CAPI Backdoor
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការមេរោគថ្មីមួយដែលផ្តោតលើវិស័យរថយន្ត និងពាណិជ្ជកម្មអេឡិចត្រូនិករបស់រុស្ស៊ី។ ការវាយប្រហារនេះប្រើប្រាស់មេរោគ .NET ដែលមិនមានឯកសារពីមុន ដែលឥឡូវនេះត្រូវបានកំណត់ថាជា CAPI Backdoor ដែលបង្ហាញពីបច្ចេកទេសកម្រិតខ្ពស់នៃការគេចវេស និងការលួចទិន្នន័យ។
តារាងមាតិកា
វ៉ិចទ័រឆ្លងមេរោគ៖ ការបន្លំ និងបណ្ណសារហ្ស៊ីប
ខ្សែសង្វាក់នៃការឆ្លងចាប់ផ្តើមដោយអ៊ីម៉ែលបន្លំដែលមានប័ណ្ណសារហ្ស៊ីប។ ការវិភាគវត្ថុបុរាណ ZIP ចុះថ្ងៃទី 3 ខែតុលា ឆ្នាំ 2025 បានបង្ហាញឯកសារជាភាសារុស្សីក្លែងក្លាយ ដែលបង្ហាញពីការជូនដំណឹងទាក់ទងនឹងច្បាប់ពន្ធលើប្រាក់ចំណូល។ ការភ្ជាប់មកជាមួយឯកសារនេះគឺជាឯកសារផ្លូវកាត់វីនដូ (LNK) ដែលមានឈ្មោះដូចគ្នានឹងប័ណ្ណសារ៖ Перерасчет заработной платы 01.10.2025 ។
ឯកសារ LNK នេះដំណើរការ DLL backdoor (adobe.dll) តាមរយៈប្រព័ន្ធគោលពីររបស់ Microsoft ស្របច្បាប់ rundll32.exe ដោយប្រើប្រាស់បច្ចេកទេសរស់នៅក្រៅដី (LotL) ដែលប្រើជាទូទៅដោយតួអង្គគំរាមកំហែងស្មុគ្រស្មាញ។
សមត្ថភាព Backdoor៖ ការលួចទិន្នន័យ និងការលួចទិន្នន័យ
នៅពេលដែលត្រូវបានប្រតិបត្តិ CAPI Backdoor ធ្វើកិច្ចការជាច្រើនខណៈពេលដែលរក្សាការបំបាំងកាយ៖
- ពិនិត្យមើលសិទ្ធិអ្នកគ្រប់គ្រង
- ប្រមូលផ្តុំបញ្ជីផលិតផលកំចាត់មេរោគដែលបានដំឡើង
- បើកឯកសារបញ្ឆោតជាការរំខាន
- ភ្ជាប់ទៅម៉ាស៊ីនមេពីចម្ងាយ (91.223.75[.]96) ដើម្បីទទួលបានពាក្យបញ្ជាបន្ថែម
ពាក្យបញ្ជាដែលទទួលបានអនុញ្ញាតឱ្យមេរោគទៅកាន់៖
- លួចព័ត៌មានសម្ងាត់ និងទិន្នន័យពីកម្មវិធីរុករកតាមអ៊ីនធឺណិតដូចជា Google Chrome, Microsoft Edge និង Mozilla Firefox
- ចាប់យករូបថតអេក្រង់
- ប្រមូលព័ត៌មានប្រព័ន្ធ
- រាយបញ្ជីមាតិកាថតឯកសារ និងច្រានពួកវាទៅម៉ាស៊ីនមេពីចម្ងាយ
យន្តការគេចវេះ និងការតស៊ូ
CAPI Backdoor ប្រើការត្រួតពិនិត្យជាច្រើនដើម្បីកំណត់ថាតើវាកំពុងដំណើរការនៅក្នុងបរិយាកាសនិម្មិត ឬនៅលើម៉ាស៊ីនពិត។ សម្រាប់ការតស៊ូ វាប្រើវិធីពីរយ៉ាង៖
- ការបង្កើតកិច្ចការដែលបានគ្រោងទុក
ការកំណត់គោលដៅ និងសូចនាករ
អ្នកជំនាញភ្ជាប់យុទ្ធនាការនេះទៅនឹងវិស័យរថយន្តរុស្ស៊ី ដោយសារការប្រើប្រាស់ដែន carprlce.ru ដែលទំនងជាក្លែងបន្លំជា carprice.ru ស្របច្បាប់។
មេរោគខ្លួនវាគឺជា .NET DLL ដែលត្រូវបានរចនាឡើងជាចម្បងជាអ្នកលួច បង្កើតការតស៊ូសម្រាប់ប្រតិបត្តិការព្យាបាទជាបន្ត ខណៈពេលដែលការទាញយកព័ត៌មានរសើប។
