កម្មវិធីបង្កើត BankGhost

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញការផ្សាយពាណិជ្ជកម្មដែលមានមូលដ្ឋានលើ Telegram ដែលផ្សព្វផ្សាយ 'BankGhost Builder' ដែលជាវេទិកាបង្កើតមេរោគដ៏ទំនើបមួយដែលត្រូវបានរចនាឡើងដើម្បីបង្កើតមេរោគ Trojan ធនាគារជាមួយនឹង Command-and-Control (C2) រួមបញ្ចូលគ្នា យន្តការចែកចាយ phishing និងសមត្ថភាពផ្តោតលើការក្លែងបន្លំ។ Builder នេះត្រូវបានគេរាយការណ៍ថាកំពុងត្រូវបានចែកចាយតាមរយៈសហគមន៍ Telegram ក្រោមដី ដែលពង្រឹងការព្រួយបារម្ភអំពីការពង្រីកយ៉ាងឆាប់រហ័សនៃប្រតិបត្តិការ Malware-as-a-Service (MaaS)។

ក្របខ័ណ្ឌមេរោគនេះកំពុងត្រូវបានធ្វើទីផ្សារដោយក្រុមគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយ Telegram ដែលគេស្គាល់ថាជាក្រុមបំផ្លាញហេដ្ឋារចនាសម្ព័ន្ធ (IDS) ដែលក៏ត្រូវបានតាមដានថាជា Dark Engine ផងដែរ។ ការផ្សព្វផ្សាយរបស់វានៅក្នុងប្រព័ន្ធអេកូឡូស៊ីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងយ៉ាងសកម្មក្នុងការធ្វើពាណិជ្ជកម្មការអភិវឌ្ឍមេរោគកម្រិតខ្ពស់ និងធ្វើឱ្យឧក្រិដ្ឋកម្មហិរញ្ញវត្ថុតាមអ៊ីនធឺណិតអាចចូលដំណើរការបានកាន់តែងាយស្រួលសម្រាប់តួអង្គដែលមានជំនាញបច្ចេកទេសតិចតួច។

ក្រុមបំផ្លាញហេដ្ឋារចនាសម្ព័ន្ធពង្រីកឥទ្ធិពលក្រោមដី

ក្រុមបំផ្លាញហេដ្ឋារចនាសម្ព័ន្ធបានលេចចេញជារូបរាងយ៉ាងលេចធ្លោនៅចុងឆ្នាំ ២០២៥ ហើយបានបន្តជាប់ចំណាត់ថ្នាក់ក្នុងចំណោមការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏គួរឱ្យព្រួយបារម្ភបំផុតពេញមួយឆ្នាំ ២០២៦។ មិនដូចក្រុម hacktivist គាំទ្ររុស្ស៊ីជាច្រើនដែលពឹងផ្អែកជាចម្បងលើការវាយប្រហារ Distributed Denial-of-Service (DDoS) ដែលរំខាននោះទេ IDS ទទួលបានការចាប់អារម្មណ៍ចំពោះការឈ្លានពានដែលពាក់ព័ន្ធនឹងប្រព័ន្ធត្រួតពិនិត្យឧស្សាហកម្ម (ICS) និងបរិស្ថាន SCADA។

ក្រុមនេះក៏ត្រូវបានផ្សារភ្ជាប់ទៅនឹងសកម្មភាពក្រោមដីដែលពាក់ព័ន្ធនឹងការផ្សព្វផ្សាយឧបករណ៍លួចចូលប្រព័ន្ធដែលវាយប្រហារ និងការបោះពុម្ពផ្សាយទិន្នន័យដែលត្រូវបានគេលួច និងការលេចធ្លាយព័ត៌មាន។ ដោយមានអ្នកជាវ Telegram លើសពី 1,600 នាក់ ក្រុមនេះកំពុងរួមចំណែកដល់ការរីករាលដាលយ៉ាងឆាប់រហ័សនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏ទំនើប ដោយធ្វើឱ្យការចូលប្រើសមត្ថភាពវាយប្រហារកម្រិតខ្ពស់មានភាពសាមញ្ញ។

