ទ្វារក្រោយ DRILLAPP
អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណយុទ្ធនាការគំរាមកំហែងថ្មីមួយដែលកំណត់គោលដៅលើអង្គការអ៊ុយក្រែន ដោយមានសូចនាករបង្ហាញពីការចូលរួមពីអ្នកធ្វើសកម្មភាពដែលមានទំនាក់ទំនងជាមួយរុស្ស៊ី។ សកម្មភាពនេះ ដែលត្រូវបានគេសង្កេតឃើញជាលើកដំបូងនៅក្នុងខែកុម្ភៈ ឆ្នាំ២០២៦ បង្ហាញពីការត្រួតស៊ីគ្នាខាងបច្ចេកទេសជាមួយនឹងប្រតិបត្តិការមុនដែលត្រូវបានសន្មតថាជារបស់ក្រុមដែលគេស្គាល់ថាជា Laundry Bear (ដែលត្រូវបានតាមដានថាជា UAC-0190 ឬ Void Blizzard)។ យុទ្ធនាការមុននោះបានកំណត់គោលដៅលើកងកម្លាំងការពារជាតិអ៊ុយក្រែន និងបានដាក់ពង្រាយមេរោគមួយប្រភេទហៅថា PLUGGYAPE។
ប្រតិបត្តិការចុងក្រោយបំផុតបានណែនាំ backdoor ដែលមានមូលដ្ឋានលើ JavaScript ដែលប្រតិបត្តិតាមរយៈកម្មវិធីរុករក Microsoft Edge។ មេរោគនេះ ដែលត្រូវបានអ្នកស្រាវជ្រាវហៅថា DRILLAPP ត្រូវបានរចនាឡើងដើម្បីទាញយកសមត្ថភាពកម្មវិធីរុករក ដើម្បីផ្ទុកឡើង និងទាញយកឯកសារ ចូលប្រើមីក្រូហ្វូន និងចាប់យករូបភាពពី webcam របស់ជនរងគ្រោះ។
អ្នកវាយប្រហារពឹងផ្អែកលើយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដើម្បីចែកចាយសមាសធាតុព្យាបាទ។ ល្បិចកលដែលយោងទៅលើបញ្ហាផ្លូវច្បាប់ ឬបុព្វហេតុសប្បុរសធម៌ត្រូវបានប្រើដើម្បីលើកទឹកចិត្តជនរងគ្រោះឱ្យបើកឯកសារព្យាបាទ និងចាប់ផ្តើមខ្សែសង្វាក់នៃការឆ្លងមេរោគ។
តារាងមាតិកា
នុយបោកបញ្ឆោត និងវិធីសាស្ត្រឆ្លងដំបូង
យុទ្ធនាការនេះត្រូវបានគេសង្កេតឃើញជាពីរប្រភេទផ្សេងគ្នា។ កំណែទីមួយ ដែលត្រូវបានរកឃើញនៅដើមខែកុម្ភៈ ឆ្នាំ២០២៦ ប្រើឯកសារផ្លូវកាត់វីនដូ (LNK) ជាយន្តការចែកចាយដំបូង។ នៅពេលប្រតិបត្តិ ផ្លូវកាត់នឹងបង្កើតឯកសារកម្មវិធី HTML (HTA) នៅក្នុងថតបណ្ដោះអាសន្នរបស់ប្រព័ន្ធ។ បន្ទាប់មកឯកសារ HTA នេះទាញយកស្គ្រីបពីចម្ងាយដែលបង្ហោះនៅលើសេវាកម្មចែករំលែកការបិទភ្ជាប់ស្របច្បាប់ Pastefy។
ដើម្បីរក្សាស្ថេរភាពលើប្រព័ន្ធដែលរងការសម្របសម្រួល អ្នកវាយប្រហារចម្លងឯកសារ LNK ដែលមានគំនិតអាក្រក់ទៅក្នុងថតឯកសារ Windows Startup ដោយធានាថាវាដំណើរការដោយស្វ័យប្រវត្តិបន្ទាប់ពីការចាប់ផ្តើមប្រព័ន្ធឡើងវិញនីមួយៗ។ នៅពេលដែលខ្សែសង្វាក់នៃការឆ្លងមេរោគចាប់ផ្តើម ជនរងគ្រោះត្រូវបានបង្ហាញជាមួយ URL ដែលមានប្រធានបទបញ្ឆោត រួមទាំងការណែនាំទាក់ទងនឹងការដំឡើង Starlink ឬឯកសារយោងទៅកាន់មូលនិធិសប្បុរសធម៌អ៊ុយក្រែន Come Back Alive Foundation។
