ក្របខ័ណ្ឌ DKnife AitM

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញពីក្របខ័ណ្ឌត្រួតពិនិត្យច្រកផ្លូវ និងគូប្រជែងនៅកណ្តាល (AitM) ដ៏ទំនើបមួយដែលត្រូវបានគេស្គាល់ថាជា DKnife ដែលត្រូវបានសន្មតថាជាតួអង្គគំរាមកំហែងដែលមានទំនាក់ទំនងរវាងប្រទេសចិន និងសកម្មតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2019។ ក្របខ័ណ្ឌនេះត្រូវបានបង្កើតឡើងដើម្បីដំណើរការនៅគែមបណ្តាញ ដែលអាចឱ្យមានការត្រួតពិនិត្យចរាចរណ៍ដោយសម្ងាត់ ការរៀបចំ និងការចែកចាយមេរោគតាមរយៈរ៉ោតទ័រ និងឧបករណ៍គែមដែលរងការសម្របសម្រួល។

ការកំណត់គោលដៅជាយុទ្ធសាស្ត្រលើអ្នកប្រើប្រាស់ដែលនិយាយភាសាចិន

DKnife ហាក់ដូចជាផ្តោតសំខាន់លើអ្នកប្រើប្រាស់ដែលនិយាយភាសាចិន។ ការវាយតម្លៃនេះត្រូវបានគាំទ្រដោយសូចនាករច្រើន រួមទាំងទំព័របន្លំដែលត្រូវបានរចនាឡើងសម្រាប់អ្នកផ្តល់សេវាអ៊ីមែលចិន ម៉ូឌុលលួចយកទិន្នន័យដែលផ្តោតលើកម្មវិធីទូរស័ព្ទចិនដែលប្រើប្រាស់យ៉ាងទូលំទូលាយដូចជា WeChat និងឯកសារយោងដែលបានអ៊ិនកូដយ៉ាងតឹងរ៉ឹងទៅកាន់ដែនមេឌៀចិននៅក្នុងកូដប្រភព។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវព្រមានថា ការសន្និដ្ឋាននេះគឺផ្អែកលើឯកសារកំណត់រចនាសម្ព័ន្ធដែលទាញយកពីម៉ាស៊ីនមេ Command-and-Control (C2) តែមួយ ដែលទុកលទ្ធភាពនៃហេដ្ឋារចនាសម្ព័ន្ធស្របគ្នាដែលត្រូវបានរចនាឡើងសម្រាប់តំបន់ផ្សេងទៀត។

ចំណង​ទាក់ទង​នឹង​សកម្មភាព​គំរាមកំហែង​ដែល​មាន​សម្ព័ន្ធភាព​ជាមួយ​ចិន​កាន់តែ​ទូលំទូលាយ

ក្របខ័ណ្ឌនេះត្រូវបានរកឃើញក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតលើចង្កោមគំរាមកំហែងចិនដ៏ទូលំទូលាយមួយដែលត្រូវបានតាមដានថាជា Earth Minotaur ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងឧបករណ៍កេងប្រវ័ញ្ច MOONSHINE និងទ្វារក្រោយ DarkNimbus (ដែលត្រូវបានគេស្គាល់ថាជា DarkNights)។ ជាពិសេស DarkNimbus ក៏ត្រូវបានដាក់ពង្រាយដោយក្រុមគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់មួយផ្សេងទៀតដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន ដែលគេស្គាល់ថាជា TheWizards។

ការវិភាគហេដ្ឋារចនាសម្ព័ន្ធបានបង្ហាញពីភាពត្រួតស៊ីគ្នារវាង DKnife និង WizardNet ដែលជាការបង្កប់ Windows ដែលប្រើប្រាស់ដោយ TheWizards និងបានបញ្ជូនតាមរយៈក្របខ័ណ្ឌ AitM ដែលមានឈ្មោះថា Spellbinder ដែលត្រូវបានចងក្រងជាសាធារណៈនៅក្នុងខែមេសា ឆ្នាំ 2025។ ការតភ្ជាប់ទាំងនេះគឺមានសារៈសំខាន់ដោយសារតែការកំណត់គោលដៅដែលគេស្គាល់របស់ TheWizards លើបុគ្គល និងអង្គភាពទាក់ទងនឹងល្បែងស៊ីសងនៅទូទាំងប្រទេសកម្ពុជា ហុងកុង ចិនដីគោក ហ្វីលីពីន និងអារ៉ាប់រួម។

