Cryptocurrency Miner ដែលមានឈ្មោះថា 'Adylkuzz' វាយប្រហារបណ្តាញតាមរយៈ EternalBlue និង DoublePulsar Malware
ខណៈពេលដែល WannaCry Ransomware ដ៏ល្បីល្បាញបានបង្កើតចំណងជើងនៅក្នុងព័ត៌មានសន្តិសុខតាមអ៊ីនធឺណិតក្នុងឆ្នាំ 2017 តួអង្គព្យាបាទបាននឹងកំពុងប្រើប្រាស់ការកេងប្រវ័ញ្ចដូចគ្នាដើម្បីផ្សព្វផ្សាយអ្នករុករករូបិយប័ណ្ណគ្រីបតូឈ្មោះ Adylkuzz ។ ដូច WannaCry ដែរ Adylkuzz បានប្រើ ឧបករណ៍លួចចូល NSA ដែលលេចធ្លាយ ដើម្បីបង្កើនភាពងាយរងគ្រោះនៃបណ្តាញ Microsoft Windows និងបិទបណ្តាញនៅលើឧបករណ៍ដែលមានមេរោគ ធ្វើឱ្យអ្នកស្រាវជ្រាវជឿថា Adylkuzz ព្យាករណ៍ការវាយប្រហារ WannaCry តាមវិធីជាច្រើន។
នៅឆ្នាំ 2017 ការវាយប្រហារ ransomware ដ៏ធំមួយបានកេងប្រវ័ញ្ច EternalBlue ដើម្បីឆ្លងបណ្តាញ LAN និងបណ្តាញឥតខ្សែទូទាំងពិភពលោក។ EternalBlue ត្រូវបានគេកំណត់អត្តសញ្ញាណថាជាផ្នែកមួយនៃ Shadow Brokers dump ឧបករណ៍លួចចូល NSA។ វារកឃើញកុំព្យូទ័រដែលងាយរងគ្រោះ និងផ្សព្វផ្សាយបន្ទុកព្យាបាទ ដោយប្រើប្រាស់ភាពងាយរងគ្រោះរបស់ Microsoft Server Message Block MS17-010 នៅលើ TCP port 445។ ការរួមបញ្ចូល EternalBlue ជាមួយនឹងឧបករណ៍ខាងក្រោយរបស់ NSA មួយទៀតហៅថា DoublePulsar អ្នកវាយប្រហារបានដំឡើងការគំរាមកំហែង ransomware ដ៏ល្បីល្បាញ WannaCry ។
ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញការវាយប្រហារទ្រង់ទ្រាយធំមួយផ្សេងទៀតដែលប្រើទាំង EternalBlue និង DoublePulsar ដើម្បីឆ្លងកុំព្យូទ័រ ប៉ុន្តែពេលនេះជាមួយនឹងអ្នករុករករូបិយប័ណ្ណឌីជីថលដែលមានឈ្មោះថា Adylkuzz ។
ការរកឃើញនេះត្រូវបានធ្វើឡើងបន្ទាប់ពីចេតនាបង្ហាញម៉ាស៊ីនមន្ទីរពិសោធន៍ដែលងាយរងគ្រោះដោយ EternalBlue។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញថាឧបករណ៍នេះបានឆ្លងមេរោគ DoublePulsar លើការកេងប្រវ័ញ្ចដោយជោគជ័យតាមរយៈ EternalBlue ។ បន្ទាប់មក DoublePulsar បានបើកផ្លូវឱ្យ Adylkuzz រត់ពីម៉ាស៊ីនផ្សេងទៀត។ បន្ទាប់ពីរារាំងការទំនាក់ទំនង SMB អ្នករុករករ៉ែបានកំណត់អាសយដ្ឋាន IP សាធារណៈរបស់ជនរងគ្រោះ និងទាញយកការណែនាំអំពីការជីកយករ៉ែ រួមជាមួយនឹងឧបករណ៍សម្អាតជាក់លាក់។ Adylkuzz ត្រូវបានប្រើដើម្បីជីកយករូបិយប័ណ្ណ Monero នៅក្នុងករណីពិសេសនេះ។ ការសង្កេតអាសយដ្ឋាន Monero មួយក្នុងចំណោមអាស័យដ្ឋាន Monero ជាច្រើនដែលទាក់ទងនឹងការវាយប្រហារនេះបង្ហាញថាការជីកយករ៉ែបានឈប់បន្ទាប់ពី $22,000 ត្រូវបានបង់ទៅអាសយដ្ឋាននោះ។ ការទូទាត់ការជីកយករ៉ែក្នុងមួយថ្ងៃដែលភ្ជាប់ជាមួយអាសយដ្ឋានជាក់លាក់មួយក៏បង្ហាញថាអ្នកវាយប្រហារបានប្តូរជាទៀងទាត់រវាងអាសយដ្ឋានជាច្រើន ដើម្បីជៀសវាងកាក់ Monero ច្រើនពេកត្រូវបានផ្ទេរទៅអាសយដ្ឋានតែមួយ។
រោគសញ្ញាទូទៅនៃ Adylkuzz រួមមានការបាត់បង់ការចូលប្រើធនធាន Windows ដែលបានចែករំលែក និងដំណើរការកុំព្យូទ័រកាន់តែយ៉ាប់យ៉ឺន។ ក្នុងករណីជាច្រើននៃការសង្ស័យថាមានការវាយប្រហារ WannaCry លើបណ្តាញសាជីវកម្មខ្នាតធំ កង្វះសំបុត្រលោះមានន័យថាបញ្ហាបណ្តាញដែលបានរាយការណ៍ពិតជាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសកម្មភាព Adylkuzz ។ អ្នកស្រាវជ្រាវថែមទាំងអះអាងថា ស្ថិតិដំឡើង Adylkuzz បង្ហាញពីផលប៉ះពាល់ខ្លាំងជាងការវាយប្រហារ WannaCry ដោយសារតែអ្នករុករករ៉ែបិទបណ្តាញ SMB នៅលើកុំព្យូទ័រដែលរងផលប៉ះពាល់ ហើយដូច្នេះការពារការដំឡើងការគំរាមកំហែងមេរោគបន្ថែមតាមរយៈភាពងាយរងគ្រោះដូចគ្នា។ ដូច្នេះ Adylkuzz ពិតជាបានកំណត់ការផ្សព្វផ្សាយ WannaCry ក្នុងអំឡុងពេលនោះ។ ម៉ាស៊ីនជាង 20 ដើម្បីស្កេន និងវាយប្រហារត្រូវបានកំណត់អត្តសញ្ញាណក្នុងអំឡុងពេលស៊ើបអង្កេត រួមជាមួយនឹងម៉ាស៊ីនមេ Adylkuzz Command-and-Control សកម្មជាងដប់។
បច្ចុប្បន្ននេះ ភាពងាយរងគ្រោះដែលត្រូវបានប្រើប្រាស់ដោយឧបករណ៍លួចចូល EternalBlue និង DoublePulsar ដែលលេចធ្លាយត្រូវបានជួសជុល ដូច្នេះបុគ្គល និងស្ថាប័នត្រូវបានជំរុញឱ្យរក្សាកុំព្យូទ័រ Windows របស់ពួកគេឱ្យទាន់សម័យគ្រប់ពេលវេលា។