មេរោគ CastleLoader
នៅក្នុងទិដ្ឋភាពដែលមិនធ្លាប់មាននៃការគំរាមកំហែងតាមអ៊ីនធឺណិត កម្មវិធីផ្ទុកមេរោគថ្មីមួយដែលមានឈ្មោះថា CastleLoader បានលេចចេញជាឧបករណ៍ដ៏សំខាន់នៅក្នុងឃ្លាំងអាវុធរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ បានរកឃើញជាលើកដំបូងនៅដើមឆ្នាំ 2025 CastleLoader បានទទួលការទាក់ទាញយ៉ាងឆាប់រហ័សដោយសារតែម៉ូឌុលរបស់វា យុទ្ធសាស្ត្រគេចវេសន៍កម្រិតខ្ពស់ និងការសម្របខ្លួន។ អ្នកស្រាវជ្រាវបានសង្កេតមើលតួនាទីរបស់វានៅក្នុងយុទ្ធនាការជាច្រើនដែលដាក់ពង្រាយអ្នកលួចព័ត៌មាន និង Trojans ពីចម្ងាយ (RATs) ដែលធ្វើឱ្យវាក្លាយជាការព្រួយបារម្ភកាន់តែខ្លាំងឡើងនៅក្នុងប្រព័ន្ធអេកូឡូស៊ី malware-as-a-service (MaaS) ។
តារាងមាតិកា
ភាពសម្បូរបែបក្នុងសកម្មភាព៖ ឧបករណ៍ចែកចាយដ៏មានឥទ្ធិពល
CastleLoader ត្រូវបានគេប្រើដើម្បីផ្តល់នូវជួរដ៏ធំទូលាយនៃបន្ទុកព្យាបាទ រួមមាន៖
- អ្នកលួចព័ត៌មាន៖ DeerStealer, RedLine, StealC
- Trojans ការចូលប្រើពីចម្ងាយ (RATs): NetSupport RAT, SectopRAT
រចនាសម្ព័នម៉ូឌុលរបស់វាអនុញ្ញាតឱ្យ CastleLoader បម្រើជាឧបករណ៍ទម្លាក់ដំបូង និងកម្មវិធីផ្ទុកដំណាក់កាលទីពីរ ដែលអាចឱ្យអ្នកវាយប្រហារអាចបំបែកវ៉ិចទ័រឆ្លងចេញពីបន្ទុក។ ការបំបែកនេះធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងស្វែងរក និងការឆ្លើយតប ដែលធ្វើឲ្យការបញ្ជាក់កាន់តែពិបាក។
ភាពច្របូកច្របល់ និងការគេចវេសៈ បន្តទៅមុខមួយជំហាន
CastleLoader ប្រើបច្ចេកទេសកម្រិតខ្ពស់ជាច្រើនដើម្បីជៀសវាងការរកឃើញ និងរារាំងការវិភាគ៖
- ការចាក់លេខកូដស្លាប់ និងការវេចខ្ចប់ដើម្បីបិទបាំងមុខងារពិតរបស់វា។
- ការពន្លាពេលដំណើរការដើម្បីពន្យារពេលការប្រតិបត្តិរហូតដល់បន្ទាប់ពីគេចចេញពីស្រទាប់ស្កេនដំបូង។
- វិធានការប្រឆាំងនឹងប្រអប់ខ្សាច់ និងភាពច្របូកច្របល់ ដែលអាចប្រៀបធៀបទៅនឹងឧបករណ៍ផ្ទុកដ៏ទំនើបដូចជា SmokeLoader និង IceID ។
នៅពេលស្រាយកញ្ចប់រួច កម្មវិធីផ្ទុកទិន្នន័យទៅដល់ម៉ាស៊ីនមេ Command-and-Control (C2) ទាញយកម៉ូឌុលបន្ថែម និងចាប់ផ្តើមការប្រតិបត្តិរបស់ពួកគេ។ ការផ្ទុកបន្ទុកជាធម្មតាត្រូវបានចែកចាយជាកម្មវិធីប្រតិបត្តិចល័តដែលបង្កប់ជាមួយសែលកូដ ដែលបើកដំណើរការទម្លាប់ស្នូលរបស់អ្នកផ្ទុក។
យុទ្ធសាស្ត្រ និងបច្ចេកទេស៖ ការបោកបញ្ឆោតនៅស្នូលរបស់វា។
យុទ្ធនាការដែលប្រើប្រាស់ CastleLoader ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវិស្វកម្មសង្គម ជាពិសេស៖
ចុចFix-themed ការវាយប្រហារការបន្លំ
ជនរងគ្រោះត្រូវបានបញ្ឆោតទៅកាន់ដែនព្យាបាទ ក្លែងបន្លំជាវេទិកាសន្និសីទវីដេអូ បច្ចុប្បន្នភាពកម្មវិធីរុករក បណ្ណាល័យអ្នកអភិវឌ្ឍន៍ ឬវិបផតថលផ្ទៀងផ្ទាត់ឯកសារ តាមរយៈលទ្ធផលស្វែងរករបស់ Google ដែលពុល។ ទំព័រទាំងនេះមានសារកំហុសក្លែងក្លាយ ឬសារ CAPTCHA ដែលណែនាំអ្នកប្រើប្រាស់ឱ្យប្រតិបត្តិពាក្យបញ្ជា PowerShell ដោយមិនដឹងខ្លួនចាប់ផ្តើមការឆ្លង។ ការវាយប្រហារ ClickFix បានក្លាយជាបច្ចេកទេសរីករាលដាលមួយដែលត្រូវបានអនុម័តដោយក្រុម Hacker ជាច្រើន។
ឃ្លាំង GitHub ក្លែងក្លាយ
