Deadglyph Backdoor

ថ្មីៗនេះ អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញនូវ backdoor កម្រិតខ្ពស់ដែលគេស្គាល់ថា "Deadglyph" ដែលមិនត្រូវបានកត់ត្រាពីមុនមក។ មេរោគដ៏ស្មុគ្រស្មាញនេះត្រូវបានជួលដោយតួអង្គគំរាមកំហែងដែលមានឈ្មោះថា "Stealth Falcon" ដែលជាផ្នែកមួយនៃយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតរបស់ពួកគេ។

អ្វីដែលបំបែក Deadglyph គឺស្ថាបត្យកម្មមិនធម្មតារបស់វា ដែលមានសមាសធាតុសហការពីរ។ មួយ​ជា​ប្រព័ន្ធ​គោល​ពីរ x64 ដើម​ខណៈ​ដែល​មួយ​ទៀត​ជា​ការ​ជួប​ប្រជុំ​គ្នា .NET។ ការចាកចេញនេះពីបទដ្ឋានគឺគួរអោយកត់សម្គាល់ព្រោះមេរោគភាគច្រើនជាធម្មតាពឹងផ្អែកលើភាសាសរសេរកម្មវិធីតែមួយសម្រាប់សមាសធាតុរបស់វា។ ការទទួលយកវិធីសាស្រ្តពីរភាសានេះ បង្ហាញពីលទ្ធភាពនៃកិច្ចខិតខំប្រឹងប្រែងអភិវឌ្ឍន៍ដាច់ដោយឡែកសម្រាប់សមាសភាគទាំងពីរនេះ ដោយផ្តោតលើសមត្ថភាពពិសេសនៃភាសាសរសេរកម្មវិធីនីមួយៗ។

លើស​ពី​នេះ​ទៅ​ទៀត វា​ត្រូវ​បាន​គេ​សង្ស័យ​ថា​ការ​ប្រើ​ប្រាស់​ដោយ​ចេតនា​នៃ​ភាសា​សរសេរ​កម្មវិធី​ផ្សេង​គ្នា​បម្រើ​ជា​យុទ្ធសាស្ត្រ​មួយ​ដើម្បី​រារាំង​កិច្ច​ខិតខំ​ប្រឹងប្រែង​ក្នុង​ការ​វិភាគ។ នេះធ្វើឱ្យវាកាន់តែមានការប្រកួតប្រជែងខ្លាំងសម្រាប់អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពក្នុងការរុករក និងបំបាត់មេរោគ រួមទាំងភាពស្មុគស្មាញមួយបន្ថែមទៀតចំពោះការរកឃើញ និងការបន្ធូរបន្ថយរបស់វា។

Deadglyph Backdoor បង្ហាញលក្ខណៈមិនធម្មតា

Deadglyph តំណាងឱ្យការបន្ថែមចុងក្រោយបំផុតទៅកាន់ឃ្លាំងអាវុធរបស់ Stealth Falcon ដែលប្រើប្រាស់នៅក្នុងអង្គភាពរដ្ឋាភិបាលដែលមិនបានបង្ហាញឱ្យឃើញនៅមជ្ឈិមបូព៌ា។ ដោយកំណត់វាខុសពី backdoors ធម្មតា ឧបករណ៍គំរាមកំហែងនេះទទួលបានពាក្យបញ្ជាពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង។ ពាក្យបញ្ជាទាំងនេះមកដល់ក្នុងទម្រង់នៃម៉ូឌុលបន្ថែម ដែលផ្តល់ឱ្យ Deadglyph នូវសមត្ថភាពក្នុងការចាប់ផ្តើមដំណើរការថ្មី ចូលប្រើឯកសារ និងប្រមូលទិន្នន័យពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

