មេរោគ Airstalk

ក្រុមគ្រួសារមេរោគដែលបានសង្កេតឃើញថ្មី ដែលត្រូវបានសន្មតថាជាចង្កោមរដ្ឋដែលសង្ស័យ (ត្រូវបានកំណត់ថាជា CL-STA-1009) កំពុងត្រូវបានចែកចាយក្នុងលក្ខណៈមួយដែលស្របទៅនឹងការឈ្លានពានខ្សែសង្វាក់ផ្គត់ផ្គង់។ ឧបករណ៍ផ្សាំនេះមានឈ្មោះថា Airstalk ប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធគ្រប់គ្រងឧបករណ៍ចល័តសហគ្រាស (MDM) ដើម្បីលាក់បាំងចរាចរណ៍ Command-and-Control (C2) និងបណ្តេញវត្ថុបុរាណរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងទិន្នន័យរសើបផ្សេងទៀតពីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។

របៀបដែលការគំរាមកំហែងលាក់នៅក្នុងការមើលឃើញធម្មតា។

Airstalk កំណត់ឡើងវិញនូវ AirWatch API (ឥឡូវនេះ Workspace ONE Unified Endpoint Management) ជាប៉ុស្តិ៍ C2 ដែលលាក់កំបាំងរបស់វា។ ជំនួសឱ្យការប្រើប្រាស់ API សម្រាប់ការគ្រប់គ្រងឧបករណ៍ស្របច្បាប់ មេរោគប្រើគុណលក្ខណៈឧបករណ៍ផ្ទាល់ខ្លួន និងមុខងារផ្ទុកឯកសារ (blob) ដើម្បីផ្លាស់ប្តូរសារជាមួយប្រតិបត្តិកររបស់វា ដោយមានប្រសិទ្ធភាពបង្វែរចំណុចបញ្ចប់ MDM ទៅជាដំណោះស្រាយធ្លាក់ចុះសម្រាប់ការទំនាក់ទំនងអ្នកវាយប្រហារ និងការបង្ហោះទិន្នន័យធំ។

ការអនុវត្តពីរ៖ PowerShell ទល់នឹង .NET

ការស្ថាបនាខុសគ្នាពីរត្រូវបានគេសង្កេតឃើញ៖ PowerShell backdoor និងវ៉ារ្យ៉ង់ .NET ដែលសំបូរទៅដោយលក្ខណៈពិសេសជាង។ ទាំងពីរអនុវត្តពិធីការ C2 ដែលមានខ្សែច្រើន និងគាំទ្រប្រតិបត្តិការលួចទិន្នន័យ ដូចជាការចាប់យករូបថតអេក្រង់ និងការប្រមូលផលខូគី ប្រវត្តិរុករក និងចំណាំ។ ភ័ស្តុតាងបង្ហាញថាវត្ថុបុរាណមួយចំនួនត្រូវបានចុះហត្ថលេខាជាមួយនឹងវិញ្ញាបនបត្រដែលអ្នកស្រាវជ្រាវចាត់ទុកថាទំនងជាត្រូវបានគេលួច។

វ៉ារ្យ៉ង់ PowerShell៖ ឥរិយាបថ C2 និងសមត្ថភាព

ការផ្សាំ PowerShell ទំនាក់ទំនងតាមរយៈ /api/mdm/devices/ endpoint។ នៅពេលចាប់ផ្តើម វាបង្កើតទំនាក់ទំនងជាមួយនឹងការចាប់ដៃសាមញ្ញ CONNECT/CONNECTED ទទួលកិច្ចការដែលបានខ្ចប់ជាសារ 'ACTIONS' ប្រតិបត្តិពួកវា និងត្រឡប់លទ្ធផលដោយប្រើសារ 'RESULT'។ នៅពេលដែលកិច្ចការមួយបង្កើតទិន្នផលធំ Airstalk ផ្ទុកទិន្នន័យដោយប្រើមុខងារ blob របស់ MDM API ។

សកម្មភាពដែលបានសង្កេតឃើញគាំទ្រដោយ PowerShell backdoor រួមមាន:

• ថតអេក្រង់។
• ទាញយកខូគីពី Google Chrome ។
• រាយបញ្ជីទម្រង់អ្នកប្រើប្រាស់ Chrome ទាំងអស់។
• ទទួលបានចំណាំសម្រាប់ទម្រង់ Chrome ដែលបានបញ្ជាក់។
• ប្រមូលប្រវត្តិរុករកសម្រាប់ទម្រង់ Chrome ដែលបានបញ្ជាក់។
• បញ្ចូលឯកសារទាំងអស់នៅក្រោមថតអ្នកប្រើប្រាស់។
• ដកខ្លួនវាចេញ។

វ៉ារ្យ៉ង់ .NET៖ គោលដៅ និងសមត្ថភាពប្រសើរឡើង

ការស្ថាបនា .NET ពង្រីកវិសាលភាព និងភាពទំនើប។ វាផ្តោតលើកម្មវិធីរុករកសហគ្រាសបន្ថែម (Microsoft Edge និង Island) ប៉ុនប៉ងក្លែងធ្វើជាជំនួយការ AirWatch ដែលអាចប្រតិបត្តិបាន (AirwatchHelper.exe) និងបន្ថែមប្រភេទសារបន្ថែមចំនួនបីដែលប្រើសម្រាប់ការជូនដំណឹងមិនស៊ីគ្នានៃកំណែ លទ្ធផលបំបាត់កំហុស និងការបញ្ចេញសំឡេង។

