Cryptocurrency Miner ដែលមានឈ្មោះថា 'Adylkuzz' វាយប្រហារបណ្តាញតាមរយៈ EternalBlue និង DoublePulsar Malware

ខណៈពេលដែល WannaCry Ransomware ដ៏ល្បីល្បាញបានបង្កើតចំណងជើងនៅក្នុងព័ត៌មានសន្តិសុខតាមអ៊ីនធឺណិតក្នុងឆ្នាំ 2017 តួអង្គព្យាបាទបាននឹងកំពុងប្រើប្រាស់ការកេងប្រវ័ញ្ចដូចគ្នាដើម្បីផ្សព្វផ្សាយអ្នករុករករូបិយប័ណ្ណគ្រីបតូឈ្មោះ Adylkuzz ។ ដូច WannaCry ដែរ Adylkuzz បានប្រើ ឧបករណ៍លួចចូល NSA ដែលលេចធ្លាយ ដើម្បីបង្កើនភាពងាយរងគ្រោះនៃបណ្តាញ Microsoft Windows និងបិទបណ្តាញនៅលើឧបករណ៍ដែលមានមេរោគ ធ្វើឱ្យអ្នកស្រាវជ្រាវជឿថា Adylkuzz ព្យាករណ៍ការវាយប្រហារ WannaCry តាមវិធីជាច្រើន។

នៅឆ្នាំ 2017 ការវាយប្រហារ ransomware ដ៏ធំមួយបានកេងប្រវ័ញ្ច EternalBlue ដើម្បីឆ្លងបណ្តាញ LAN និងបណ្តាញឥតខ្សែទូទាំងពិភពលោក។ EternalBlue ត្រូវ​បាន​គេ​កំណត់​អត្តសញ្ញាណ​ថា​ជា​ផ្នែក​មួយ​នៃ Shadow Brokers dump ឧបករណ៍​លួច​ចូល​ NSA។ វារកឃើញកុំព្យូទ័រដែលងាយរងគ្រោះ និងផ្សព្វផ្សាយបន្ទុកព្យាបាទ ដោយប្រើប្រាស់ភាពងាយរងគ្រោះរបស់ Microsoft Server Message Block MS17-010 នៅលើ TCP port 445។ ការរួមបញ្ចូល EternalBlue ជាមួយនឹងឧបករណ៍ខាងក្រោយរបស់ NSA មួយទៀតហៅថា DoublePulsar អ្នកវាយប្រហារបានដំឡើងការគំរាមកំហែង ransomware ដ៏ល្បីល្បាញ WannaCry ។

ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញការវាយប្រហារទ្រង់ទ្រាយធំមួយផ្សេងទៀតដែលប្រើទាំង EternalBlue និង DoublePulsar ដើម្បីឆ្លងកុំព្យូទ័រ ប៉ុន្តែពេលនេះជាមួយនឹងអ្នករុករករូបិយប័ណ្ណឌីជីថលដែលមានឈ្មោះថា Adylkuzz ។

ការ​រក​ឃើញ​នេះ​ត្រូវ​បាន​ធ្វើ​ឡើង​បន្ទាប់​ពី​ចេតនា​បង្ហាញ​ម៉ាស៊ីន​មន្ទីរ​ពិសោធន៍​ដែល​ងាយ​រង​គ្រោះ​ដោយ EternalBlue។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញថាឧបករណ៍នេះបានឆ្លងមេរោគ DoublePulsar លើការកេងប្រវ័ញ្ចដោយជោគជ័យតាមរយៈ EternalBlue ។ បន្ទាប់មក DoublePulsar បានបើកផ្លូវឱ្យ Adylkuzz រត់ពីម៉ាស៊ីនផ្សេងទៀត។ បន្ទាប់ពីរារាំងការទំនាក់ទំនង SMB អ្នករុករករ៉ែបានកំណត់អាសយដ្ឋាន IP សាធារណៈរបស់ជនរងគ្រោះ និងទាញយកការណែនាំអំពីការជីកយករ៉ែ រួមជាមួយនឹងឧបករណ៍សម្អាតជាក់លាក់។ Adylkuzz ត្រូវបានប្រើដើម្បីជីកយករូបិយប័ណ្ណ Monero នៅក្នុងករណីពិសេសនេះ។ ការសង្កេតអាសយដ្ឋាន Monero មួយក្នុងចំណោមអាស័យដ្ឋាន Monero ជាច្រើនដែលទាក់ទងនឹងការវាយប្រហារនេះបង្ហាញថាការជីកយករ៉ែបានឈប់បន្ទាប់ពី $22,000 ត្រូវបានបង់ទៅអាសយដ្ឋាននោះ។ ការទូទាត់ការជីកយករ៉ែក្នុងមួយថ្ងៃដែលភ្ជាប់ជាមួយអាសយដ្ឋានជាក់លាក់មួយក៏បង្ហាញថាអ្នកវាយប្រហារបានប្តូរជាទៀងទាត់រវាងអាសយដ្ឋានជាច្រើន ដើម្បីជៀសវាងកាក់ Monero ច្រើនពេកត្រូវបានផ្ទេរទៅអាសយដ្ឋានតែមួយ។

រោគសញ្ញាទូទៅនៃ Adylkuzz រួមមានការបាត់បង់ការចូលប្រើធនធាន Windows ដែលបានចែករំលែក និងដំណើរការកុំព្យូទ័រកាន់តែយ៉ាប់យ៉ឺន។ ក្នុងករណីជាច្រើននៃការសង្ស័យថាមានការវាយប្រហារ WannaCry លើបណ្តាញសាជីវកម្មខ្នាតធំ កង្វះសំបុត្រលោះមានន័យថាបញ្ហាបណ្តាញដែលបានរាយការណ៍ពិតជាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសកម្មភាព Adylkuzz ។ អ្នកស្រាវជ្រាវថែមទាំងអះអាងថា ស្ថិតិដំឡើង Adylkuzz បង្ហាញពីផលប៉ះពាល់ខ្លាំងជាងការវាយប្រហារ WannaCry ដោយសារតែអ្នករុករករ៉ែបិទបណ្តាញ SMB នៅលើកុំព្យូទ័រដែលរងផលប៉ះពាល់ ហើយដូច្នេះការពារការដំឡើងការគំរាមកំហែងមេរោគបន្ថែមតាមរយៈភាពងាយរងគ្រោះដូចគ្នា។ ដូច្នេះ Adylkuzz ពិតជាបានកំណត់ការផ្សព្វផ្សាយ WannaCry ក្នុងអំឡុងពេលនោះ។ ម៉ាស៊ីនជាង 20 ដើម្បីស្កេន និងវាយប្រហារត្រូវបានកំណត់អត្តសញ្ញាណក្នុងអំឡុងពេលស៊ើបអង្កេត រួមជាមួយនឹងម៉ាស៊ីនមេ Adylkuzz Command-and-Control សកម្មជាងដប់។

បច្ចុប្បន្ននេះ ភាពងាយរងគ្រោះដែលត្រូវបានប្រើប្រាស់ដោយឧបករណ៍លួចចូល EternalBlue និង DoublePulsar ដែលលេចធ្លាយត្រូវបានជួសជុល ដូច្នេះបុគ្គល និងស្ថាប័នត្រូវបានជំរុញឱ្យរក្សាកុំព្យូទ័រ Windows របស់ពួកគេឱ្យទាន់សម័យគ្រប់ពេលវេលា។