មេរោគ ApolloShadow

ApolloShadow គឺជាមេរោគដ៏ទំនើបមួយដែលត្រូវបានប្រើប្រាស់នៅក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលធ្វើឡើងដោយតួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា Secret Blizzard ។ ក្រុមនេះដែលត្រូវបានគេជឿថាជាផ្នែកមួយនៃសេវាសន្តិសុខសហព័ន្ធ (FSB) របស់ប្រទេសរុស្ស៊ីត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងឈ្មោះកូដផ្សេងទៀតជាច្រើនរួមមាន ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug និង Wraith ។ មេរោគនេះត្រូវបានគេប្រើប្រាស់យ៉ាងសកម្មក្នុងប្រតិបត្តិការដែលកំណត់គោលដៅអង្គភាពរសើបនៅទីក្រុងមូស្គូចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2024 ដោយមានការបង្ហាញយ៉ាងខ្លាំងថាយុទ្ធនាការទាំងនេះនឹងពង្រីកបន្ថែមទៀត។

ការគំរាមកំហែងតាមបំណង៖ ប្រភពដើម និងសមត្ថភាពរបស់ ApolloShadow

ApolloShadow គឺ​ជា​ឧបករណ៍​ព្យាបាទ​ដែល​បង្កើត​ឡើង​ផ្ទាល់​ខ្លួន​ដែល​បាន​រចនា​ឡើង​សម្រាប់​ចារកម្ម។ ការដាក់ពង្រាយរបស់វាត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការដែលផ្តោតលើស្ថាប័នការទូត និងអង្គការដែលមានតម្លៃខ្ពស់ផ្សេងទៀត ជាពិសេសអ្នកដែលពឹងផ្អែកលើសេវាអ៊ីនធឺណិត និងទូរគមនាគមន៍របស់រុស្ស៊ី។ មេរោគនេះត្រូវបានរីករាលដាលដោយប្រើបច្ចេកទេសកម្រិតខ្ពស់នៃសត្រូវនៅកណ្តាល (AiTM) ដែលអ្នកវាយប្រហារស្ទាក់ចាប់ទំនាក់ទំនងរវាងជនរងគ្រោះ និងសេវាកម្មស្របច្បាប់។

នៅក្នុងយុទ្ធនាការចុងក្រោយរបស់ ApolloShadow បច្ចេកទេស AiTM ត្រូវបានអនុវត្តនៅកម្រិតអ្នកផ្តល់សេវាអ៊ីនធឺណិត (ISP) ។ ជនរងគ្រោះត្រូវបានបញ្ជូនបន្តតាមរយៈវិបផតថលចាប់យកដែលត្រូវបានរចនាឡើងដើម្បីធ្វើត្រាប់តាមអាកប្បកិរិយាស្របច្បាប់របស់វីនដូ។ នៅពេលដែលសូចនាករស្ថានភាពការតភ្ជាប់របស់ Windows Test ត្រូវបានបង្កឡើង ជំនួសឱ្យការចូលទៅកាន់ទំព័រផ្ទៀងផ្ទាត់ស្តង់ដារ អ្នកប្រើប្រាស់ត្រូវបានបញ្ជូនទៅដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ការបញ្ជូនបន្តនេះនាំឱ្យមានការជំរុញឱ្យអ្នកប្រើប្រាស់ដំឡើងវិញ្ញាបនបត្រឫសគល់ក្លែងបន្លំ ដែលជារឿយៗត្រូវបានក្លែងបន្លំជាកម្មវិធីសុវត្ថិភាពល្បីឈ្មោះ ដើម្បីចាប់ផ្តើមខ្សែសង្វាក់ការឆ្លង។

សុវត្ថិភាពបំបែក៖ របៀបដែល ApolloShadow សម្របសម្រួលឧបករណ៍

ការដំឡើងវិញ្ញាបនបត្រ root គឺជាពេលវេលាដ៏សំខាន់ដែលផ្តល់សិទ្ធិចូលដំណើរការ ApolloShadow ទៅកាន់ប្រព័ន្ធ។ នៅពេលដែលសកម្ម វាធ្វើប្រតិបត្តិការជាច្រើន៖

• ប្រមូលព័ត៌មានឧបករណ៍ និងបណ្តាញ រួមទាំងអាសយដ្ឋាន IP ។
• ការប៉ុនប៉ងដើម្បីទទួលបានសិទ្ធិជាអ្នកគ្រប់គ្រងតាមរយៈប្រអប់បញ្ចូលការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ក្លែងក្លាយ (UAC) ។ ក្នុងករណីដែលបានសង្កេត កម្មវិធីដំឡើងត្រូវបានដាក់ឈ្មោះថា 'CertificateDB.exe ។
• បង្ហាញការលេចឡើងដែលបញ្ឆោតដែលបង្ហាញថាវិញ្ញាបនបត្រកំពុងត្រូវបានដំឡើង។

បន្ទាប់ពីទទួលបានសិទ្ធិខ្ពស់ មេរោគធ្វើឱ្យឧបករណ៍ដែលឆ្លងមេរោគអាចរកឃើញនៅលើបណ្តាញមូលដ្ឋាន។ បន្ទាប់មកវាព្យាយាមធ្វើឱ្យប្រព័ន្ធការពាររបស់ប្រព័ន្ធចុះខ្សោយដោយផ្លាស់ប្តូរការកំណត់ជញ្ជាំងភ្លើង និងបើកការចែករំលែកឯកសារ។ ដើម្បីរំលងសុវត្ថិភាពកម្មវិធីរុករក៖

