Color-Blind RAT

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញកញ្ចប់ Python ដែលកំពុងគំរាមកំហែងដែលបានបង្ហោះទៅកាន់ Python Package Index (PyPI) ដែលមានឧបករណ៍លួចព័ត៌មានគ្រោះថ្នាក់ និង Trojan ពីចម្ងាយ (RAT) ។ កញ្ចប់នេះត្រូវបានគេដាក់ឈ្មោះថា 'colourfool' ហើយត្រូវបានកំណត់អត្តសញ្ញាណដោយក្រុមស្រាវជ្រាវសន្តិសុខ ដែលបានដាក់ឈ្មោះការគំរាមកំហែងមេរោគដោយខ្លួនវាថា 'Colour-Blind'។

ឧប្បត្តិហេតុនេះបង្ហាញពីនិន្នាការកើនឡើងនៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតតាមបែបប្រជាធិបតេយ្យ ដែលអ្នកប្រព្រឹត្តខុសអាចចូលប្រើបានយ៉ាងងាយស្រួល និងប្រើប្រាស់ឡើងវិញនូវកូដដែលមានស្រាប់សម្រាប់បំណងផ្ទាល់ខ្លួនរបស់ពួកគេ។ អ្នកស្រាវជ្រាវបានពន្យល់ថា ប្រជាធិបតេយ្យភាវូបនីយកម្មនៃឧក្រិដ្ឋកម្មអនឡាញអាចនាំឱ្យមានទិដ្ឋភាពគំរាមកំហែងកាន់តែខ្លាំងឡើង ដោយសារតែអ្នកវាយប្រហារអាចបង្កើតមេរោគជាច្រើនប្រភេទរបស់ពួកគេដោយប្រើប្រាស់កូដប្រភពពីអ្នកដទៃ។

ដូចម៉ូឌុល Python ក្លែងក្លាយផ្សេងទៀត Colour-Blind ប្រើបច្ចេកទេសមួយដើម្បីលាក់កូដអាក្រក់របស់វានៅក្នុងស្គ្រីបដំឡើង។ ស្គ្រីបរៀបចំបន្ទាប់មកចង្អុលទៅការផ្ទុកឯកសារ ZIP ដែលត្រូវបានបង្ហោះនៅលើវេទិកា Discord ស្របច្បាប់។ នេះអនុញ្ញាតឱ្យមេរោគគេចពីការរកឃើញដោយវិធានការសុវត្ថិភាពបែបប្រពៃណីមួយចំនួន ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការស្វែងរក និងលុបចេញ។

Colour-Blind RAT អនុវត្តកូដសម្រាប់ហ្គេម 'ពស់'

មេរោគនេះប្រើប្រាស់យន្តការតស៊ូដែលពាក់ព័ន្ធនឹងការបន្ថែមស្គ្រីប Visual Basic (VB) ដែលមានឈ្មោះថា 'Essentials ។ vbs' ទៅកាន់ថត 'Start Up' នៅក្នុង 'Start Menu' របស់អ្នកប្រើ។ នៅពេលចូល ស្គ្រីប VB ដំណើរការឯកសារបណ្តុំវីនដូ ដែលមេរោគចាក់បញ្ចូលក្នុងថតដូចគ្នាជា 'python.exe'។ ឯកសារបាច់នេះចាប់ផ្តើមមេរោគដោយប្រើ Python រាល់ពេលដែលអ្នកប្រើប្រាស់ចូល ដោយធានាថាមេរោគនៅតែសកម្ម និងមានវត្តមាននៅលើប្រព័ន្ធ។

មេរោគនេះមានមុខងារ exfiltration ឯកសារដែលប្រើ 'transfer[.]sh' ដែលជាគេហទំព័រផ្ទេរឯកសារអនាមិកដែលមានប្រជាប្រិយភាពកាន់តែខ្លាំងឡើងក្នុងចំណោមអ្នកគំរាមកំហែង។ មេរោគក៏មានកូដដែលទាក់ទងនឹងវិស្វកម្មសង្គម ដែលបង្កើតសារកំហុសដែលព្យាយាមបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យដំណើរការមេរោគឡើងវិញក្នុងនាមជាអ្នកគ្រប់គ្រង។ លើសពីនេះ មេរោគមានកំណែបង្កប់នៃហ្គេម 'ពស់' ដែលហាក់ដូចជាការចម្លងកូដដោយផ្ទាល់ពីឃ្លាំង GitHub ។ ទោះយ៉ាងណាក៏ដោយ ហ្គេមនេះមិនបម្រើគោលបំណងជាក់ស្តែងណាមួយទេ ហើយមិនចាប់ផ្តើមនៅពេលប្រតិបត្តិ។

មេរោគនេះបង្កឱ្យមានដំណើរការរងជាច្រើន ដែលរួមមានខ្សែស្រឡាយសម្រាប់ប្រមូលខូគី ពាក្យសម្ងាត់ និងកាបូបលុយគ្រីបតូ។ ដើម្បីបើកការបញ្ជាពីចម្ងាយ មេរោគចាប់ផ្តើមកម្មវិធីបណ្តាញ Flask ។ បន្ទាប់មកការគំរាមកំហែងធ្វើឱ្យកម្មវិធីអាចចូលប្រើអ៊ីនធឺណិតបានតាមរយៈឧបករណ៍ប្រើប្រាស់ផ្លូវរូងក្រោមដីបញ្ច្រាសរបស់ Cloudflare ដែលមានឈ្មោះថា 'cloudflareed' ។ ដោយប្រើវិធីនេះ មេរោគអាចរំលងច្បាប់ជញ្ជាំងភ្លើងចូល និងរក្សាវត្តមានជាប់លាប់នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

