ClickFix Malware
យុទ្ធសាស្ត្រចែកចាយមេរោគថ្មីៗនេះប្រើការជូនដំណឹងដែលបោកបញ្ឆោតដែលស្រដៀងនឹង Google Chrome, Microsoft Word និងកំហុស OneDrive ។ ការដាស់តឿនក្លែងក្លាយទាំងនេះមានគោលបំណងបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យអនុវត្តការគំរាមកំហែង PowerShell 'ជួសជុល' ដែលចុងក្រោយដំឡើងមេរោគ។ យុទ្ធនាការនេះត្រូវបានកំណត់អត្តសញ្ញាណ និងប្រើប្រាស់ដោយតួអង្គគំរាមកំហែងផ្សេងៗ រួមទាំងអ្នកដែលពាក់ព័ន្ធជាមួយ ClearFake ដែលជាក្រុមថ្មីដែលគេស្គាល់ថា ClickFix និងតួអង្គគំរាមកំហែង TA571 ដ៏ល្បីល្បាញ។ TA571 ត្រូវបានគេស្គាល់ថាសម្រាប់តួនាទីរបស់ខ្លួនជាអ្នកចែកចាយសារឥតបានការ ដែលទទួលខុសត្រូវក្នុងការផ្សព្វផ្សាយអ៊ីមែលដ៏ធំ ដែលជារឿយៗនាំទៅដល់ការឆ្លងមេរោគ និងមេរោគ ransomware ។
ពីមុន ការវាយប្រហារ ClearFake ពាក់ព័ន្ធនឹងការត្រួតលើគេហទំព័រដែលបញ្ឆោតអ្នកទស្សនាឱ្យដំឡើងមេរោគដោយដាក់ថាជាការអាប់ដេតកម្មវិធីរុករកតាមអ៊ីនធឺណិតក្លែងក្លាយ។
តារាងមាតិកា
ការជូនដំណឹងអំពីកំហុសក្លែងក្លាយអាចផ្តល់នូវការគំរាមកំហែងពីមេរោគ
នៅក្នុងការវាយប្រហារដែលបានរាយការណ៍ តួអង្គគំរាមកំហែងបានពង្រីកវិធីសាស្រ្តរបស់ពួកគេដើម្បីរួមបញ្ចូល JavaScript ដែលបានបង្កប់នៅក្នុងឯកសារភ្ជាប់ HTML និងគេហទំព័រដែលត្រូវបានសម្របសម្រួល។ យុទ្ធសាស្ត្រទាំងនេះឥឡូវនេះពាក់ព័ន្ធនឹងការត្រួតលើគ្នាដែលក្លែងធ្វើកំហុសក្លែងក្លាយពី Google Chrome, Microsoft Word និង OneDrive ។ ការដាស់តឿនបោកបញ្ឆោតទាំងនេះជំរុញឱ្យអ្នកទស្សនាចុចលើប៊ូតុងមួយដើម្បីចម្លង PowerShell 'ជួសជុល' ទៅក្ដារតម្បៀតខ្ទាស់របស់ពួកគេ ដោយណែនាំពួកគេឱ្យបិទភ្ជាប់ និងប្រតិបត្តិវានៅក្នុងប្រអប់រត់ ឬប្រអប់បញ្ចូល PowerShell ។
ខណៈពេលដែលខ្សែសង្វាក់វាយប្រហារនេះពឹងផ្អែកលើអន្តរកម្មអ្នកប្រើប្រាស់ដ៏សំខាន់ វិស្វកម្មសង្គមរបស់វាមានភាពស្មុគ្រស្មាញគ្រប់គ្រាន់ដើម្បីបង្ហាញអ្នកប្រើប្រាស់នូវអ្វីដែលហាក់ដូចជាបញ្ហាពិតប្រាកដ និងដំណោះស្រាយក្នុងពេលដំណាលគ្នា។ នេះអាចបង្ខំអ្នកប្រើប្រាស់ឱ្យធ្វើសកម្មភាពយ៉ាងប្រញាប់ប្រញាល់ដោយមិនចាំបាច់វាយតម្លៃឱ្យបានពេញលេញនូវហានិភ័យដែលពាក់ព័ន្ធ។ អ្នកស្រាវជ្រាវ Infosec បានកំណត់អត្តសញ្ញាណ payloads ជាច្រើនដែលប្រើក្នុងការវាយប្រហារទាំងនេះ រួមមាន DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , a clipboard hijacker និង Lumma Stealer ។
ស្គ្រីបក្លែងបន្លំទម្លាក់មេរោគទៅឧបករណ៍របស់អ្នកប្រើ
អ្នកវិភាគបានកំណត់ខ្សែសង្វាក់វាយប្រហារចំនួនបីផ្សេងគ្នាដែលសម្គាល់ជាចម្បងដោយដំណាក់កាលដំបូងរបស់ពួកគេ ដោយមានតែដំណាក់កាលដំបូងប៉ុណ្ណោះដែលមិនបានភ្ជាប់យ៉ាងច្បាស់លាស់ទៅនឹង TA571។
នៅក្នុងសេណារីយ៉ូទីមួយនេះ ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងតួអង្គគំរាមកំហែងដែលភ្ជាប់ជាមួយ ClearFake អ្នកប្រើប្រាស់ចូលទៅកាន់គេហទំព័រដែលត្រូវបានសម្របសម្រួលដែលផ្ទុកស្គ្រីបព្យាបាទដែលបានបង្ហោះនៅលើ blockchain តាមរយៈកិច្ចសន្យា Smart Chain របស់ Binance ។ ស្គ្រីបទាំងនេះធ្វើការត្រួតពិនិត្យ និងបង្កឱ្យមានការជូនដំណឹង Google Chrome ក្លែងក្លាយដែលអះអាងថាមានបញ្ហាជាមួយនឹងការបង្ហាញគេហទំព័រ។ បន្ទាប់មកប្រអប់ប្រាប់អ្នកទស្សនាឱ្យដំឡើង 'វិញ្ញាបនបត្រឫសគល់' ដោយចម្លងស្គ្រីប PowerShell ទៅក្ដារតម្បៀតខ្ទាស់វីនដូ ហើយប្រតិបត្តិវានៅក្នុងកុងសូល Windows PowerShell (អ្នកគ្រប់គ្រង) ។