ស្ថាបត្យកម្មម៉ូឌុលដែលផ្តោតលើលីនុច

មិនដូច WizardNet ទេ DKnife ត្រូវបានរចនាឡើងជាពិសេសសម្រាប់បរិស្ថានដែលមានមូលដ្ឋានលើ Linux ដែលធ្វើឱ្យវាស័ក្តិសមសម្រាប់ការដាក់ពង្រាយនៅលើរ៉ោតទ័រ និងឧបករណ៍គែម។ ក្របខ័ណ្ឌនេះត្រូវបានបញ្ជូនតាមរយៈកម្មវិធីទាញយក ELF ហើយប្រើប្រាស់ការរចនាម៉ូឌុលដែលអនុញ្ញាតឱ្យប្រតិបត្តិករអាចជ្រើសរើសសមត្ថភាពចាប់ពីការបញ្ជូនបន្តកញ្ចប់រហូតដល់ការស្ទាក់ចាប់ចរាចរណ៍ពេញលេញ និងការរៀបចំ។

សមាសធាតុ​ក្របខ័ណ្ឌ DKnife

• dknife.bin – ម៉ូឌុលស្នូលដែលទទួលខុសត្រូវចំពោះការត្រួតពិនិត្យកញ្ចប់ស៊ីជម្រៅ ការត្រួតពិនិត្យសកម្មភាពអ្នកប្រើប្រាស់ ការលួចចូល DNS និងការលួចចូលទាញយកប្រព័ន្ធគោលពីរ។
• postapi.bin – ឧបករណ៍បញ្ជូនតរាយការណ៍ដែលទទួលទិន្នន័យដែលប្រមូលបានពី DKnife ហើយបញ្ជូនវាបន្តទៅម៉ាស៊ីនមេ C2 ពីចម្ងាយ
• sslmm.bin – ប្រូកស៊ីបញ្ច្រាស HAProxy ដែលបានកែប្រែ ដែលប្រើសម្រាប់ការបញ្ចប់ TLS ការឌិគ្រីបអ៊ីមែល និងការបញ្ជូនបន្ត URL

ការប្រមូលផលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណតាមរយៈការឌិគ្រីបក្នុងបន្ទាត់

DKnife រួមបញ្ចូលមុខងារដែលឧទ្ទិសដល់ការលួចព័ត៌មានសម្ងាត់ ជាពិសេសការកំណត់គោលដៅអ្នកផ្តល់សេវាអ៊ីមែលចិនដ៏សំខាន់មួយ។ ម៉ូឌុល sslmm.bin បង្ហាញវិញ្ញាបនបត្រ TLS ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារដល់អតិថិជន បញ្ចប់ និងឌិគ្រីបការតភ្ជាប់ POP3 និង IMAP និងត្រួតពិនិត្យចរាចរណ៍អត្ថបទធម្មតាដើម្បីទាញយកឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។ ព័ត៌មានសម្ងាត់ដែលប្រមូលបានត្រូវបានដាក់ស្លាកតាមនោះ បញ្ជូនទៅ postapi.bin និងបញ្ជូនបន្តទៅម៉ាស៊ីនមេ C2 ពីចម្ងាយសម្រាប់ការប្រមូល និងវិភាគ។

ការត្រួតពិនិត្យកញ្ចប់ជ្រៅជាឧបករណ៍វាយប្រហារដែលអាចឱ្យវាយប្រហារបាន

នៅក្នុងបេះដូងនៃក្របខ័ណ្ឌគឺ dknife.bin ដែលអាចឱ្យមានការត្រួតពិនិត្យកញ្ចប់ស៊ីជម្រៅយ៉ាងទូលំទូលាយ និងការវិភាគចរាចរណ៍ពេលវេលាជាក់ស្តែង។ សមត្ថភាពនេះអនុញ្ញាតឱ្យប្រតិបត្តិករផ្លាស់ប្តូរយ៉ាងរលូនរវាងការត្រួតពិនិត្យអកម្ម និងការវាយប្រហារក្នុងជួរសកម្ម រួមទាំងការជំនួសការទាញយកកម្មវិធីស្របច្បាប់ជាមួយនឹងបន្ទុកមេរោគ។

