មេរោគ DslogdRAT

នៅចុងឆ្នាំ 2024 អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញឧបករណ៍ Remote AccesTrojan (RAT) ថ្មីមួយដែលមានឈ្មោះថា DslogdRAT ដែលបានដំឡើងនៅលើឧបករណ៍ Ivanti Connect Secure (ICS) ដែលត្រូវបានសម្របសម្រួល។ តួអង្គគំរាមកំហែងបានទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះសូន្យថ្ងៃដ៏សំខាន់ ដែលតាមដានជា CVE-2025-0282 ដែលអនុញ្ញាតឱ្យដំណើរការកូដពីចម្ងាយដែលមិនមានការផ្ទៀងផ្ទាត់។ Ivanti បានដោះស្រាយភាពងាយរងគ្រោះនេះនៅដើមខែមករា ឆ្នាំ 2025 ប៉ុន្តែមិនមែនមុនពេលដែលអង្គការនៅក្នុងប្រទេសជប៉ុនត្រូវបានជ្រើសរើសរួចហើយនោះទេ។

ការបំបែកទ្វារ៖ ការចូលប្រើដំបូងតាមរយៈ Web Shell

ចលនាដំបូងរបស់អ្នកវាយប្រហារពាក់ព័ន្ធនឹងការដាក់ពង្រាយ web shell ដែលមានមូលដ្ឋានលើ Perl ដែលមានទម្ងន់ស្រាល បន្លំជាស្គ្រីប CGI ។ backdoor នេះត្រូវបានពិនិត្យសម្រាប់តម្លៃខូគីជាក់លាក់ DSAUTOKEN=af95380019083db5 មុនពេលប្រតិបត្តិពាក្យបញ្ជា។ តាមរយៈការចូលប្រើនេះ អ្នកវាយប្រហារអាចចាប់ផ្តើមមេរោគបន្ថែមទៀត ជាពិសេស DslogdRAT ។

នៅក្រោមរ៉ាដា៖ លំហូរការវាយប្រហារច្រើនដំណាក់កាលរបស់ DslogdRAT

DslogdRAT ដំណើរការតាមរយៈដំណើរការពហុដំណាក់កាលដ៏ឆ្លាតវៃ ដើម្បីគេចពីការរកឃើញ៖

ដំណាក់កាលទី 1៖ ដំណើរការបឋមបង្កើតដំណើរការកុមារដែលទទួលខុសត្រូវចំពោះការឌិកូដទិន្នន័យការកំណត់រចនាសម្ព័ន្ធ និងចាប់ផ្តើមដំណើរការស្នូលទីពីរ។

ដំណាក់កាលទី 2៖ ដំណើរការមេដែលជាប់លាប់នៅតែសកម្ម ដោយរួមបញ្ចូលចន្លោះពេលនៃការគេង ដើម្បីកាត់បន្ថយហានិភ័យនៃការរកឃើញ។

ដំណាក់កាលទី 3៖ ដំណើរការកូនទីពីរចាប់ផ្តើមមុខងារស្នូលរបស់ RAT រួមទាំងការទំនាក់ទំនងប្រព័ន្ធ និងការប្រតិបត្តិពាក្យបញ្ជា។

ស្ថាបត្យកម្មនេះធានានូវភាពធន់ និងភាពបំបាំងកាយ ដែលធ្វើឱ្យវាពិបាកសម្រាប់អ្នកការពារក្នុងការស្វែងរក និងបញ្ចប់មេរោគ។

ការសន្ទនាសម្ងាត់៖ បច្ចេកទេសទំនាក់ទំនងផ្ទាល់ខ្លួន

ការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) កើតឡើងតាមរយៈរន្ធ ដោយប្រើគ្រោងការណ៍ការអ៊ិនកូដដែលមានមូលដ្ឋានលើ XOR ផ្ទាល់ខ្លួន។ សារដែលបានអ៊ិនកូដរួមមានស្នាមម្រាមដៃប្រព័ន្ធសំខាន់ និងប្រកាន់ខ្ជាប់នូវទម្រង់ទំនាក់ទំនងដ៏តឹងរឹង។

DslogdRAT គាំទ្រមុខងារសំខាន់ៗមួយចំនួន៖

• ផ្ទុកឡើងនិងទាញយកឯកសារ
• ការប្រតិបត្តិពាក្យបញ្ជា Shell
• ការដំឡើងប្រូកស៊ីដើម្បីបញ្ជូនចរាចរដែលមានគំនិតអាក្រក់

សមត្ថភាពទាំងនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការគ្រប់គ្រងយ៉ាងម៉ឺងម៉ាត់លើប្រព័ន្ធដែលឆ្លងមេរោគ និងបញ្ចូលទៅក្នុងបណ្តាញកាន់តែជ្រៅ។

ម៉ោងធ្វើការតែប៉ុណ្ណោះ៖ យុទ្ធសាស្ត្រឆ្លាតវៃដើម្បីជៀសវាងការរកឃើញ

លក្ខណៈពិសេសមិនធម្មតានៃ DslogdRAT គឺជាកាលវិភាគប្រតិបត្តិការដែលភ្ជាប់មកជាមួយរបស់វា៖ វាដំណើរការតែចន្លោះម៉ោង 8:00 ព្រឹកដល់ម៉ោង 8:00 យប់ប៉ុណ្ណោះ។ នៅខាងក្រៅម៉ោងទាំងនេះ វានៅស្ងៀម ធ្វើត្រាប់តាមលំនាំសកម្មភាពអ្នកប្រើប្រាស់ស្តង់ដារ និងកាត់បន្ថយហានិភ័យនៃការរកឃើញក្នុងអំឡុងពេលក្រៅម៉ោង។

ការគំរាមកំហែងច្រើនជាងមួយ៖ ការរកឃើញ SPAWNSNARE

ទន្ទឹមនឹង DslogdRAT មេរោគមួយទៀតដែលមានឈ្មោះថា SPAWNSNARE ត្រូវបានរកឃើញនៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់។ ខណៈពេលដែលវានៅតែមិនច្បាស់ថាតើមេរោគទាំងនេះគឺជាផ្នែកនៃយុទ្ធនាការដូចគ្នា ឬភ្ជាប់ដោយផ្ទាល់ទៅនឹងក្រុម UNC5221 វត្តមានក្នុងពេលដំណាលគ្នារបស់ពួកគេបង្ហាញពីសកម្មភាពសម្របសម្រួលដោយអ្នកគំរាមកំហែងដ៏ស្មុគ្រស្មាញ។

ការគំរាមកំហែងដែលកំពុងកើនឡើង៖ ការកេងប្រវ័ញ្ចថ្មីនៅឆ្នាំ 2025

នៅខែមេសា ឆ្នាំ 2025 អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានបង្ហាញថា ភាពងាយរងគ្រោះមួយទៀតគឺ CVE-2025-22457 ក៏ត្រូវបានបំពាក់អាវុធដើម្បីដាក់ពង្រាយមេរោគផងដែរ។ យុទ្ធនាការថ្មីនេះត្រូវបានគេសន្មតថាជា UNC5221 ដែលគេជឿថាជាក្រុមលួចចូលរបស់ចិន។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកជំនាញនៅតែធ្វើការស៊ើបអង្កេតថាតើសកម្មភាពនេះត្រូវបានភ្ជាប់ទៅនឹងការវាយប្រហារមុនៗដែលពាក់ព័ន្ធនឹងក្រុមគ្រួសារមេរោគ SPAWN ដែរឬទេ។