វិធីសាស្រ្តពិតប្រាកដនៃការសម្រាលកូនដោយផ្សាំនៅតែជាអាថ៌កំបាំង។ ទោះយ៉ាងណាក៏ដោយ គន្លឹះដំបូងសម្រាប់ការប្រតិបត្តិរបស់វាគឺកម្មវិធីផ្ទុកកូដសែលដែលទាញយក និងផ្ទុកសែលកូដពី Windows Registry ។ នេះ, ជាវេន, ផ្តួចផ្តើមការប្រតិបត្តិនៃសមាសភាគ x64 ដើមរបស់ Deadglyph ដែលត្រូវបានគេស្គាល់ថាជា "ប្រតិបត្តិករ" ។

ការឆ្លងមេរោគ Deadglyph អាចមានផលវិបាកធ្ងន់ធ្ងរដល់ជនរងគ្រោះ

Executor នៅពេលដែលបានធ្វើឱ្យសកម្ម ដំណើរការបន្តដើម្បីផ្ទុកសមាសធាតុ .NET ដែលហៅថា "Orchestrator"។ Orchestrator បង្កើតការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដោយរង់ចាំការណែនាំបន្ថែម។ មេរោគនេះក៏ប្រើល្បិចគេចវេសជាបន្តបន្ទាប់ ដើម្បីនៅខាងក្រោមរ៉ាដា សូម្បីតែមានលទ្ធភាពលុបការដំឡើងដោយខ្លួនឯងក៏ដោយ។ ពាក្យ​បញ្ជា​ដែល​បាន​ទទួល​ពី​ម៉ាស៊ីន​បម្រើ​ត្រូវ​បាន​ដាក់​ជា​ជួរ​សម្រាប់​ការ​ប្រតិបត្តិ ដោយ​ធ្លាក់​ទៅ​ជា​បី​ប្រភេទ​ផ្សេង​គ្នា៖ ភារកិច្ច Orchestrator ភារកិច្ច​ប្រតិបត្តិ និង​ភារកិច្ច​ផ្ទុក​ឡើង។

ភារកិច្ចប្រតិបត្តិផ្តល់ការគ្រប់គ្រងលើការគ្រប់គ្រងរបស់ backdoor និងការប្រតិបត្តិនៃម៉ូឌុលបន្ថែម។ ម៉្យាងទៀត ភារកិច្ច Orchestrator គ្រប់គ្រងការកំណត់រចនាសម្ព័ន្ធនៃបណ្តាញ និងម៉ូឌុលកម្មវិធីកំណត់ពេល ហើយអាចលុបចោលកិច្ចការដែលមិនទាន់សម្រេច។

ភារកិច្ចប្រតិបត្តិជាច្រើនត្រូវបានកំណត់អត្តសញ្ញាណ រួមទាំងការបង្កើតដំណើរការ ការចូលប្រើឯកសារ និងការប្រមូលទិន្នន័យមេតារបស់ប្រព័ន្ធ។ ម៉ូឌុលកម្មវិធីកំណត់ពេលវេលាទាក់ទងជាទៀងទាត់ទៅម៉ាស៊ីនមេ C2 ដោយភ្ជាប់ជាមួយម៉ូឌុលបណ្តាញ សម្របសម្រួលទំនាក់ទំនង C2 តាមរយៈសំណើ HTTPS POST ។ ផ្ទុកឡើងភារកិច្ច ដូចដែលឈ្មោះរបស់វាបង្កប់ន័យ បើកដំណើរការ backdoor ដើម្បីបញ្ជូនលទ្ធផលនៃពាក្យបញ្ជា និងកំហុសដែលបានជួបប្រទះណាមួយ។

Deadglyph មានអារេនៃយន្តការប្រឆាំងការរកឃើញ រួមទាំងការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃដំណើរការប្រព័ន្ធ និងការអនុវត្តគំរូបណ្តាញចៃដន្យ។ លើស​ពី​នេះ​ទៅ​ទៀត វា​មាន​សមត្ថភាព​ក្នុង​ការ​លុប​ចេញ​ដោយ​ខ្លួន​ឯង​ក្នុង​សេណារីយ៉ូ​មួយ​ចំនួន​ដើម្បី​កាត់​បន្ថយ​លទ្ធភាព​នៃ​ការ​រក​ឃើញ។

ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត Stealth Falcon បានដំណើរការជិតមួយទសវត្សរ៍មកហើយ

Stealth Falcon ដែលត្រូវបានគេស្គាល់ផងដែរថាជា FruityArmor បានចាប់ផ្តើមការចាប់អារម្មណ៍ជាសាធារណៈក្នុងឆ្នាំ 2016 នៅពេលដែលអ្នកស្រាវជ្រាវបានរកឃើញការជាប់ពាក់ព័ន្ធរបស់ខ្លួនក្នុងការវាយប្រហារតាម spyware គោលដៅនៅក្នុងមជ្ឈឹមបូព៌ា។ ការវាយប្រហារទាំងនេះគឺសំដៅទៅលើអ្នកសារព័ត៌មាន សកម្មជន និងអ្នកប្រឆាំងនៅអារ៉ាប់រួម (UAE)។ តួអង្គគម្រាមកំហែងបានប្រើយុទ្ធសាស្ត្របន្លំលំពែង ដោយទាក់ទាញជនរងគ្រោះជាមួយនឹងតំណភ្ជាប់បញ្ឆោតដែលបានបង្កប់នៅក្នុងអ៊ីមែល ដែលនាំទៅដល់ឯកសារដែលផ្ទុកដោយម៉ាក្រូ។ ឯកសារទាំងនេះបានបម្រើការជាយន្តការចែកចាយសម្រាប់ការផ្សាំផ្ទាល់ខ្លួនដែលមានសមត្ថភាពអាចប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត។

ការស៊ើបអង្កេតជាបន្តបន្ទាប់ក្នុងឆ្នាំ 2019 បានបង្ហាញនូវប្រតិបត្តិការសម្ងាត់មួយដែលមានឈ្មោះថា Project Raven ដែលបង្ហាញពីក្រុមអតីតអ្នកជំនាញចារកម្មអាមេរិកដែលត្រូវបានជ្រើសរើសដោយក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតហៅថា DarkMatter។ បេសកកម្មរបស់ពួកគេគឺធ្វើការត្រួតពិនិត្យលើបុគ្គលដែលរិះគន់របបរាជានិយមអារ៉ាប់។ គួរកត់សម្គាល់ថា Stealth Falcon និង Project Raven ហាក់ដូចជាតែមួយ និងដូចគ្នា ដូចដែលបានបង្ហាញដោយយុទ្ធសាស្ត្រ និងគោលដៅរួមគ្នារបស់ពួកគេ។

យូរ ៗ ទៅក្រុមនេះត្រូវបានភ្ជាប់ទៅការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុង Windows រួមទាំង CVE-2018-8611 និង CVE-2019-0797 ។ អ្នកស្រាវជ្រាវសន្តិសុខព័ត៌មានបានកត់សម្គាល់ថា ចន្លោះឆ្នាំ 2016 និង 2019 ក្រុមចារកម្មនេះបានប្រើប្រាស់យ៉ាងទូលំទូលាយនូវភាពងាយរងគ្រោះសូន្យថ្ងៃជាងអង្គភាពដទៃទៀត។

ជុំវិញរយៈពេលដូចគ្នានេះ មារសត្រូវត្រូវបានគេសង្កេតឃើញដោយប្រើ backdoor ដែលគេស្គាល់ថា Win32/StealthFalcon ។ ការគំរាមកំហែងនេះបានប្រើប្រាស់ប្រព័ន្ធ Windows Background Intelligent Transfer Service (BITS) សម្រាប់ការទំនាក់ទំនង Command-and-Control (C2) ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងពេញលេញលើចំណុចបញ្ចប់ដែលត្រូវបានសម្របសម្រួល។