សមត្ថភាពប្រតិបត្តិការសំខាន់ៗ

• ការចែកចាយការកំណត់រចនាសម្ព័ន្ធ C2 ដែលបានអាប់ដេតទៅកាន់វ៉ារ្យ៉ង់ Android និង Windows នៃមេរោគ DarkNimbus
• ការលួចចូលប្រព័ន្ធ DNS លើទាំង IPv4 និង IPv6 ដើម្បីប្តូរទិសចរាចរណ៍ដែលទាក់ទងនឹងដែនដែលទាក់ទងនឹង JD.com
• ការស្ទាក់ចាប់ និងការជំនួសការអាប់ដេតកម្មវិធី Android សម្រាប់ព័ត៌មានចិន ប្រព័ន្ធផ្សព្វផ្សាយស្ទ្រីម ការកែសម្រួលរូបភាព ពាណិជ្ជកម្មអេឡិចត្រូនិក សេវាហៅរថយន្ត ហ្គេម និងវេទិកាវីដេអូមនុស្សពេញវ័យ
• ការលួចចូលប្រព័ន្ធប្រតិបត្តិការ Windows និងការទាញយកប្រព័ន្ធគោលពីរផ្សេងទៀត ដើម្បីបញ្ជូនច្រកខាងក្រោយ ShadowPad តាមរយៈការផ្ទុក DLL ចំហៀង ហើយបន្ទាប់មកផ្ទុក DarkNimbus
• ការរំខានដល់ការទំនាក់ទំនងពីកម្មវិធីកំចាត់មេរោគ និងកម្មវិធីគ្រប់គ្រងប្រព័ន្ធ រួមទាំងផលិតផលពី 360 និង Tencent
• ការត្រួតពិនិត្យឥរិយាបថអ្នកប្រើប្រាស់តាមពេលវេលាជាក់ស្តែង ដែលចាត់ថ្នាក់តាមសកម្មភាពដូចជា ការផ្ញើសារ ការហៅជាសំឡេង និងវីដេអូ ការដើរទិញឥវ៉ាន់ ការប្រើប្រាស់ព័ត៌មាន ការស្វែងរកផែនទី ការផ្សាយតាមអ៊ីនធឺណិត ការលេងហ្គេម ការណាត់ជួប ការចែករំលែកការជិះ និងការប្រើប្រាស់អ៊ីមែល

ផលប៉ះពាល់សម្រាប់សុវត្ថិភាពគែមបណ្តាញ

រ៉ោតទ័រ និងឧបករណ៍គែមនៅតែបន្តតំណាងឱ្យគោលដៅដែលមានតម្លៃខ្ពស់នៅក្នុងយុទ្ធនាការឈ្លានពានកម្រិតខ្ពស់ និងកំណត់គោលដៅ។ ខណៈពេលដែលអ្នកគំរាមកំហែងផ្តោតកាន់តែខ្លាំងឡើងលើស្រទាប់ហេដ្ឋារចនាសម្ព័ន្ធនេះ ភាពមើលឃើញទៅក្នុងឧបករណ៍ និងបច្ចេកទេសដែលពួកគេប្រើប្រាស់ក្លាយជារឿងចាំបាច់។ ការលាតត្រដាងនៃក្របខ័ណ្ឌ DKnife គូសបញ្ជាក់ពីភាពចាស់ទុំនៃការគំរាមកំហែង AitM ទំនើប ដែលរួមបញ្ចូលគ្នានូវការត្រួតពិនិត្យកញ្ចប់ស៊ីជម្រៅ ការរៀបចំចរាចរណ៍ និងការចែកចាយមេរោគដែលត្រូវបានរៀបចំតាមតម្រូវការ ដើម្បីសម្របសម្រួលប្រភេទឧបករណ៍ជាច្រើនប្រភេទក្នុងទ្រង់ទ្រាយធំ។