CurKeep Backdoor
ការគំរាមកំហែងមេរោគផ្ទាល់ខ្លួនដែលគេស្គាល់ថាជា CurKeep Backdoor ត្រូវបានកំណត់ថាជាធាតុផ្សំសំខាន់នៅក្នុងយុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណិតដែលទើបនឹងរកឃើញហៅថា 'Stayin' Alive'។ យុទ្ធនាការដែលកំពុងបន្តនេះ ដែលបានចាប់ផ្តើមនៅឆ្នាំ 2021 ត្រូវបានផ្តោតជាពិសេសលើអង្គការរដ្ឋាភិបាល និងអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅក្នុងប្រទេសអាស៊ីផ្សេងៗ។ អ្នកវាយប្រហារនៅពីក្រោយយុទ្ធនាការនេះប្រើប្រាស់មេរោគ 'ដែលអាចចោលបាន' ជាច្រើនប្រភេទ ដើម្បីជៀសវាងការរកឃើញ។
ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានសង្កេតឃើញថាផ្នែកសំខាន់នៃគោលដៅនៃយុទ្ធនាការនេះមានទីតាំងនៅប្រទេសមួយចំនួនដូចជា កាហ្សាក់ស្ថាន អ៊ូសបេគីស្ថាន ប៉ាគីស្ថាន និងវៀតណាម។ យុទ្ធនាការ 'Stayin' Alive' នៅតែសកម្ម និងបន្តគំរាមកំហែង។
ការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺណេតដែលជាប់ទាក់ទងនឹងយុទ្ធនាការនេះត្រូវបានសន្មតថាជាក្រុមចារកម្មចិនដែលហៅថា 'ToddyCat'។ ក្រុមនេះប្រើប្រាស់សារ spear-phishing ដែលផ្ទុកឯកសារភ្ជាប់គំរាមកំហែង ដែលត្រូវបានប្រើដើម្បីផ្តល់កម្មវិធីផ្ទុកមេរោគ និង backdoors ជាច្រើន។
CurKeep Backdoor ត្រូវបានដាក់ពង្រាយតាមរយៈ Spear-Phishing Tactics
អ្នកស្រាវជ្រាវបានរកឃើញឧបករណ៍ផ្ទាល់ខ្លួនជាច្រើនដែលប្រើដោយអ្នកគំរាមកំហែង ដែលពួកគេជឿថាត្រូវបានរចនាឡើងដើម្បីអាចចោលបានក្នុងគោលបំណងរារាំងការរកឃើញ និងការពារការភ្ជាប់នៃការវាយប្រហារផ្សេងៗ។
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីម៉ែលបន្លំដោយលំពែង ដែលត្រូវបានរៀបចំយ៉ាងប្រុងប្រយ័ត្នដើម្បីកំណត់គោលដៅបុគ្គលជាក់លាក់នៅក្នុងស្ថាប័នសំខាន់ៗ ដោយជំរុញឱ្យពួកគេបើកឯកសារ ZIP ដែលភ្ជាប់មកជាមួយ។ នៅក្នុងប័ណ្ណសារ មានសញ្ញាឌីជីថលដែលអាចប្រតិបត្តិបាន ដោយដាក់ឈ្មោះដោយប្រុងប្រយ័ត្ន ដើម្បីតម្រឹមជាមួយបរិបទរបស់អ៊ីមែល។ វាក៏មានផ្ទុកនូវ DLL ដែលខូចដែលទាញយកភាពងាយរងគ្រោះ (CVE-2022-23748) នៅក្នុងកម្មវិធី Dante Discovery របស់ Audinate ដោយហេតុនេះជួយសម្រួលដល់ការផ្ទុកផ្នែកខាងនៃមេរោគ CurKeep ទៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
CurKeep ដែលជា backdoor ទម្ងន់ស្រាល 10kb ទទួលខុសត្រូវក្នុងការបង្កើតភាពជាប់លាប់នៅលើឧបករណ៍ដែលបំពាន។ វាបញ្ជូនព័ត៌មានប្រព័ន្ធទៅម៉ាស៊ីនមេ command-and-control (C2) ហើយបន្ទាប់មករង់ចាំការណែនាំបន្ថែម។ Backdoor នេះមានសមត្ថភាពក្នុងការទាញយកបញ្ជីឈ្មោះចេញពីឯកសារកម្មវិធីរបស់ជនរងគ្រោះ ដោយផ្តល់នូវការយល់ដឹងអំពីកម្មវិធីដែលបានដំឡើងនៅលើកុំព្យូទ័រ។ វាអាចប្រតិបត្តិពាក្យបញ្ជា និងបញ្ជូនលទ្ធផលទៅម៉ាស៊ីនបម្រើ C2 ព្រមទាំងធ្វើកិច្ចការដែលផ្អែកលើឯកសារតាមការណែនាំរបស់ប្រតិបត្តិកររបស់វា។
បន្ថែមពីលើ CurKeep យុទ្ធនាការនេះប្រើប្រាស់ឧបករណ៍ផ្សេងទៀត ជាចម្បងកម្មវិធីផ្ទុកទិន្នន័យ ដែលត្រូវបានអនុវត្តតាមរយៈវិធីសាស្ត្រផ្ទុកចំហៀងរបស់ DLL ស្រដៀងគ្នា។ គួរកត់សម្គាល់ថាក្នុងចំណោមពួកគេគឺកម្មវិធីផ្ទុក CurLu, CurCore, និង CurLog loader ដែលនីមួយៗបំពាក់ដោយមុខងារពិសេសៗ និងយន្តការឆ្លងមេរោគ។
ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត 'Stayin' Alive' ត្រូវបានរៀបចំឡើងតាមគោលដៅជាក់លាក់
'Stayin' Alive' ប្រើប្រាស់ជួរនៃគំរូ និងកំណែផ្សេងគ្នានៃកម្មវិធីផ្ទុក និងបន្ទុកទាំងនេះ ដែលប្ដូរតាមបំណងជាញឹកញាប់ដើម្បីឱ្យសមនឹងគោលដៅក្នុងតំបន់ជាក់លាក់ រួមទាំងភាសា ឈ្មោះឯកសារ និងធាតុប្រធានបទ។ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតជឿថា ចង្កោមដែលទើបនឹងរកឃើញគឺប្រហែលគ្រាន់តែជាផ្នែកនៃយុទ្ធនាការធំជាងនេះ ដែលរួមបញ្ចូលឧបករណ៍ដែលមិនបានបង្ហាញបន្ថែម និងបច្ចេកទេសវាយប្រហារ។
ដោយផ្អែកលើការចាត់ថ្នាក់យ៉ាងទូលំទូលាយនៃឧបករណ៍ពិសេសដែលប្រើប្រាស់ក្នុងការវាយប្រហារទាំងនេះ និងកម្រិតខ្ពស់នៃការប្ដូរតាមបំណងរបស់ពួកគេ វាគឺជាភស្តុតាងដែលថាពួកវាត្រូវបានរចនាឡើងដើម្បីងាយស្រួលបោះចោល។ ទោះបីជាមានភាពខុសគ្នានៅក្នុងកូដនៃឧបករណ៍ទាំងនេះក៏ដោយ ក៏ពួកគេទាំងអស់បង្កើតការតភ្ជាប់ជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធដូចគ្នា ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹង ToddyCat ដែលជាក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់ចិន។