CastleLoader ក៏រីករាលដាលតាមរយៈឃ្លាំងដែលធ្វើត្រាប់តាមឧបករណ៍ប្រភពបើកចំហស្របច្បាប់ផងដែរ។ អ្នកអភិវឌ្ឍន៍ដែលមិនមានការសង្ស័យអាចដំណើរការស្គ្រីបដំឡើងដែលគួរឱ្យទុកចិត្តពីឃ្លាំងទាំងនេះ ដោយបានឆ្លងប្រព័ន្ធរបស់ពួកគេដោយមិនដឹងខ្លួន។ យុទ្ធសាស្ត្រនេះបង្ហាញអំពីភាពស្របច្បាប់ដែលយល់ឃើញរបស់ GitHub និងការជឿទុកចិត្តជាទម្លាប់របស់អ្នកអភិវឌ្ឍន៍នៅក្នុងឃ្លាំងបើកចំហ។
យុទ្ធសាស្រ្តទាំងនេះឆ្លុះបញ្ចាំងពីបច្ចេកទេសដែលប្រើជាទូទៅដោយ Initial Access Brokers (IABs) ដែលពង្រឹងទីតាំងរបស់ CastleLoader នៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដ៏ទូលំទូលាយ។
យុទ្ធនាការត្រួតស៊ីគ្នា និងការពង្រីកការឈានដល់
អ្នកស្រាវជ្រាវបានចងក្រងឯកសារនៃការប្រើប្រាស់យុទ្ធនាការឆ្លងនៃ CastleLoader និង DeerStealer ដោយកត់សម្គាល់ថាវ៉ារ្យ៉ង់មួយចំនួននៃ Hijack Loader ត្រូវបានចែកចាយតាមរយៈឧបករណ៍ទាំងពីរ។ ខណៈពេលដែលតួអង្គគម្រាមកំហែងនៅពីក្រោយយុទ្ធនាការនីមួយៗអាចខុសគ្នា ការប្រើប្រាស់ជាន់គ្នានៃកម្មវិធីផ្ទុកទិន្នន័យបង្ហាញពីប្រព័ន្ធអេកូរួម ឬគំរូសេវាកម្មក្នុងចំណោមក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។
ចាប់ពីខែឧសភា ឆ្នាំ 2025 តទៅ CastleLoader ត្រូវបានគេសង្កេតឃើញដោយប្រើម៉ាស៊ីនមេ C2 តែមួយគត់ចំនួនប្រាំពីរ ជាមួយនឹងការប៉ុនប៉ងឆ្លងចំនួន 1,634 ត្រូវបានកត់ត្រាទុក។ ក្នុងចំណោមឧបករណ៍ទាំងនេះ 469 ត្រូវបានសម្របសម្រួលដោយជោគជ័យ ដែលបណ្តាលឱ្យមានអត្រាជោគជ័យនៃការឆ្លងមេរោគ 28.7% ។
ហេដ្ឋារចនាសម្ព័ន្ធនៅពីក្រោយការគំរាមកំហែង
ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលគាំទ្រ CastleLoader គឺរឹងមាំគួរឱ្យកត់សម្គាល់។ បន្ទះដែលមានមូលដ្ឋានលើបណ្តាញដែលពាក់ព័ន្ធរបស់វាផ្តល់នូវការគ្រប់គ្រងកណ្តាលលើប្រព័ន្ធដែលមានមេរោគ ដោយបន្លឺសំឡេងដែលរកឃើញនៅក្នុងកម្មវិធី malware-as-a-services ។ នេះចង្អុលទៅប្រតិបត្តិការដែលមានបទពិសោធន៍ និងរៀបចំនៅពីក្រោយការអភិវឌ្ឍន៍ និងការដាក់ពង្រាយរបស់ឧបករណ៍ផ្ទុក។
គន្លឹះសំខាន់ៗ៖ ការគំរាមកំហែងដែលកំពុងកើនឡើងរបស់ CastleLoader
CastleLoader មិនមែនគ្រាន់តែជាកម្មវិធីផ្ទុកទិន្នន័យប៉ុណ្ណោះទេ វាគឺជាអ្នកបង្កើតយុទ្ធសាស្ត្រនៃយុទ្ធនាការមេរោគដ៏ទូលំទូលាយ។
ការរចនាម៉ូឌុល លក្ខណៈពិសេសប្រឆាំងការវិភាគ និងយុទ្ធសាស្ត្រចែកចាយចម្រុះរបស់វា ធ្វើឱ្យវាក្លាយជាឧបករណ៍សំខាន់សម្រាប់តួអង្គគំរាមកំហែងដែលស្វែងរកភាពបត់បែន និងបំបាំងកាយ។
តាមរយៈការបំពានលើវេទិកាដែលគួរឱ្យទុកចិត្តដូចជា GitHub និងការកេងប្រវ័ញ្ចឥរិយាបថអ្នកប្រើប្រាស់តាមរយៈវិស្វកម្មសង្គម CastleLoader គូសបញ្ជាក់អំពីតម្រូវការសម្រាប់ការបង្កើនការប្រុងប្រយ័ត្ន និងយុទ្ធសាស្រ្តការពារទាំងនៅក្នុងបរិយាកាសសហគ្រាស និងអ្នកអភិវឌ្ឍន៍។
នៅពេលដែលការគំរាមកំហែងនេះបន្តវិវឌ្ឍ អ្នកការពារត្រូវតែប្រុងប្រយ័ត្នចំពោះយុទ្ធសាស្ត្រថ្មី និងពង្រឹងការការពារប្រឆាំងនឹងអ្នកផ្ទុកទំនិញដែលប្រតិបត្តិការនៅពីក្រោយឆាក ដើម្បីផ្តល់អំណាចដល់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំ។
