Charon Ransomware

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការ ransomware ថ្មីដែលប្រើប្រាស់ប្រភេទដែលមិនស្គាល់ពីមុនដែលមានឈ្មោះថា Charon ដែលមានបំណងជាពិសេសទៅលើវិស័យសាធារណៈ និងឧស្សាហកម្មអាកាសចរណ៍នៅមជ្ឈឹមបូព៌ា។ ប្រតិបត្តិការនេះបង្ហាញនូវកម្រិតខ្ពស់នៃភាពទំនើប ជាមួយនឹងកលល្បិចដែលជាធម្មតាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងតួអង្គគំរាមកំហែងជាប់លាប់ (APT) កម្រិតខ្ពស់។

ការខ្ចីល្បិចពី APT Playbooks

អ្នកវាយប្រហារប្រើបច្ចេកទេសកម្រិតខ្ពស់ដូចជា DLL side-loading, process injection, and evasive maneuvers បានរចនាឡើងដើម្បីរំលងឧបករណ៍ endpoint detection and response (EDR)។ គួរកត់សម្គាល់ថា វិធីសាស្រ្តផ្ទុកចំហៀងរបស់ DLL ឆ្លុះបញ្ចាំងពីវិធីសាស្រ្តដែលត្រូវបានអង្កេតនៅក្នុងការវាយប្រហារដោយ Earth Baxia ដែលជាក្រុម hacking ភ្ជាប់ជាមួយប្រទេសចិន ដែលត្រូវបានគេស្គាល់ថាជាគោលដៅរបស់អង្គភាពរដ្ឋាភិបាលនៅតៃវ៉ាន់ និងតំបន់អាស៊ីប៉ាស៊ីហ្វិក។

នៅក្នុងឧប្បត្តិហេតុកាលពីអតីតកាលនោះ Earth Baxia បានទាញយកកំហុសឆ្គងដែលបានជួសជុលរួចហើយនៅក្នុង OSGeo GeoServer GeoTools ដើម្បីផ្តល់នូវ backdoor ហៅថា EAGLEDOOR ។ ក្នុងករណី Charon ការវាយប្រហារបានប្រើឯកសារស្របច្បាប់ Edge.exe (ដើមឡើយ cookie_exporter.exe) ដើម្បីផ្ទុក msedge.dll ព្យាបាទដែលគេស្គាល់ថាជា SWORDLDR ដែលបន្ទាប់មកដាក់ពង្រាយ Charon ransomware payload ។

សមត្ថភាពរបស់ Charon Ransomware

នៅពេលដែលត្រូវបានដាក់ពង្រាយ Charon មានឥរិយាបទដូចជាបំរែបំរួល ransomware ផ្សេងទៀត ប៉ុន្តែជាមួយនឹងការបង្កើនប្រសិទ្ធភាពដែលធ្វើឱ្យវាមានការរំខាន និងមានប្រសិទ្ធភាព។ វាអាច៖

• បញ្ចប់សេវាកម្មដែលទាក់ទងនឹងសុវត្ថិភាព និងដំណើរការសកម្ម។
• លុបការបម្រុងទុក និងច្បាប់ចម្លងស្រមោល ដើម្បីរារាំងការស្តារឡើងវិញ។
• ប្រើ multithreading និងការអ៊ិនគ្រីបផ្នែកសម្រាប់ការចាក់សោឯកសារលឿនជាងមុន។

លក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍មួយទៀតគឺការបញ្ចូលកម្មវិធីបញ្ជារបស់វាដែលបានចងក្រងចេញពីគម្រោង Dark-Kill បើកចំហរ។ នេះអនុញ្ញាតឱ្យមានការវាយប្រហារទៅលើអ្នកបើកបរដែលងាយរងគ្រោះ (BYOVD) ផ្ទាល់ខ្លួនរបស់អ្នក ដើម្បីបិទឧបករណ៍ EDR ។ ទោះបីជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញថា សមត្ថភាពនេះមិនទាន់មានសកម្មភាពនៅឡើយ ដែលបង្ហាញថាវាកំពុងស្ថិតក្រោមការអភិវឌ្ឍន៍នៅឡើយ។

សញ្ញានៃប្រតិបត្តិការគោលដៅ

អ្នកស៊ើបអង្កេតជឿថា យុទ្ធនាការនេះធ្វើឡើងដោយចេតនា ជាជាងឱកាសនិយម។ ការសន្និដ្ឋាននេះគឺផ្អែកលើវត្តមាននៃកំណត់ចំណាំតម្លៃលោះដែលប្ដូរតាមបំណងដើម្បីនិយាយអំពីអង្គការជនរងគ្រោះតាមឈ្មោះ ដែលកម្រមាននៅក្នុងឧប្បត្តិហេតុ ransomware ធម្មតា។ វិធីសាស្រ្តដែលប្រើសម្រាប់ការចូលប្រើដំបូងនៅតែមិនស្គាល់។

គុណលក្ខណៈមិនច្បាស់លាស់

ខណៈពេលដែលបច្ចេកទេសរបស់ Charon ចែករំលែកភាពស្រដៀងគ្នាជាមួយនឹងប្រតិបត្តិការរបស់ Earth Baxia អ្នកជំនាញបានព្រមានថាការត្រួតស៊ីគ្នានេះអាចបង្ហាញថា:

• ការចូលរួមដោយផ្ទាល់របស់ Earth Baxia ។

បើគ្មានភ័ស្តុតាងច្បាស់លាស់ដូចជាហេដ្ឋារចនាសម្ព័ន្ធចែករំលែក ឬលំនាំកំណត់គោលដៅស្របគ្នា ការតភ្ជាប់នៅតែជាការប៉ាន់ស្មាន។

ការបង្រួបបង្រួមនៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត និងការបង្រួបបង្រួមជាតិ-រដ្ឋ

ឧប្បត្តិហេតុនេះគូសបញ្ជាក់អំពីនិន្នាការពាក់ព័ន្ធ៖ ក្រុម ransomware កំពុងប្រើប្រាស់វិធីសាស្រ្តកម្រិត APT កាន់តែខ្លាំងឡើងសម្រាប់ការឈ្លានពាន និងការគេចវេស។ ការបញ្ចូលគ្នានៃសិប្បកម្មបំបាំងកាយជាមួយនឹងការខូចខាតផ្នែកហិរញ្ញវត្ថុ និងប្រតិបត្តិការភ្លាមៗនៃការអ៊ិនគ្រីប ransomware បង្កើនភាគហ៊ុនយ៉ាងសំខាន់សម្រាប់អង្គការគោលដៅ។