មេរោគ RotBot

ក្រុមមួយដែលត្រូវបានគេជឿថាមានប្រភពមកពីប្រទេសវៀតណាមត្រូវបានគេកំណត់ថាជាគោលដៅបុគ្គលនៅទូទាំងបណ្តាប្រទេសអាស៊ី និងអាស៊ីអាគ្នេយ៍ផ្សេងៗជាមួយនឹងកម្មវិធីគំរាមកំហែងដែលមានបំណងទាញយកព័ត៌មានដ៏មានតម្លៃចាប់តាំងពីខែឧសភាឆ្នាំ 2023។ ត្រូវបានគេស្គាល់ថា CoralRaider អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតតាមដានយ៉ាងដិតដល់នូវប្រតិបត្តិការនេះដោយកត់សម្គាល់ពីហេតុផលហិរញ្ញវត្ថុរបស់វា។ ចំណុចស្នូលនៃយុទ្ធនាការនេះ រួមមាន ឥណ្ឌា ចិន កូរ៉េខាងត្បូង បង់ក្លាដែស ប៉ាគីស្ថាន ឥណ្ឌូនេស៊ី និងវៀតណាម។

ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនេះមានជំនាញក្នុងការលួចលាក់ព័ត៌មានសម្ងាត់ កំណត់ត្រាហិរញ្ញវត្ថុ និងទម្រង់ប្រព័ន្ធផ្សព្វផ្សាយសង្គម ដែលគ្របដណ្តប់ទាំងគណនីផ្ទាល់ខ្លួន និងអាជីវកម្ម។ ឃ្លាំងអាវុធរបស់ពួកគេសម្រាប់ការវាយលុកពិសេសនេះរួមមាន RotBot ដែលជាកំណែផ្ទាល់ខ្លួនរបស់ Quasar RAT និងអ្នកលួច XClient ។ លើសពីនេះ ពួកគេដាក់ពង្រាយមេរោគក្រៅប្រព័ន្ធជាច្រើនដូចជា AsyncRAT NetSupport RAT និង Rhadamanthys ក្នុងគោលបំណងទទួលបានសិទ្ធិចូលប្រើពីចម្ងាយ និងទាញយកព័ត៌មានពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតមានគោលបំណងសម្របសម្រួលព័ត៌មានរសើបពីគោលដៅដែលបានជ្រើសរើស

អ្នកវាយប្រហារដែលមានប្រភពមកពីប្រទេសវៀតណាមបានដាក់ការសង្កត់ធ្ងន់យ៉ាងសំខាន់លើការជ្រៀតចូលគណនីអាជីវកម្ម និងការផ្សាយពាណិជ្ជកម្ម ដោយប្រើប្រាស់ក្រុមគ្រួសារមេរោគលួចចម្លងជាច្រើនប្រភេទដូចជា Ducktail , NodeStealer និង VietCredCare ដើម្បីដណ្តើមគ្រប់គ្រងគណនីទាំងនេះសម្រាប់ការរកប្រាក់ជាបន្តបន្ទាប់។

ដំណើរការ modus របស់ពួកគេពាក់ព័ន្ធនឹងការប្រើប្រាស់ Telegram ដើម្បីបញ្ជូនព័ត៌មានដែលលួចពីម៉ាស៊ីនរបស់ជនរងគ្រោះ ដែលបន្ទាប់មកត្រូវបានផ្លាស់ប្តូរនៅក្នុងទីផ្សារសម្ងាត់ដើម្បីបង្កើតប្រាក់ចំណេញខុសច្បាប់។

ភ័ស្តុតាងបង្ហាញថាប្រតិបត្តិកររបស់ CoralRaider មានទីតាំងនៅប្រទេសវៀតណាម ដូចដែលបានបង្ហាញដោយសារពីតួអង្គនៅក្នុងបណ្តាញ bot របស់ Telegram Command and Control (C2) ក៏ដូចជាចំណូលចិត្តរបស់ពួកគេសម្រាប់ភាសាវៀតណាមក្នុងការដាក់ឈ្មោះ bot របស់ពួកគេ ខ្សែអក្សរ PDB និង ពាក្យវៀតណាមផ្សេងទៀត hardcoded នៅក្នុង payload binaries របស់ពួកគេ។

ខ្សែសង្វាក់ឆ្លងមេរោគច្រើនដំណាក់កាលផ្តល់នូវការគំរាមកំហែងមេរោគ RotBot

លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយឯកសារផ្លូវកាត់វីនដូ (LNK) ទោះបីជាវិធីសាស្រ្តនៃការចែកចាយទៅកាន់គោលដៅនៅតែមិនច្បាស់លាស់ក៏ដោយ។ នៅពេលបើកឯកសារ LNK ឯកសារកម្មវិធី HTML (HTA) ត្រូវបានទាញយក និងប្រតិបត្តិពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ បន្ទាប់មកដំណើរការស្គ្រីប Visual Basic ដែលបានបង្កប់។