សំណុំពង្រីកនៃសមត្ថភាពគំរាមកំហែងត្រូវបានរកឃើញនៅក្នុង Color-Blind RAT

Colour-Blind RAT និងមុខងារបង្កគ្រោះថ្នាក់ផ្សេងៗរបស់វាអាចត្រូវបានគ្រប់គ្រងតាមរយៈកម្មវិធីបណ្តាញ។ មុខងារសញ្ញាសម្ងាត់អាចបោះចោលនិមិត្តសញ្ញាចូលសម្រាប់កម្មវិធីជាច្រើនដែលប្រើ chromium តាមរយៈ electron.io ឬ chromium ដោយផ្ទាល់ជាក្របខ័ណ្ឌកម្មវិធី ដែលរួមមាន Discord ។ មុខងារ​លេខ​សម្ងាត់​បោះចោល​ពាក្យ​សម្ងាត់​ដែល​បាន​ស្រង់​ចេញ​ពី​កម្មវិធី​រុករក​បណ្ដាញ​ទៅ​អេក្រង់ ខណៈ​មុខងារ​ខូគី​បោះចោល​ខូគី​កម្មវិធីរុករកតាមអ៊ីនធឺណិត​ទាំងអស់​ទៅអេក្រង់។ មុខងារគ្រាប់ចុចបោះចោលទិន្នន័យដែលបានចាប់យកទៅអ្នកកាប់ឈើ ហើយបង្ហាញវានៅលើអេក្រង់។

ក្នុងចំណោមសមត្ថភាពរបស់ RAT ក៏មានមុខងារកម្មវិធីផងដែរ ដែលផ្តល់បញ្ជីនៃកម្មវិធីដែលសកម្មបច្ចុប្បន្ន និងប៊ូតុងមួយដើម្បីបញ្ចប់ពួកវា។ មុខងារបោះចោលទិន្នន័យបញ្ជូនទិន្នន័យដែលបានចាប់យកទាំងអស់ទៅ URL C2 ។ មុខងារអេក្រង់បង្ហាញរូបថតអេក្រង់នៃផ្ទៃតុរបស់អ្នកប្រើ និងអនុញ្ញាតឱ្យមានអន្តរកម្មជាមូលដ្ឋាន ដូចជាការចុចគ្រាប់ចុចជាដើម។ ការគំរាមកំហែងក៏អាចរកមើលព័ត៌មាន IP និងបង្ហាញវានៅលើអេក្រង់ដោយប្រើមុខងារផ្សេង។ វាអាចបើកកម្មវិធីរុករកទៅកាន់គេហទំព័រដែលបានផ្តល់ឱ្យ និងដំណើរការពាក្យបញ្ជាតាមរយៈប្រព័ន្ធប្រតិបត្តិការ។ ព័ត៌មានកាបូប Cryptocurrency អាចត្រូវបានប្រមូលពីឧបករណ៍ដែលបំពានតាមរយៈមុខងារ phantom/Metamask ។

ទោះជាយ៉ាងណាក៏ដោយ Colour-Blind RAT អាចធ្វើសកម្មភាពកាន់តែច្រើននៅលើប្រព័ន្ធដែលឆ្លងមេរោគ ដូចជាការប្រើប្រាស់ /camera endpoint ដើម្បីឈ្លបយកការណ៍លើអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យតាមរយៈកាមេរ៉ាបណ្ដាញ។ វាក៏មានចំណុចបញ្ចប់ផ្សេងៗគ្នាដែលចាប់ផ្តើមដោយ 'hvnc' ដែលដោះស្រាយជាមួយផ្ទៃតុដែលលាក់ដែលបង្កើតឡើងនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។ មុខងារ /hvncmanager អនុញ្ញាត​ឱ្យ​មាន​ការ​ចាប់​ផ្តើ​ម​នៃ​កម្មវិធី​រុករក​បណ្ដាញ​នៅ​លើ​ផ្ទៃតុ​ដែល​បាន​លាក់​នេះ​។ មុខងារ /hvnc ត្រូវបានប្រើដើម្បីបើកផ្ទៃតុដែលលាក់ ហើយវាអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងធ្វើអន្តរកម្មជាមួយវា។ សមត្ថភាពក្នុងការបើកកម្មវិធីរុករកតាមអ៊ីនធឺណិតក្នុងលក្ខណៈលាក់កំបាំងបែបនេះអាចត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែងដើម្បីចូលប្រើ ឬធ្វើអន្តរកម្មជាមួយគណនីអ៊ីនធឺណិតរបស់ជនរងគ្រោះ។ មុខងារ /hvncitem អនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាផ្ទាល់ខ្លួនលើផ្ទៃតុដែលលាក់តាមរយៈការរៀបចំប៉ារ៉ាម៉ែត្រ URL 'ចាប់ផ្តើម' ។