CommonMagic
អ្នកស្រាវជ្រាវ Infosec បានគ្រប់គ្រងដើម្បីកំណត់អត្តសញ្ញាណយុទ្ធនាការវាយប្រហារដោយប្រើក្របខណ្ឌមេរោគដែលមិនស្គាល់ពីមុនប្រឆាំងនឹងអង្គការមកពីវិស័យសំខាន់ៗក្នុងប្រទេសអ៊ុយក្រែន ដោយបង្ហាញយ៉ាងច្បាស់ពីផ្នែកសកម្មដែលសង្គ្រាមតាមអ៊ីនធឺណិតកំពុងបន្តដើរតួជាផ្នែកនៃសង្គ្រាម។ អង្គការគោលដៅប្រតិបត្តិការក្នុងវិស័យរដ្ឋាភិបាល កសិកម្ម និងដឹកជញ្ជូន ហើយមានទីតាំងនៅ Donetsk, Lugansk, nd Crimea ។
ការវាយប្រហារទាំងនេះពាក់ព័ន្ធនឹងក្របខ័ណ្ឌម៉ូឌុលថ្មីហៅថា CommonMagic ដែលមិនធ្លាប់មានពីមុនមក។ ក្របខ័ណ្ឌនេះហាក់ដូចជាត្រូវបានរៀបចំឡើងដើម្បីជ្រៀតចូល និងរំខានដល់អង្គការគោលដៅ ដែលអាចធ្វើឱ្យប៉ះពាល់ដល់ព័ត៌មានរសើប និងរំខានដល់ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។ វាមិនទាន់ច្បាស់ថាអ្នកណាជាអ្នកទទួលខុសត្រូវចំពោះការវាយប្រហារទាំងនេះ ឬគោលដៅចុងក្រោយរបស់ពួកគេអាចជាអ្វីនោះទេ។ ស្ថានភាពកំពុងបន្ត ហើយអង្គការនៅក្នុងតំបន់ដែលរងផលប៉ះពាល់គួរតែចាត់វិធានការដើម្បីការពារបណ្តាញ និងប្រព័ន្ធរបស់ពួកគេប្រឆាំងនឹងការគំរាមកំហែងដែលអាចកើតមាន។
ខ្សែសង្វាក់វាយប្រហារដ៏ស្មុគស្មាញផ្តល់មេរោគ CommonMagic Malware
យោងតាមអ្នកស្រាវជ្រាវ វ៉ិចទ័រសម្របសម្រួលដំបូងពិតប្រាកដគឺមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ ព័ត៌មានលម្អិតនៃដំណាក់កាលបន្ទាប់នៃការវាយប្រហារបង្ហាញថា ការបន្លំលំពែង ឬបច្ចេកទេសស្រដៀងគ្នានេះអាចត្រូវបានប្រើប្រាស់ដោយអ្នកគំរាមកំហែង។
ការវាយប្រហារធ្វើតាមលំនាំជាក់លាក់មួយ ដែល URL ព្យាបាទត្រូវបានបង្ហាញដល់ជនរងគ្រោះ ហើយត្រូវបានប្រើដើម្បីនាំពួកគេទៅកាន់បណ្ណសារហ្ស៊ីបដែលបង្ហោះនៅលើម៉ាស៊ីនមេគេហទំព័រដែលត្រូវបានសម្របសម្រួល។ នៅពេលដែលឯកសារ ZIP ដែលបានចែកចាយត្រូវបានបើក វាមានឯកសារបញ្ឆោត និងឯកសារ LNK ដែលមានគំនិតអាក្រក់។ នៅដំណាក់កាលបន្ទាប់នៃការវាយប្រហារ ទ្វារខាងក្រោយដែលមានឈ្មោះថា PowerMagic ត្រូវបានដាក់ពង្រាយលើឧបករណ៍ដែលបំពាន។ Backdoor អនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើកុំព្យូទ័ររបស់ជនរងគ្រោះ និងអនុវត្តសកម្មភាពព្យាបាទផ្សេងៗ ប៉ុន្តែគោលបំណងចម្បងរបស់វាគឺដើម្បីទាញយក និងប្រើប្រាស់ក្របខ័ណ្ឌមេរោគ CommonMagic ដែលជាផ្នែកពិសេសនៃកម្មវិធីព្យាបាទ។
CommonMagic - ក្របខ័ណ្ឌការគំរាមកំហែងដែលមើលមិនឃើញពីមុន
ជនរងគ្រោះទាំងអស់ដែលរងផលប៉ះពាល់ដោយមេរោគ PowerMagic ត្រូវបានរកឃើញថាបានឆ្លងមេរោគជាមួយនឹងក្របខ័ណ្ឌព្យាបាទដ៏ស្មុគស្មាញ និងស្មុគ្រស្មាញ ដែលត្រូវបានគេដាក់ឈ្មោះថា CommonMagic ។ CommonMagic រួមមានម៉ូឌុលដែលអាចប្រតិបត្តិបានជាច្រើនដែលទាំងអស់ត្រូវបានរក្សាទុកក្នុងថតដែលមានទីតាំងនៅ C:\ProgramData\CommonCommand ។ ម៉ូឌុលនីមួយៗផ្តួចផ្តើមជាឯកសារដែលអាចប្រតិបត្តិបានឯករាជ្យ និងទំនាក់ទំនងជាមួយអ្នកដទៃតាមរយៈបំពង់ដែលមានឈ្មោះ។ ម៉ូឌុលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command and Control (C&C) ការអ៊ិនគ្រីប និងការឌិគ្រីបនៃចរាចរណ៍ C&C និងអនុវត្តសកម្មភាពព្យាបាទជាច្រើន។
ម៉ូឌុលពីរដែលបានរកឃើញរហូតមកដល់បច្ចុប្បន្នត្រូវបានបំពាក់ដោយសមត្ថភាពក្នុងការចាប់យករូបថតអេក្រង់នៅចន្លោះពេលបីវិនាទី និងដើម្បីទាញយកឯកសារដែលចាប់អារម្មណ៍ពីឧបករណ៍ USB ណាមួយដែលត្រូវបានភ្ជាប់។ ក្របខ័ណ្ឌប្រើប្រាស់ថតពីចម្ងាយ OneDrive ដើម្បីដឹកជញ្ជូនទិន្នន័យ ហើយទិន្នន័យណាមួយដែលបានផ្លាស់ប្តូររវាងអ្នកវាយប្រហារ និងជនរងគ្រោះតាមរយៈ OneDrive ត្រូវបានអ៊ិនគ្រីបដោយប្រើបណ្ណាល័យប្រភពបើកចំហរ RC5Simple ។