BankGhost Builder រួមបញ្ចូលគ្នានូវការដាក់ពង្រាយមេរោគ និងប្រតិបត្តិការក្លែងបន្លំ

BankGhost Builder ត្រូវបានផ្សព្វផ្សាយថាជាក្របខ័ណ្ឌមេរោគធនាគារដ៏ទូលំទូលាយមួយដែលមានសមត្ថភាពគាំទ្រដល់វដ្តជីវិតនៃការវាយប្រហារតាមអ៊ីនធឺណិតទាំងមូល។ យោងតាមសម្ភារៈផ្សព្វផ្សាយ វេទិកានេះផ្តល់ការគាំទ្រដល់ស្ថាប័នធនាគារជាង 700 ដែលលាតសន្ធឹងលើប្រទេសឥណ្ឌា អាមេរិកខាងជើង អឺរ៉ុប និងតំបន់អាស៊ីប៉ាស៊ីហ្វិក។

កម្មវិធីបង្កើតនេះរួមបញ្ចូលការបង្កើត payload ហេដ្ឋារចនាសម្ព័ន្ធ phishing ការដាក់ពង្រាយ C2 និងការប្រតិបត្តិក្លែងបន្លំទៅក្នុងប្រព័ន្ធអេកូឡូស៊ីតែមួយ។ សំណុំលក្ខណៈពិសេសរបស់វាត្រូវបានគេរាយការណ៍ថារួមមានការអ៊ិនគ្រីបពហុរូបភាព ការក្លែងបន្លំដំណើរការ និងបច្ចេកទេសចាក់ payload ដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញដោយឧបករណ៍សុវត្ថិភាពបែបប្រពៃណី។ លើសពីនេះ មេរោគនេះគាំទ្របណ្តាញទំនាក់ទំនងច្រើន រួមទាំងពិធីការ HTTPS, DNS-over-HTTPS, Tor និង WebSocket។

វេទិកានេះក៏មានមុខងារបើកដំណើរការក្លែងបន្លំដោយផ្ទាល់ដូចជាការប្រមូលផលព័ត៌មានសម្ងាត់ ការលួចចូលវគ្គ ការចាក់បញ្ចូលគេហទំព័រ និងបច្ចេកទេសដែលមានបំណងរំលងការការពារការផ្ទៀងផ្ទាត់ពីរកត្តា។ សមត្ថភាពទាំងនេះស្រដៀងគ្នាទៅនឹងសមត្ថភាពដែលទាក់ទងនឹងមេរោគធនាគារល្បីៗរួមមាន Zeus, Dridex និង TrickBot ប៉ុន្តែឥឡូវនេះត្រូវបានវេចខ្ចប់ទៅជាទម្រង់ builder ដែលងាយស្រួលដាក់ពង្រាយជាងមុន។

ឧបសគ្គ​ទាប​ចំពោះ​ការ​ចូល​រួម​បង្កើន​ហានិភ័យ​វិស័យ​ហិរញ្ញវត្ថុ

ការលេចចេញនូវ BankGhost Builder ឆ្លុះបញ្ចាំងពីឧស្សាហូបនីយកម្មជាបន្តបន្ទាប់នៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដែលសមត្ថភាពវាយលុកកម្រិតខ្ពស់ត្រូវបានវេចខ្ចប់ ធ្វើទីផ្សារ និងចែកចាយក្នុងទ្រង់ទ្រាយធំ។ ស្ថាបត្យកម្មម៉ូឌុល និងការបង្កើតបន្ទុកដែលអាចប្ដូរតាមបំណងរបស់វា កាត់បន្ថយការពឹងផ្អែកលើសូចនាករឋិតិវន្តនៃការសម្របសម្រួល ដែលធ្វើឱ្យស្មុគស្មាញដល់ការកំណត់អត្តសញ្ញាណ និងការខិតខំប្រឹងប្រែងរកឃើញសម្រាប់អ្នកការពារ។