ភាពខុសគ្នាសំខាន់ៗ និងអាកប្បកិរិយាបន្ថែមនៃវ៉ារ្យ៉ង់ .NET៖

ប្រើ​ខ្សែ​ស្រ័យ​ប្រតិបត្តិ​ចំនួន​បី​ដើម្បី​ដោះស្រាយ​កិច្ចការ C2, ស្រង់​ចេញ​កំណត់​ហេតុ​បំបាត់​កំហុស និង​អនុវត្ត​សញ្ញា​តាម​កាលកំណត់​ទៅ C2។

គាំទ្រសំណុំពាក្យបញ្ជាទូលំទូលាយសម្រាប់ការបណ្តេញចេញគោលដៅ និងការគ្រប់គ្រងពីចម្ងាយ រួមទាំងពាក្យបញ្ជាដើម្បីបោះបង់ទម្រង់កម្មវិធីរុករកតាមអ៊ីនធឺណិតជាក់លាក់ ផ្ទុកឡើងឯកសារ បើក URLs បញ្ជីមាតិកាបញ្ជី និងច្រើនទៀត។

គំរូ .NET មួយចំនួនត្រូវបានចុះហត្ថលេខាជាមួយនឹងវិញ្ញាបនបត្រដែលសន្មតថាជា 'Aoteng Industrial Automation (Langfang) Co., Ltd)' ដែលអ្នកវិភាគជឿថាទំនងជាត្រូវបានលួច។ គំរូដំបូងមានត្រាពេលវេលាចងក្រងនៅថ្ងៃទី 28 ខែមិថុនា ឆ្នាំ 2024។

មិនដូចកំណែ PowerShell ទេ គំរូវ៉ារ្យ៉ង់ .NET ដែលបានវិភាគមិនបង្កើតកិច្ចការដែលបានកំណត់ពេលសម្រាប់ភាពជាប់លាប់នោះទេ។

សំណុំ​ពាក្យ​បញ្ជា​ដែល​បាន​ពង្រីក​បាន​សង្កេត​ឃើញ​ក្នុង​គំរូ .NET រួម​មាន៖

• រូបថតអេក្រង់
• អាប់ដេតChrome (ចម្រោះទម្រង់ Chrome ជាក់លាក់)
• ផែនទីឯកសារ (បញ្ជីមាតិកានៃថតឯកសារ)
• RunUtility (មិនទាន់បានអនុវត្តនៅក្នុងគំរូដែលបានសង្កេតនៅឡើយ)
• EnterpriseChromeProfiles (រាប់បញ្ចូលទម្រង់ Chrome)
• UploadFile (exfiltrate files/artifacts and credentials)
• OpenURL (បើកដំណើរការ URL នៅក្នុង Chrome)
• លុប
• EnterpriseChromeBookmarks (ទាញយកចំណាំពីទម្រង់ Chrome)
• EnterpriseIslandProfiles (រាប់បញ្ចូលប្រវត្តិរូបកម្មវិធីរុករកតាមកោះ)
• UpdateIsland (ស្រង់ចេញនូវទម្រង់កោះជាក់លាក់)
• ExfilAlreadyOpenChrome (បោះចោលខូគីពីទម្រង់ Chrome បច្ចុប្បន្ន)

ការចែកចាយនិងផលប៉ះពាល់

ការបញ្ជាក់ថាតើនរណាត្រូវបានកំណត់គោលដៅ និងវិធីសាស្រ្តចែកចាយពិតប្រាកដនៅតែមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ ការប្រើប្រាស់ MDM APIs ជា C2 និងការផ្តោតច្បាស់លាស់លើកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់សហគ្រាស ជាពិសេសកោះ ដែលមានបំណងដាក់ពង្រាយសាជីវកម្ម ចង្អុលយ៉ាងមុតមាំដល់ខ្សែសង្វាក់ផ្គត់ផ្គង់ ឬអ្នកលក់ភាគីទីបីសម្រុះសម្រួលដែលកំណត់គោលដៅអាជីវកម្មខាងក្រៅ (BPO) firms ។ អ្នកផ្តល់សេវា BPO គឺជាគោលដៅដ៏គួរឱ្យទាក់ទាញ ពីព្រោះខូគីសម័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតត្រូវបានលួច និងវត្ថុបុរាណនៃកម្រងព័ត៌មានអាចផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើបរិស្ថានអតិថិជនខាងក្រោមជាច្រើន។ ការចូលប្រើប្រាស់ជាប់លាប់តាមរយៈហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកលក់ បង្កើនផលប៉ះពាល់។

សេចក្តីសន្និដ្ឋាន

Airstalk បង្ហាញពីនិន្នាការពាក់ព័ន្ធ៖ អ្នកវាយប្រហារបំពានលើវេទិកាគ្រប់គ្រងដែលអាចទុកចិត្តបាន ដើម្បីបញ្ចូលគ្នានូវចរាចរណ៍ព្យាបាទជាមួយទូរលេខរដ្ឋបាលស្របច្បាប់។ សម្រាប់អង្គការដែលពឹងផ្អែកលើអ្នកលក់ភាគីទីបី ឬសេវាកម្ម BPO បច្ចេកទេសនេះបង្កើនហានិភ័យយ៉ាងខ្លាំងដែលការសម្របសម្រួលតែមួយនឹងធ្លាក់ចូលទៅក្នុងបរិយាកាសអតិថិជនជាច្រើន។ ការប្រុងប្រយ័ត្នជុំវិញសកម្មភាព MDM ការបញ្ជាក់អំពីវិញ្ញាបនបត្រ និងភាពសុចរិតនៃខ្សែសង្វាក់ឧបករណ៍របស់អ្នកលក់ គឺចាំបាច់ណាស់ក្នុងការស្វែងរក និងកំណត់កម្រិតនៃការគំរាមកំហែងនេះ។