ឯកសារ HTA នៅទីបំផុតនឹងបើកដំណើរការតាមរយៈកម្មវិធីរុករក Microsoft Edge ដែលដំណើរការក្នុងរបៀបគ្មានក្បាល ដែលអនុញ្ញាតឱ្យកម្មវិធីរុករកប្រតិបត្តិស្គ្រីបដែលលាក់ទុកដែលទាញយកពី Pastefy ដោយមិនបង្ហាញបង្អួចកម្មវិធីរុករកស្តង់ដារ។
ការកេងប្រវ័ញ្ចប៉ារ៉ាម៉ែត្រកម្មវិធីរុករកសម្រាប់ការចូលប្រើដោយលួចលាក់
ដើម្បីបង្កើនសមត្ថភាពរបស់វា ដំណើរការព្យាបាទនឹងបើកដំណើរការកម្មវិធីរុករក Edge ជាមួយនឹងប៉ារ៉ាម៉ែត្រច្រើនដែលធ្វើឱ្យការការពារសុវត្ថិភាពដែលភ្ជាប់មកជាមួយចុះខ្សោយ និងអនុញ្ញាតឱ្យមានការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះធនធានប្រព័ន្ធដ៏រសើប។
ប៉ារ៉ាម៉ែត្រទាំងនេះអនុញ្ញាតឱ្យឧទាហរណ៍កម្មវិធីរុករករំលងការការពារធម្មតា ហើយអនុវត្តសកម្មភាពដែលជាធម្មតាត្រូវបានរឹតត្បិតដោយគំរូសុវត្ថិភាពកម្មវិធីរុករក។ ការកំណត់រចនាសម្ព័ន្ធនេះអនុញ្ញាតឱ្យមេរោគចូលប្រើឯកសារក្នុងស្រុក ចាប់យកស្ទ្រីមអូឌីយ៉ូ និងវីដេអូ និងថតសកម្មភាពអេក្រង់ដោយមិនចាំបាច់មានអន្តរកម្មពីជនរងគ្រោះឡើយ។
ប៉ារ៉ាម៉ែត្រកម្មវិធីរុករកសំខាន់ៗដែលប្រើក្នុងការវាយប្រហាររួមមាន៖
--គ្មានប្រអប់ខ្សាច់
--បិទសុវត្ថិភាពបណ្ដាញ
--អនុញ្ញាតឲ្យឯកសារចូលដំណើរការពីឯកសារ
--ប្រើ--UI-ក្លែងក្លាយ-សម្រាប់-ស្ទ្រីម-មេឌៀ
--ជ្រើសរើសប្រភពចាប់យកអេក្រង់ដោយស្វ័យប្រវត្តិ=ពិត
--បិទសុវត្ថិភាពមេឌៀអ្នកប្រើប្រាស់
តាមរយៈការរំលោភបំពានការកំណត់ទាំងនេះ កម្មវិធីរុករកក្លាយជាសមាសធាតុមុខងារនៃហេដ្ឋារចនាសម្ព័ន្ធមេរោគ ជាជាងគ្រាន់តែជាវេទិកាចែកចាយប៉ុណ្ណោះ។
សមត្ថភាព Backdoor និងការឃ្លាំមើលដែលមានមូលដ្ឋានលើកម្មវិធីរុករក
វត្ថុបុរាណ DRILLAPP ដំណើរការជា Backdoor ទម្ងន់ស្រាល ប៉ុន្តែអាចបត់បែនបាន។ នៅពេលដែលវាសកម្ម វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើអន្តរកម្មជាមួយប្រព័ន្ធដែលឆ្លងមេរោគតាមរយៈសមត្ថភាពដែលបើកដំណើរការដោយកម្មវិធីរុករក ដោយផ្លាស់ប្តូរកម្មវិធីរុករកទៅជាឧបករណ៍ឃ្លាំមើលពីចម្ងាយប្រកបដោយប្រសិទ្ធភាព។
មេរោគនេះមានសមត្ថភាពអនុវត្តប្រតិបត្តិការជាច្រើនដែលអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យ និងការប្រមូលទិន្នន័យយ៉ាងទូលំទូលាយពីឧបករណ៍ដែលរងការគំរាមកំហែង។
សមត្ថភាពស្នូលរួមមាន៖
- ការផ្ទុកឡើង និងទាញយកឯកសារពីប្រព័ន្ធក្នុងស្រុក
- កំពុងថតសំឡេងតាមរយៈមីក្រូហ្វូនឧបករណ៍
- ការថតវីដេអូតាមរយៈ webcam
