។ ការអនុវត្តដំណើរការពិនិត្យការផ្សាយពាណិជ្ជកម្ម និងយន្តការផ្ទៀងផ្ទាត់ដ៏រឹងមាំជាងមុន អាចជួយកាត់បន្ថយការរីករាលដាលនៃមេរោគដូចជា LOBSHOT និងកាត់បន្ថយហានិភ័យនៃអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យដែលក្លាយជាជនរងគ្រោះនៃការគំរាមកំហែងបែបនេះ។ ក្នុងពេលនេះ អ្នកប្រើប្រាស់ចុងក្រោយគួរតែប្រុងប្រយ័ត្នដោយផ្ទៀងផ្ទាត់ភាពស្របច្បាប់នៃដែនដែលពួកគេកំពុងទស្សនា និងកម្មវិធីដែលពួកគេកំពុងទាញយក។