• កម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលមានមូលដ្ឋានលើ Chromium ជឿទុកចិត្តលើវិញ្ញាបនបត្រព្យាបាទដោយស្វ័យប្រវត្តិ។
• ទោះយ៉ាងណា Firefox ទាមទារការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធបន្ថែមដោយមេរោគ ដើម្បីជៀសវាងការរកឃើញ។

ApolloShadow ក៏ធានាការចូលប្រើរយៈពេលវែងដោយបង្កើតគណនីអ្នកប្រើប្រាស់រដ្ឋបាលជាប់លាប់ដែលមានឈ្មោះថា 'UpdatusUser' ដែលប្រើពាក្យសម្ងាត់រឹង និងមិនផុតកំណត់។

ការជ្រៀតចូលជ្រៅ៖ អ្វីដែល ApolloShadow បើក

ApolloShadow ត្រូវ​បាន​គេ​សង្ស័យ​ថា​អាច​បើក​ការ​វាយ​ប្រហារ​ដក TLS/SSL។ ការវាយប្រហារទាំងនេះបង្ខំឱ្យកម្មវិធីរុករកតាមអ៊ីនធឺណិតភ្ជាប់ដោយគ្មានការអ៊ិនគ្រីបសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យមេរោគត្រួតពិនិត្យសកម្មភាពរុករក និងអាចប្រមូលព័ត៌មានរសើបដូចជា សញ្ញាសម្ងាត់ចូល និងព័ត៌មានសម្ងាត់។

ការបំបាំងកាយ និងការជាប់លាប់របស់មេរោគ ធ្វើឱ្យវាមានគ្រោះថ្នាក់ពិសេស។ សមត្ថភាពរបស់វាក្នុងការនៅតែមិនអាចរកឃើញ ខណៈពេលដែលការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ និងការផ្តល់នូវការចូលប្រើពីចម្ងាយ បញ្ជាក់ពីតម្លៃរបស់វានៅក្នុងប្រតិបត្តិការអ៊ីនធឺណេតដែលឧបត្ថម្ភដោយរដ្ឋ។

ឧបករណ៍នៃការបោកបញ្ឆោត៖ វិស្វកម្មសង្គម និងមេរោគឆ្លង

យុទ្ធនាការ ApolloShadow រួមបញ្ចូលគ្នានូវឧបាយកលបច្ចេកទេសជាមួយវិស្វកម្មសង្គម។ ជនរងគ្រោះមិនត្រឹមតែត្រូវបានបញ្ជូនបន្ត និងរៀបចំតាមរយៈការវាយប្រហារកម្រិតបណ្តាញប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងត្រូវបានកំណត់គោលដៅជាមួយនឹងការបញ្ឆោតដែលជំរុញឱ្យពួកគេដំឡើងវិញ្ញាបនបត្រព្យាបាទក្រោមការក្លែងបន្លំនៃកម្មវិធីដែលអាចទុកចិត្តបាន។

ខណៈពេលដែលយុទ្ធនាការ ApolloShadow ពឹងផ្អែកជាចម្បងលើការស្ទាក់ចាប់កម្រិត ISP និងវិស្វកម្មសង្គម វ៉ិចទ័រឆ្លងអាចពង្រីកតាមរយៈវិធីសាស្ត្រចែកចាយមេរោគធម្មតា។

វិធីសាស្រ្តចែកចាយមេរោគទូទៅ ៖

ល្បិចបោកបញ្ឆោត៖

• សារបន្លំ (អ៊ីមែល សារឯកជន ការបង្ហោះប្រព័ន្ធផ្សព្វផ្សាយសង្គម)។
• តំណភ្ជាប់ព្យាបាទ ឬឯកសារភ្ជាប់។
• ការក្លែងបន្លំការធ្វើបច្ចុប្បន្នភាពកម្មវិធីឬកម្មវិធីដំឡើង។

ប្រភពទាញយកមិនមានសុវត្ថិភាព៖

• គេហទំព័រមិនផ្លូវការ។
• សេវាបង្ហោះឯកសារឥតគិតថ្លៃ។
• វេទិកាចែករំលែក Peer-to-Peer (P2P) ។

លើសពីនេះទៀត មេរោគមួយចំនួន រួមទាំងឧបករណ៍កម្រិតខ្ពស់ដូចជា ApolloShadow អាចផ្សព្វផ្សាយតាមរយៈបណ្តាញមូលដ្ឋាន ឬរីករាលដាលដោយប្រើឧបករណ៍ផ្ទុកដែលអាចដកចេញបានដូចជា USB drives ឬ hard disk ខាងក្រៅ។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងផ្នែកចារកម្មដ៏ធ្ងន់ធ្ងរ

ApolloShadow តំណាងឱ្យការគំរាមកំហែងផ្នែកចារកម្មតាមអ៊ីនធឺណិតយ៉ាងធ្ងន់ធ្ងរជាមួយនឹងការលើកទឹកចិត្តភូមិសាស្ត្រនយោបាយខ្លាំង។ តាមរយៈការប្រើប្រាស់ម៉ាកយីហោដែលអាចទុកចិត្តបាន ការវាយប្រហារកម្រិតបណ្តាញបោកបញ្ឆោត និងវិធីសាស្ត្រចូលប្រើប្រាស់ជាប់លាប់ នោះ Secret Blizzard បានបង្កើតឧបករណ៍ដ៏មានអានុភាពសម្រាប់ការប្រមូលព័ត៌មានសម្ងាត់។ អង្គការដែលកំពុងប្រតិបត្តិការនៅក្នុងតំបន់ ឬជិតតំបន់នៃឥទ្ធិពលរបស់រុស្ស៊ី ជាពិសេសអ្នកដែលពឹងផ្អែកលើ ISP ក្នុងស្រុក ត្រូវតែទទួលយកពិធីសារសុវត្ថិភាពកម្រិតខ្ពស់ដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងវិវត្តនេះ។