- ការថតរូបភាពអេក្រង់នៃអេក្រង់ប្រព័ន្ធ
- ការបង្កើតស្នាមម្រាមដៃឧបករណ៍តែមួយគត់ដោយប្រើបច្ចេកទេសស្នាមម្រាមដៃផ្ទាំងក្រណាត់
ក្នុងអំឡុងពេលនៃការប្រតិបត្តិលើកដំបូងរបស់វា មេរោគនេះបង្កើតស្នាមម្រាមដៃឧបករណ៍ ហើយប្រើ Pastefy ជា 'dead-drop resolver' ដើម្បីទាញយកអាសយដ្ឋាន WebSocket ដែលប្រើសម្រាប់ការទំនាក់ទំនងបញ្ជា និងគ្រប់គ្រង។ ស្ថាបត្យកម្មនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្តូរទិសប្រព័ន្ធដែលឆ្លងមេរោគទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធប្រតិបត្តិការរបស់ពួកគេ។
ទ្វារក្រោយក៏បញ្ជូនស្នាមម្រាមដៃរបស់ឧបករណ៍រួមជាមួយទីតាំងភូមិសាស្ត្រដែលបានសន្និដ្ឋានរបស់ជនរងគ្រោះផងដែរ។ ទីតាំងត្រូវបានកំណត់ចេញពីតំបន់ពេលវេលារបស់ប្រព័ន្ធ ហើយត្រូវបានត្រួតពិនិត្យទល់នឹងបញ្ជីដែលបានកំណត់ជាមុនដែលរួមមានចក្រភពអង់គ្លេស រុស្ស៊ី អាល្លឺម៉ង់ បារាំង ចិន ជប៉ុន សហរដ្ឋអាមេរិក ប្រេស៊ីល ឥណ្ឌា អ៊ុយក្រែន កាណាដា អូស្ត្រាលី អ៊ីតាលី អេស្ប៉ាញ និងប៉ូឡូញ។ ប្រសិនបើតំបន់ពេលវេលាមិនត្រូវគ្នានឹងតំបន់ណាមួយទាំងនេះទេ មេរោគនឹងកំណត់អត្តសញ្ញាណប្រព័ន្ធថាមានទីតាំងនៅសហរដ្ឋអាមេរិកតាមលំនាំដើម។
បច្ចេកទេសវិវត្តន៍នៅក្នុងបំរែបំរួលយុទ្ធនាការទីពីរ
កំណែទីពីរនៃយុទ្ធនាការនេះបានលេចចេញជារូបរាងនៅចុងខែកុម្ភៈ ឆ្នាំ២០២៦ ដោយបានណែនាំការកែប្រែជាច្រើន ខណៈពេលដែលរក្សារចនាសម្ព័ន្ធវាយប្រហារទាំងមូល។ ជំនួសឱ្យការពឹងផ្អែកលើឯកសារផ្លូវកាត់ LNK កំណែដែលបានធ្វើបច្ចុប្បន្នភាពប្រើម៉ូឌុល Windows Control Panel ជាយន្តការចែកចាយដំបូង។
សមាសភាគ Backdoor ខ្លួនវាក៏ទទួលបានការធ្វើឱ្យប្រសើរឡើងនូវមុខងារផងដែរ។ ការកែលម្អទាំងនេះអនុញ្ញាតឱ្យមេរោគអនុវត្តប្រតិបត្តិការប្រព័ន្ធឯកសារកាន់តែស៊ីជម្រៅ និងបង្កើនសមត្ថភាពរបស់វាក្នុងការលួចយកទិន្នន័យពីបរិស្ថានដែលឆ្លងមេរោគ។
ការកែលម្អគួរឱ្យកត់សម្គាល់រួមមាន ការរាប់ឯកសារឡើងវិញ ការផ្ទុកឡើងឯកសារជាបាច់ និងសមត្ថភាពក្នុងការទាញយកឯកសារតាមអំពើចិត្តដោយផ្ទាល់ទៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល។
ការរំលងការរឹតបន្តឹង JavaScript ជាមួយឧបករណ៍បំបាត់កំហុស Chromium
ការរឹតបន្តឹងសុវត្ថិភាព JavaScript ស្តង់ដារជាធម្មតារារាំងកូដពីចម្ងាយពីការទាញយកឯកសារដោយផ្ទាល់ទៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះ។ ដើម្បីជៀសវាងការកំណត់នេះ អ្នកវាយប្រហារទាញយកអត្ថប្រយោជន៍ពី Chrome DevTools Protocol (CDP) ដែលជាចំណុចប្រទាក់បំបាត់កំហុសខាងក្នុងដែលប្រើដោយកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium។