នៅក្នុងវេន ស្គ្រីបនេះ ឌិគ្រីប និងប្រតិបត្តិជាបន្តបន្ទាប់នូវស្គ្រីប PowerShell បីបន្ថែមទៀត ដែលទទួលខុសត្រូវចំពោះការត្រួតពិនិត្យប្រឆាំង VM និងប្រឆាំងការវិភាគ រំលងការគ្រប់គ្រងការចូលប្រើរបស់ Windows User (UAC) ការធ្វើឱ្យ Windows និងកម្មវិធីជូនដំណឹងអសកម្ម និងការទាញយក និងប្រតិបត្តិ RotBot ។

RotBot ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទំនាក់ទំនងជាមួយ Telegram bot ទាញយក និងប្រតិបត្តិមេរោគ XClient stealer malware នៅក្នុងអង្គចងចាំ។ វាជួយសម្រួលដល់ការលួចខូគី អត្តសញ្ញាណប័ណ្ណ និងព័ត៌មានហិរញ្ញវត្ថុពីកម្មវិធីរុករកតាមអ៊ីនធឺណិតដូចជា Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox និង Opera ក៏ដូចជាទិន្នន័យ Discord និង Telegram និងចាប់យករូបថតអេក្រង់។

លើសពីនេះ XClient ត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យពីគណនី Facebook, Instagram, TikTok និង YouTube របស់ជនរងគ្រោះ ដោយទទួលបានព័ត៌មានអំពីវិធីបង់ប្រាក់ និងការអនុញ្ញាតដែលទាក់ទងនឹងអាជីវកម្ម Facebook និងគណនីផ្សាយពាណិជ្ជកម្មរបស់ពួកគេ។

RotBot ដែលជាកំណែប្ដូរតាមបំណងរបស់អតិថិជន Quasar RAT ត្រូវបានកែសម្រួល និងចងក្រងជាពិសេសសម្រាប់យុទ្ធនាការនេះដោយអ្នកគំរាមកំហែង។ លើសពីនេះទៀត XClient មានសមត្ថភាពក្នុងការលួចព័ត៌មានយ៉ាងទូលំទូលាយតាមរយៈម៉ូឌុលកម្មវិធីជំនួយរបស់វា និងមុខងារផ្សេងៗសម្រាប់អនុវត្តការងាររដ្ឋបាលពីចម្ងាយ។

Infostealers នៅ​តែ​ជា​ការ​គំរាម​កំហែង​ដ៏​សន្ធឹកសន្ធាប់​ដែល​កំណត់​គោលដៅ​លើ​វិស័យ​ជា​ច្រើន។

យុទ្ធនាការឃោសនាបំផ្លើសនៅលើ Facebook កំពុងទាញយកការបំភាន់ជុំវិញឧបករណ៍ AI ជំនាន់ថ្មី ដើម្បីផ្សព្វផ្សាយអ្នកលួចព័ត៌មានផ្សេងៗដូចជា Rilide, Vidar, IceRAT និងការគំរាមកំហែងដែលទើបលេចចេញថ្មីហៅថា Nova Stealer ។

ការវាយប្រហារចាប់ផ្តើមដោយតួអង្គគំរាមកំហែងដណ្តើមការគ្រប់គ្រងគណនី Facebook ដែលមានស្រាប់ និងផ្លាស់ប្តូររូបរាងរបស់វាឱ្យស្រដៀងនឹងឧបករណ៍ AI ដ៏ពេញនិយមពី Google, OpenAI និង Midjourney ។ ពួកគេពង្រីកឥទ្ធិពលរបស់ពួកគេដោយដំណើរការការផ្សាយពាណិជ្ជកម្មដែលមានការឧបត្ថម្ភនៅលើវេទិកា។

ជាឧទាហរណ៍ ទំព័រក្លែងក្លាយដែលបង្ហោះជា Midjourney ទទួលបានអ្នកតាមដាន 1.2 លាននាក់ មុនពេលវាត្រូវបានបិទនៅថ្ងៃទី 8 ខែមីនា ឆ្នាំ 2023។ បុគ្គលដែលនៅពីក្រោយទំព័រទាំងនេះមានទីតាំងនៅប្រទេសវៀតណាម សហរដ្ឋអាមេរិក ឥណ្ឌូនេស៊ី ចក្រភពអង់គ្លេស និងអូស្ត្រាលី ក្នុងចំណោមប្រទេសដទៃទៀត។

យុទ្ធនាការផ្សាយពាណិជ្ជកម្មមិនប្រក្រតីទាំងនេះ ប្រើប្រាស់ប្រព័ន្ធផ្សាយពាណិជ្ជកម្មដែលឧបត្ថម្ភដោយ Meta ដើម្បីសម្រេចបាននូវការផ្សព្វផ្សាយយ៉ាងទូលំទូលាយ ដោយកំណត់គោលដៅអ្នកប្រើប្រាស់អឺរ៉ុបយ៉ាងសកម្មនៅក្នុងបណ្តាប្រទេសដូចជា អាល្លឺម៉ង់ ប៉ូឡូញ អ៊ីតាលី បារាំង បែលហ្ស៊ិក អេស្ប៉ាញ ហូឡង់ រ៉ូម៉ានី ស៊ុយអែត និងលើសពីនេះ។