មេរោគ Trojan ធនាគារ Blackmoon

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការឈ្លានពានពហុដំណាក់កាលដ៏សកម្មមួយ ដែលមានគោលបំណងវាយប្រហារបុគ្គល និងអង្គការឥណ្ឌា។ ប្រតិបត្តិការនេះហាក់ដូចជាចារកម្មតាមអ៊ីនធឺណិត ហើយពឹងផ្អែកលើក្របខ័ណ្ឌទ្វារក្រោយដែលមានស្រទាប់ជាច្រើន ដើម្បីទទួលបានសិទ្ធិចូលប្រើរយៈពេលវែង និងសម្ងាត់ទៅកាន់ប្រព័ន្ធដែលរងការសម្របសម្រួល។

ការបន្លំជាវ៉ិចទ័រនៃការឆ្លងមេរោគដំបូង

យុទ្ធនាការនេះចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំបន្លំដែលក្លែងបន្លំជាការឆ្លើយឆ្លងផ្លូវការពីនាយកដ្ឋានពន្ធលើប្រាក់ចំណូលរបស់ប្រទេសឥណ្ឌា។ សារទាំងនេះទាក់ទាញអ្នកទទួលឱ្យទាញយកបណ្ណសារ ZIP ក្រោមលេសនៃការជូនដំណឹងអំពីការពិន័យពន្ធ។ នៅពេលដែលបើក បណ្ណសារនឹងចាប់ផ្តើមខ្សែសង្វាក់នៃការឆ្លងមេរោគ ដែលនៅទីបំផុតអាចឱ្យមានការតាមដានជាប់លាប់ និងការលួចទិន្នន័យ។

បណ្ណសារអាវុធ និងការប្រតិបត្តិដោយលួចលាក់

ឯកសារ ZIP ដែលបានបញ្ជូនមានសមាសធាតុចំនួនប្រាំ ដែលទាំងអស់ត្រូវបានលាក់លើកលែងតែឯកសារដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា 'Inspection Document Review.exe'។ ឯកសារនេះត្រូវបានគេរំលោភបំពានដើម្បីផ្ទុកបណ្ណាល័យតំណភ្ជាប់ថាមវន្តដែលមានគំនិតអាក្រក់ដែលបានបង្កប់នៅក្នុងប័ណ្ណសារ។ DLL ក្លែងក្លាយអនុវត្តការត្រួតពិនិត្យការគេចវេសពី debugger ហើយទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យពីចម្ងាយដើម្បីទាញយក payload ដំណាក់កាលបន្ទាប់។

ការកើនឡើងសិទ្ធិ និងការក្លែងបន្លំដំណើរការ

លេខកូដសែលដែលបានទាញយកប្រើប្រាស់បច្ចេកទេសដែលមានមូលដ្ឋានលើ COM ដើម្បីរំលងការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC) ដោយផ្តល់សិទ្ធិខ្ពស់។ បន្ទាប់មកវាផ្លាស់ប្តូរប្លុកបរិស្ថានដំណើរការ (PEB) របស់វាដើម្បីធ្វើត្រាប់តាមដំណើរការ Windows explorer.exe ស្របច្បាប់ ដោយកាត់បន្ថយលទ្ធភាពនៃការរកឃើញដោយឧបករណ៍សុវត្ថិភាព និងអ្នកវិភាគ។

ការដឹកជញ្ជូនបន្ទុកដែលអាចសម្របខ្លួនបាន

ដំណាក់កាលបន្ទាប់ '180.exe' ត្រូវបានទាញយកពីដែន eaxwwyr[.]cn។ ឯកសារនេះគឺជាកម្មវិធីដំឡើង Inno Setup 32 ប៊ីត ដែលកែប្រែលំហូរប្រតិបត្តិការរបស់វាអាស្រ័យលើថាតើកម្មវិធីសុវត្ថិភាពជាក់លាក់មានវត្តមាននៅលើម៉ាស៊ីនដែលឆ្លងមេរោគឬអត់ ដែលអនុញ្ញាតឱ្យមេរោគកែសម្រួលយុទ្ធសាស្ត្រគេចវេសរបស់វាដោយថាមវន្ត។