CDP អាចចូលប្រើបានលុះត្រាតែកម្មវិធីរុករកត្រូវបានបើកដំណើរការជាមួយប៉ារ៉ាម៉ែត្រ --remote-debugging-port ដែលបានបើកដំណើរការ។ តាមរយៈការធ្វើឱ្យមុខងារបំបាត់កំហុសនេះសកម្ម អ្នកវាយប្រហារទទួលបានសមត្ថភាពក្នុងការគ្រប់គ្រងឥរិយាបថកម្មវិធីរុករកតាមកម្មវិធី និងរំលងការរឹតបន្តឹងផ្នែកម៉ាស៊ីនភ្ញៀវធម្មតា ដែលអាចឱ្យមានការទាញយកឯកសារពីចម្ងាយ ដែលបើមិនដូច្នោះទេនឹងត្រូវបានរារាំង។
សូចនាករអភិវឌ្ឍន៍ដំបូង និងហេដ្ឋារចនាសម្ព័ន្ធពិសោធន៍
ភស្តុតាងបង្ហាញថា មេរោគនេះនៅតែស្ថិតក្រោមការអភិវឌ្ឍយ៉ាងសកម្ម។ វ៉ារ្យ៉ង់ដំបូងដែលត្រូវបានរកឃើញនៅក្នុងធម្មជាតិនៅថ្ងៃទី 28 ខែមករា ឆ្នាំ 2026 បានទាក់ទងទាំងស្រុងជាមួយដូមេន 'gnome.com' ជាជាងទាញយកបន្ទុកចម្បងរបស់វាពី Pastefy។
ឥរិយាបថនេះបង្ហាញថា តួអង្គគំរាមកំហែងអាចនៅតែកំពុងកែលម្អទាំងហេដ្ឋារចនាសម្ព័ន្ធ និងសមត្ថភាពប្រតិបត្តិការរបស់ Backdoor របស់ពួកគេ។
ការរំលោភបំពានកម្មវិធីរុករកតាមអ៊ីនធឺណិតជាយុទ្ធសាស្ត្រគេចវេសដែលកំពុងលេចចេញជារូបរាង
ទិដ្ឋភាពសំខាន់បំផុតមួយនៃយុទ្ធនាការនេះគឺការប្រើប្រាស់កម្មវិធីរុករកបណ្ដាញដោយចេតនាជាបរិយាកាសប្រតិបត្តិចម្បងសម្រាប់ទ្វារក្រោយ។ វិធីសាស្រ្តនេះបង្ហាញពីនិន្នាការកើនឡើងដែលអ្នកវាយប្រហារប្រើប្រាស់កម្មវិធីស្របច្បាប់ឡើងវិញដើម្បីគេចពីការរកឃើញ។
កម្មវិធីរុករកតាមអ៊ីនធឺណិតផ្តល់នូវគុណសម្បត្តិជាច្រើនសម្រាប់ប្រតិបត្តិការព្យាបាទ។ ពួកវាត្រូវបានគេប្រើប្រាស់យ៉ាងទូលំទូលាយ ហើយជាធម្មតាត្រូវបានចាត់ទុកថាជាដំណើរការដែលមិនបង្កគ្រោះថ្នាក់ ដែលកាត់បន្ថយលទ្ធភាពនៃការសង្ស័យភ្លាមៗ។ លើសពីនេះ ប៉ារ៉ាម៉ែត្របំបាត់កំហុសរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតអាចដោះសោសមត្ថភាពដ៏មានឥទ្ធិពលដែលអាចឱ្យមានសកម្មភាពដែលមានកម្រិត ដូចជាការទាញយកឯកសារពីចម្ងាយ និងការចូលប្រើប្រព័ន្ធយ៉ាងទូលំទូលាយ។
លើសពីនេះ កម្មវិធីរុករកតាមអ៊ីនធឺណិតរក្សាការអនុញ្ញាតស្របច្បាប់ដើម្បីធ្វើអន្តរកម្មជាមួយធនធានផ្នែករឹងដែលងាយរងគ្រោះ រួមទាំងមីក្រូហ្វូន កាមេរ៉ា និងយន្តការចាប់យកអេក្រង់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តសកម្មភាពឃ្លាំមើល ខណៈពេលដែលលាយបញ្ចូលគ្នាទៅក្នុងឥរិយាបថប្រព័ន្ធធម្មតា។
