មេរោគ BEARDSHELL
ក្រុមឆ្លើយតបគ្រោះអាសន្នកុំព្យូទ័រនៃអ៊ុយក្រែន (CERT-UA) បានចេញការព្រមានអំពីយុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណិតថ្មីដែលរៀបចំដោយ APT28 ដែលជាក្រុមគំរាមកំហែងដែលភ្ជាប់ទៅនឹងប្រទេសរុស្ស៊ី និងត្រូវបានគេស្គាល់ថា UAC-0001 ។ ប្រតិបត្តិការនេះប្រើប្រាស់សារជជែក Signal ដើម្បីចែកចាយក្រុមគ្រួសារមេរោគដែលបានកំណត់អត្តសញ្ញាណថ្មីចំនួនពីរ ដែលត្រូវបានតាមដានជា BEARDSHELL និង COVENANT ដែលបង្ហាញពីការវិវត្តគួរឱ្យកត់សម្គាល់នៅក្នុងយុទ្ធសាស្ត្ររបស់ក្រុម។
តារាងមាតិកា
BEARDSHELL និង SLIMAGENT៖ ជា Duo ដ៏គ្រោះថ្នាក់
BEARDSHELL ដែលត្រូវបានបង្កើតឡើងនៅក្នុង C++ ត្រូវបានរកឃើញដំបូងនៅចន្លោះខែមីនា និងខែមេសា ឆ្នាំ 2024 ដែលត្រូវបានដាក់ពង្រាយនៅលើប្រព័ន្ធ Windows រួមជាមួយនឹងឧបករណ៍ចាប់យករូបភាពអេក្រង់ដែលមានឈ្មោះថា SLImagent ។ សមត្ថភាពរបស់ BEARDSHELL រួមមានការប្រតិបត្តិស្គ្រីប PowerShell និងការបង្ហោះលទ្ធផលលទ្ធផលទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយដោយប្រើ Icedrive API ។
នៅពេលរកឃើញដំបូង CERT-UA ខ្វះភាពច្បាស់លាស់អំពីរបៀបដែលមេរោគបានជ្រៀតចូលប្រព័ន្ធ។ ទោះជាយ៉ាងណាក៏ដោយ ការរកឃើញថ្មីៗដែលបង្កឡើងដោយការចូលប្រើគណនីអ៊ីមែល 'gov.ua' ដែលគ្មានការអនុញ្ញាត បានបង្ហាញវ៉ិចទ័រវាយប្រហារដំបូងដែលប្រើក្នុងឧប្បត្តិហេតុឆ្នាំ 2024 ។ ការស៊ើបអង្កេតកាន់តែស៊ីជម្រៅនេះបានបញ្ជាក់ពីការដាក់ពង្រាយទាំង BEARDSHELL និងក្របខ័ណ្ឌមេរោគដែលគេស្គាល់ថា COVENANT។
ខ្សែសង្វាក់ឆ្លងមេរោគ៖ ឯកសារ Macro-Laced និងបន្ទុក DLL
ការវាយប្រហារចាប់ផ្តើមដោយសារ Signal ដែលមានឯកសារ Microsoft Word អាក្រក់ដែលមានចំណងជើងថា 'Акт.doc.' ឯកសារនេះរួមបញ្ចូលម៉ាក្រូដែលបានបង្កប់ ដែលនៅពេលដែលបានធ្វើឱ្យសកម្ម ផ្តល់នូវសមាសភាគពីរ៖
- DLL ព្យាបាទ៖ ctec.dll
- រូបភាព PNG ក្លែងបន្លំ៖ windows.png
បន្ទាប់មកម៉ាក្រូធ្វើការផ្លាស់ប្តូរទៅ Windows Registry ដើម្បីធានាថា DLL ដំណើរការនៅពេលដែល explorer.exe ត្រូវបានដាក់ឱ្យដំណើរការបន្ទាប់។ DLL នេះអានកូដសែលដែលលាក់នៅក្នុងរូបភាព PNG ហើយបង្ករឱ្យដំណើរការកម្មវិធីមេរោគ COVENANT ដែលស្ថិតនៅក្នុងអង្គចងចាំ។
បន្ទាប់ពីការធ្វើឱ្យសកម្ម COVIENANT បន្តទាញយក និងប្រតិបត្តិការផ្ទុកកម្រិតមធ្យមចំនួនពីរ ដែលនៅទីបំផុតបានដំឡើង BEARDSHELL backdoor ដោយផ្តល់ការគ្រប់គ្រងជាប់រហូតលើប្រព័ន្ធដែលមានមេរោគ។
កតិកាសញ្ញា៖ ក្របខ័ណ្ឌកម្មវិធីមេរោគដ៏ទំនើបនៅក្នុងសកម្មភាព
ក្របខ័ណ្ឌកតិកាសញ្ញាដើរតួនាទីសំខាន់ក្នុងប្រតិបត្តិការនេះ ដោយដើរតួជាមជ្ឈមណ្ឌលប្រតិបត្តិសម្រាប់មេរោគបន្ថែម។ ការរចនាម៉ូឌុលរបស់វាអនុញ្ញាតឱ្យដាក់ពង្រាយបន្ទុកដែលអាចបត់បែនបាន ក្នុងករណីនេះនាំដោយផ្ទាល់ដល់ការប្រតិបត្តិរបស់ BEARDSHELL ។ ក្របខណ្ឌនៃការចងចាំនេះគេចវេសពីយន្តការរាវរកបែបប្រពៃណី ដែលធ្វើឱ្យវាមានគ្រោះថ្នាក់ជាពិសេសសម្រាប់បរិស្ថានគោលដៅ។
អនុសាសន៍តាមដាន និងកាត់បន្ថយ
ដើម្បីកាត់បន្ថយការប៉ះពាល់នឹងយុទ្ធនាការនេះ CERT-UA ផ្តល់ដំបូន្មានដល់បណ្តាញរដ្ឋាភិបាល និងសហគ្រាសដើម្បីតាមដានចរាចរណ៍ដែលពាក់ព័ន្ធជាមួយដែនដូចខាងក្រោម៖
- app.koofr.net
- api.icedrive.net
ការប្រុងប្រយ័ត្នចំពោះការតភ្ជាប់ខាងក្រៅទៅកាន់ដែនទាំងនេះអាចជួយរកឃើញសញ្ញាដំបូងនៃការសម្របសម្រួល។
សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងជាប់លាប់ និងវិវត្តន៍
APT28 បន្តកែលម្អបច្ចេកទេសវាយប្រហាររបស់ខ្លួន ដោយបញ្ចូលវេទិកាផ្ញើសារទំនើបដូចជា Signal និងរួមបញ្ចូលគ្នាជាមួយភាពងាយរងគ្រោះនៃប្រព័ន្ធចាស់។ វិធីសាស្រ្តទ្វេរដងនេះ ដោយប្រើទាំងមេរោគដែលបានបង្កើតថ្មី និងការកេងប្រវ័ញ្ចដែលគេស្គាល់ គូសបញ្ជាក់អំពីភាពស្ថិតស្ថេររបស់ក្រុម និងសារៈសំខាន់នៃការការពារសន្តិសុខតាមអ៊ីនធឺណិតជាស្រទាប់។ អង្គការ ជាពិសេសទីភ្នាក់ងាររដ្ឋាភិបាល ត្រូវតែប្រុងប្រយ័ត្ន និងតាមដានយ៉ាងសកម្មនូវចរាចរណ៍បណ្តាញសម្រាប់សូចនាករនៃការសម្របសម្រួល។