ការគេចវេសកម្មវិធីសុវត្ថិភាព និងការតភ្ជាប់ Blackmoon

នៅពេលដែលកម្មវិធីការពារត្រូវបានរកឃើញ មេរោគនឹងជៀសវាងការធ្វើឱ្យអសកម្មដោយផ្ទាល់។ ផ្ទុយទៅវិញ វាធ្វើត្រាប់តាមចលនាកណ្ដុរដើម្បីរុករកចំណុចប្រទាក់សុវត្ថិភាព ហើយបន្ថែមសមាសធាតុព្យាបាទទៅក្នុងបញ្ជីដកចេញដោយស្ងាត់ៗ។ សកម្មភាពនេះត្រូវបានសម្របសម្រួលដោយ DLL ដែលត្រូវបានវាយតម្លៃថាជាវ៉ារ្យ៉ង់នៃក្រុមគ្រួសារមេរោគ Blackmoon (KRBanker) ដែលជាប់ទាក់ទងជាប្រវត្តិសាស្ត្រជាមួយនឹងការវាយប្រហារលើអាជីវកម្មនៅក្នុងប្រទេសកូរ៉េខាងត្បូង សហរដ្ឋអាមេរិក និងកាណាដាចាប់តាំងពីការលេចចេញជារូបរាងនៅឆ្នាំ 2015។

ការរំលោភបំពានឧបករណ៍សហគ្រាសស្របច្បាប់

ឯកសារមួយក្នុងចំណោមឯកសារដែលបានបន្ថែមទៅក្នុងបញ្ជីដកចេញគឺ 'Setup.exe' ដែលជាឧបករណ៍ប្រើប្រាស់ស្របច្បាប់មួយពីក្រុមហ៊ុន SyncFutureTec Company Limited។ កម្មវិធីនេះលុបចោល 'mysetup.exe' ដែលត្រូវបានកំណត់ថាជា SyncFuture TSM (Terminal Security Management) ដែលជាដំណោះស្រាយត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយសម្រាប់ពាណិជ្ជកម្ម ដែលបង្កើតឡើងដោយក្រុមហ៊ុន Nanjing Zhongke Huasai Technology Co., Ltd.។ ទោះបីជាត្រូវបានរចនាឡើងសម្រាប់ការគ្រប់គ្រងសហគ្រាសក៏ដោយ វាត្រូវបានប្រើឡើងវិញនៅក្នុងយុទ្ធនាការនេះជាវេទិកាចារកម្មដ៏ទូលំទូលាយមួយ។

សមាសធាតុជំនួយ និងការរៀបចំប្រព័ន្ធ

បន្ទាប់ពីការដាក់ពង្រាយ ធាតុបន្ថែមត្រូវបានដំឡើងដើម្បីរៀបចំ និងគ្រប់គ្រងបរិស្ថាន៖

• ស្គ្រីបជាបាច់ដែលបង្កើតថតឯកសារផ្ទាល់ខ្លួន កែប្រែបញ្ជីគ្រប់គ្រងការចូលប្រើ ផ្លាស់ប្តូរការអនុញ្ញាតផ្ទៃតុ និងអនុវត្តភារកិច្ចសម្អាត និងស្តារឡើងវិញ។
• ឯកសារដែលអាចប្រតិបត្តិបានរបស់ orchestrator គឺ 'MANC.exe' ដែលសម្របសម្រួលសេវាកម្ម និងអនុញ្ញាតឱ្យមានការកត់ត្រាសកម្មភាពយ៉ាងទូលំទូលាយ។

ផលប៉ះពាល់ប្រតិបត្តិការ និងសារៈសំខាន់ជាយុទ្ធសាស្ត្រ

តាមរយៈការរំលោភបំពានឧបករណ៍សហគ្រាសស្របច្បាប់រួមជាមួយនឹងមេរោគផ្ទាល់ខ្លួន ប្រតិបត្តិករទទួលបានការគ្រប់គ្រងពីចម្ងាយលើចំណុចបញ្ចប់ដែលឆ្លងមេរោគ ភាពមើលឃើញជាបន្តបន្ទាប់ទៅលើសកម្មភាពរបស់អ្នកប្រើប្រាស់ និងយន្តការកណ្តាលសម្រាប់ការលួចយកទិន្នន័យរសើប។ ការប្រើប្រាស់ DLL sideloading ការកើនឡើងសិទ្ធិ ការប្រើប្រាស់ឧបករណ៍ពាណិជ្ជកម្មឡើងវិញ វិធានការប្រឆាំងការវិភាគ និងការគេចវេសកម្មវិធីសុវត្ថិភាពឆ្លុះបញ្ចាំងពីកម្រិតខ្ពស់នៃភាពចាស់ទុំខាងបច្ចេកទេស និងចេតនាច្បាស់លាស់ក្នុងការរក្សាការគ្រប់គ្រងជាប់លាប់ និងលម្អិតលើប្រព័ន្ធដែលរងការសម្របសម្រួល។