នៅពេលដំណើរការ ស្គ្រីប PowerShell ធ្វើឱ្យឧបករណ៍គោលដៅមានសុពលភាព។ វាបន្តអនុវត្តសកម្មភាពដូចជាការសម្អាតឃ្លាំងសម្ងាត់ DNS ការសម្អាតមាតិកាក្ដារតម្បៀតខ្ទាស់ ការបង្ហាញសាររំខាន និងការទាញយកស្គ្រីប PowerShell ពីចម្ងាយ។ ជាវេន ស្គ្រីបនេះធ្វើការត្រួតពិនិត្យប្រឆាំងនឹង VM មុនពេលចាប់ផ្តើមការទាញយកឯកសារលួចព័ត៌មាន។
ClickFix និង Lure Emails ប្រើជាខ្សែសង្វាក់វាយប្រហារជំនួស
ខ្សែសង្វាក់វាយប្រហារទីពីរត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការ 'ClickFix' ដោយប្រើការចាក់គេហទំព័រនៅលើគេហទំព័រដែលត្រូវបានសម្របសម្រួលដើម្បីបង្កើតការលាបលើ iframe ដែលបង្ហាញពីកំហុស Google Chrome ក្លែងក្លាយ។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យបើក 'Windows PowerShell (Admin)' ហើយបិទភ្ជាប់កូដដែលបានផ្តល់ បណ្តាលឱ្យមានការឆ្លងដូចគ្នាដែលបានរៀបរាប់ពីមុន។
វិធីសាស្រ្តឆ្លងមេរោគមួយផ្សេងទៀតពាក់ព័ន្ធនឹងការវាយប្រហារតាមអ៊ីមែលដោយប្រើឯកសារភ្ជាប់ HTML ដែលស្រដៀងនឹងឯកសារ Microsoft Word ។ អ្នកប្រើប្រាស់ត្រូវបានជម្រុញឱ្យដំឡើងផ្នែកបន្ថែម 'Word Online' ដើម្បីមើលឯកសារឱ្យបានត្រឹមត្រូវ។ សារកំហុសផ្តល់នូវជម្រើស 'របៀបជួសជុល' និង 'ជួសជុលដោយស្វ័យប្រវត្តិ' ។ ការជ្រើសរើស 'របៀបជួសជុល' ចម្លងពាក្យបញ្ជា PowerShell ដែលបានអ៊ិនកូដ base64 ទៅក្ដារតម្បៀតខ្ទាស់ ដោយណែនាំអ្នកប្រើប្រាស់ឱ្យបិទភ្ជាប់វាទៅក្នុង PowerShell ។ 'ជួសជុលដោយស្វ័យប្រវត្តិ' ប្រើពិធីការ search-ms ដើម្បីបង្ហាញឯកសារ 'fix.msi' ឬ 'fix.vbs' ដែលបង្ហោះតាម WebDAV ពីការចែករំលែកឯកសារដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារពីចម្ងាយ។ នៅក្នុងករណីទាំងនេះ PowerShell បញ្ជាឱ្យទាញយក និងប្រតិបត្តិទាំងឯកសារ MSI ឬស្គ្រីប VBS ដែលនាំទៅដល់ការឆ្លងដោយ Matanbuchus ឬ DarkGate រៀងគ្នា។
តាមរយៈការវាយប្រហារទាំងនេះ តួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចកង្វះការយល់ដឹងរបស់អ្នកប្រើប្រាស់ទាក់ទងនឹងហានិភ័យដែលទាក់ទងនឹងការប្រតិបត្តិពាក្យបញ្ជា PowerShell នៅលើប្រព័ន្ធរបស់ពួកគេ។ ពួកគេក៏លើកយកអសមត្ថភាពរបស់ Windows ក្នុងការរកឃើញ និងទប់ស្កាត់សកម្មភាពបង្កគ្រោះថ្នាក់ដែលបង្កឡើងដោយកូដដែលបានបិទភ្ជាប់។
ខ្សែសង្វាក់វាយប្រហារផ្សេងៗគ្នាដែលត្រូវបានសង្កេតដោយអ្នកស្រាវជ្រាវបង្ហាញថា TA571 កំពុងស្វែងរកយ៉ាងសកម្មនូវវិធីសាស្រ្តចម្រុះដើម្បីបង្កើនប្រសិទ្ធភាព និងស្វែងរកផ្លូវបន្ថែមសម្រាប់ការឆ្លងប្រព័ន្ធកាន់តែច្រើន។ វិធីសាស្រ្តសម្របខ្លួននេះគូសបញ្ជាក់ពីការប្តេជ្ញាចិត្តរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតក្នុងការវិវត្តយុទ្ធសាស្ត្ររបស់ពួកគេ និងពង្រីកឥទ្ធិពលរបស់ពួកគេនៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិត។