អ្នកវិភាគសន្តិសុខព្រមានថា ការអាចរកបានយ៉ាងទូលំទូលាយនៃឧបករណ៍បែបនេះទំនងជាបង្កើនល្បឿននិន្នាការគំរាមកំហែងសំខាន់ៗមួយចំនួន រួមមាន៖

យុទ្ធនាការ​មេរោគ​ដែល​ជំរុញ​ដោយ​ការ​បន្លំ​កាន់តែ​កើនឡើង​ដែល​ផ្តោត​លើ​អតិថិជន និង​បុគ្គលិក​ធនាគារ
ឧប្បត្តិហេតុ​នៃ​ការ​គ្រប់គ្រង​គណនី (ATO) កាន់តែ​កើនឡើង និង​ប្រតិបត្តិការ​ក្លែងបន្លំ​ក្នុង​ស្រុក​កាន់តែ​ទំនើប

ការវិវឌ្ឍទាំងនេះអាចពង្រីកវិសាលភាពប្រតិបត្តិការរបស់ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតយ៉ាងសំខាន់ ដែលពីមុនខ្វះជំនាញដើម្បីធ្វើការវាយប្រហារធនាគារកម្រិតខ្ពស់ដោយឯករាជ្យ។

ស្ថាប័នហិរញ្ញវត្ថុត្រូវបានជំរុញឱ្យពង្រឹងយុទ្ធសាស្ត្រការពារ

ដើម្បីកាត់បន្ថយការគំរាមកំហែងកាន់តែខ្លាំងឡើងដែលបង្កឡើងដោយកម្មវិធីបង្កើតមេរោគធនាគារកម្រិតខ្ពស់ ស្ថាប័នហិរញ្ញវត្ថុត្រូវបានលើកទឹកចិត្តឱ្យអនុម័តយុទ្ធសាស្ត្រសុវត្ថិភាពដែលជំរុញដោយភាពវៃឆ្លាត និងផ្តោតលើឥរិយាបថ។ វិធានការការពារដែលបានណែនាំរួមមាន៖

• តាមដានការប្រតិបត្តិដំណើរការមិនប្រក្រតី ការរៀបចំក្ដារតម្បៀតខ្ទាស់ និងឥរិយាបថថតអេក្រង់តាមរយៈការវិភាគអាកប្បកិរិយា
• ការរកឃើញគំរូចរាចរណ៍ដែលបានអ៊ិនគ្រីបគួរឱ្យសង្ស័យ រួមទាំងការទំនាក់ទំនង DNS-over-HTTPS និងការភ្ជាប់ Tor
• ការអនុវត្តការគ្រប់គ្រងសុវត្ថិភាពអ៊ីមែលយ៉ាងតឹងរ៉ឹង ដូចជាការ sandboxing ឯកសារភ្ជាប់ និងការរឹតបន្តឹងលើប្រភេទឯកសារដែលមានហានិភ័យខ្ពស់ រួមទាំងឯកសារ MSI, DLL និង EXE
• ការបង្កើនប្រសិទ្ធភាពកម្មវិធីបង្ការការក្លែងបន្លំតាមរយៈការស្កេនស្នាមម្រាមដៃលើឧបករណ៍ ការរកឃើញភាពមិនប្រក្រតីនៃប្រតិបត្តិការ និងការត្រួតពិនិត្យអាកប្បកិរិយាកម្រិតខ្ពស់

យុទ្ធសាស្ត្រការពារជាតិដែលមានភាពសកម្ម និងជាស្រទាប់ៗនៅតែមានសារៈសំខាន់ ខណៈដែលសហគមន៍ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតក្រោមដីបន្តពន្លឿនការទទួលយក និងការចែកចាយវេទិកាមេរោគទំនើបៗដូចជា BankGhost Builder។