មេរោគ EAGERBEE
កំណែអាប់ដេតថ្មីនៃក្របខ័ណ្ឌមេរោគ EAGERBEE ត្រូវបានគេសង្កេតឃើញផ្តោតលើអ្នកផ្តល់សេវាអ៊ីនធឺណិត (ISP) និងអង្គការរដ្ឋាភិបាលនៅមជ្ឈិមបូព៌ា។
ការធ្វើឡើងវិញចុងក្រោយនេះ ត្រូវបានគេស្គាល់ផងដែរថាជា Thumtais រួមបញ្ចូលនូវសមាសធាតុជាច្រើនដែលអនុញ្ញាតឱ្យវាដាក់ពង្រាយបន្ទុកបន្ថែម រុករកប្រព័ន្ធឯកសារ និងប្រតិបត្តិសែលពាក្យបញ្ជា។ ភាពប្រសើរឡើងទាំងនេះបង្ហាញពីការរីកចម្រើនគួរឱ្យកត់សម្គាល់នៅក្នុងសមត្ថភាពរបស់វា។
តារាងមាតិកា
ការរចនាម៉ូឌុល និងប្រភេទមុខងារ
Backdoor ពