មេរោគ DarkMe

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលបានបង្ហាញនាពេលថ្មីៗនេះនៅក្នុង Microsoft Defender SmartScreen ត្រូវបានប្រើប្រាស់ជាការកេងប្រវ័ញ្ចគ្មានថ្ងៃដោយក្រុមគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ដែលគេស្គាល់ថា Water Hydra ដែលត្រូវបានកំណត់ថាជា DarkCasino ផងដែរ។ គោលដៅចម្បងនៃការវាយប្រហារនេះគឺបុគ្គលដែលពាក់ព័ន្ធនឹងការជួញដូរទីផ្សារហិរញ្ញវត្ថុ។ អ្នកស្រាវជ្រាវបានរកឃើញយុទ្ធនាការព្យាបាទនេះក្នុងខែធ្នូ ឆ្នាំ 2023។

អ្នកវាយប្រហារកំពុងទាញយកអត្ថប្រយោជន៍ពី CVE-2024-21412 ដែលជាភាពងាយរងគ្រោះឆ្លងកាត់សុវត្ថិភាពដែលទាក់ទងនឹងឯកសារផ្លូវកាត់អ៊ីនធឺណិត (.URL) ។ នៅក្នុងលំដាប់នៃការវាយប្រហារ តួអង្គគំរាមកំហែងប្រើប្រាស់ CVE-2024-21412 ដើម្បីគេចពី Microsoft Defender SmartScreen និងណែនាំមេរោគ DarkMe ដើម្បីឆ្លងដល់ជនរងគ្រោះដែលមិនសង្ស័យ។

ចាប់តាំងពីពេលនោះមក ក្រុមហ៊ុន Microsoft បានដោះស្រាយភាពងាយរងគ្រោះនេះនៅក្នុងការអាប់ដេត Patch Tuesday ខែកុម្ភៈ។ យោងតាមក្រុមហ៊ុន ហេកឃ័រដែលមិនបានផ្ទៀងផ្ទាត់អាចទាញយកអត្ថប្រយោជន៍ពីកំហុសដោយបញ្ជូនឯកសារដែលបានបង្កើតជាពិសេសទៅកាន់អ្នកប្រើប្រាស់គោលដៅ ដែលអនុញ្ញាតឱ្យពួកគេឆ្លងកាត់ការត្រួតពិនិត្យសុវត្ថិភាព។ ទោះជាយ៉ាងណាក៏ដោយ ភាពជោគជ័យនៃការកេងប្រវ័ញ្ចពឹងផ្អែកលើអ្នកគំរាមកំហែងដែលបញ្ចុះបញ្ចូលជនរងគ្រោះឱ្យចុចលើតំណភ្ជាប់ឯកសារ និងមើលមាតិកាដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

មេរោគ DarkMe Malware ត្រូវបានដាក់ឱ្យប្រើប្រាស់តាមរយៈខ្សែសង្វាក់វាយប្រហារពហុដំណាក់កាល

DarkMe បង្ហាញសមត្ថភាពមិនត្រឹមតែទាញយក និងប្រតិបត្តិការណែនាំបន្ថែមប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងចុះឈ្មោះខ្លួនវាជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) និងប្រមូលព័ត៌មានពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

ក្នុងអំឡុងពេលដំណើរការឆ្លងដែលត្រូវបានអង្កេត ការកេងប្រវ័ញ្ចនៃ CVE-2024-21412 ត្រូវបានគេប្រើប្រាស់ដើម្បីដាក់ពង្រាយឯកសារដំឡើងដែលមានគ្រោះថ្នាក់ ('7z.msi') ។ នេះត្រូវបានសម្រេចដោយការទាក់ទាញជនរងគ្រោះឱ្យចុចលើ URL ដែលជាប់គាំង ('fxbulls.ru') ដែលត្រូវបានផ្សព្វផ្សាយតាមរយៈវេទិកាពាណិជ្ជកម្ម Forex ។ ការទាក់ទាញត្រូវបានបង្ហាញក្រោមរូបភាពនៃការចែករំលែកតំណទៅកាន់រូបភាពតារាងភាគហ៊ុន។ ទោះយ៉ាងណាក៏ដោយ ខ្លឹមសារពិតប្រាកដនៃតំណភ្ជាប់គឺជាឯកសារផ្លូវកាត់អ៊ីនធឺណិត ('photo_2023-12-29.jpg.url') ។

ទំព័រចុះចតនៅលើ 'fxbulls.ru' មានតំណភ្ជាប់ដែលនាំទៅដល់ការចែករំលែក WebDAV ដែលគំរាមកំហែងជាមួយនឹងទិដ្ឋភាពដែលបានត្រងដោយប្រុងប្រយ័ត្ន។ នៅពេលដែលអ្នកប្រើប្រាស់ចុចលើតំណនេះ កម្មវិធីរុករកនឹងជំរុញឱ្យពួកគេបើកវានៅក្នុង Windows Explorer ។ គួរកត់សម្គាល់ថា វាមិនបង្កឱ្យមានការជម្រុញសុវត្ថិភាពទេ ដែលនាំឱ្យអ្នកប្រើប្រាស់មើលរំលងលក្ខណៈមិនមានសុវត្ថិភាពនៃតំណភ្ជាប់។

ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់នៃគ្រោងការណ៍នេះគឺការកេងប្រវ័ញ្ចរបស់តួអង្គគំរាមកំហែងនៃពិធីការកម្មវិធីស្វែងរក ដែលត្រូវបានប្រើជាទូទៅសម្រាប់ការហៅកម្មវិធីស្វែងរកផ្ទៃតុនៅលើ Windows ។ ពិធីការនេះត្រូវបានប្រើប្រាស់ខុសកាលពីអតីតកាល ដើម្បីចែកចាយមេរោគ។ ឧបាយកលដ៏ប៉ិនប្រសប់របស់តារាសម្តែងនៃពិធីការនេះបន្ថែមស្រទាប់នៃការបោកបញ្ឆោតបន្ថែមទៀតដល់ដំណើរការឆ្លង។

ក្រុម APT (Advanced Persistent Threat) ជារឿយៗកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ Zero-Day

វិធីសាស្រ្តប្លែកនេះចំពោះការយោងដែលប្រើនៅក្នុងខ្សែសង្វាក់ការឆ្លងមេរោគ DarkMe កើតឡើងពីការប្រើប្រាស់ផ្លូវកាត់ក្នុងផ្លូវកាត់មួយផ្សេងទៀត ដែលបានបង្ហាញប្រសិទ្ធភាពក្នុងការគេចចេញពី SmartScreen ។ ក្នុងករណីនេះ SmartScreen បរាជ័យក្នុងការអនុវត្ត Mark of the Web (MotW) ដែលជាសមាសធាតុ Windows ដ៏សំខាន់ដែលត្រូវបានរចនាឡើងដើម្បីជូនដំណឹងដល់អ្នកប្រើប្រាស់នៅពេលបើក ឬដំណើរការឯកសារពីប្រភពដែលមិនគួរឱ្យទុកចិត្ត។

គោលបំណងចុងក្រោយនៃយុទ្ធនាការនេះគឺដើម្បីចែកចាយមេរោគ Visual Basic Trojan ដែលគេស្គាល់ថា DarkMe នៅក្នុងផ្ទៃខាងក្រោយ។ ក្នុងពេលដំណាលគ្នា យុទ្ធនាការនេះរក្សានូវមុខមាត់ដែលបោកបញ្ឆោតដោយបង្ហាញក្រាហ្វភាគហ៊ុនដល់ជនរងគ្រោះ ដោយលាក់បាំងនូវលក្ខណៈពិតនៃខ្សែសង្វាក់កេងប្រវ័ញ្ច និងការឆ្លងមេរោគ។

គួរកត់សម្គាល់ថា ភាពងាយរងគ្រោះដែលទើបរកឃើញថ្មី ដែលត្រូវបានកំណត់អត្តសញ្ញាណជាញឹកញាប់ដោយក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត អាចស្វែងរកផ្លូវរបស់ពួកគេចូលទៅក្នុងឃ្លាំងអាវុធនៃក្រុមលួចចូលរដ្ឋ។ អ្នកវាយប្រហារដ៏ទំនើបទាំងនេះ ដូចជា Water Hydra មានជំនាញបច្ចេកទេស និងឧបករណ៍ដែលត្រូវការដើម្បីស្វែងរក និងទាញយកភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុងយុទ្ធនាការកម្រិតខ្ពស់។ នេះអនុញ្ញាតឱ្យពួកគេដាក់ពង្រាយមេរោគដែលមានការបំផ្លិចបំផ្លាញខ្ពស់ដូចជា DarkMe ដោយបង្ហាញពីសមត្ថភាពរបស់ពួកគេក្នុងការប្រតិបត្តិការវាយប្រហារដ៏ស្មុគស្មាញ និងខ្លាំងក្លា។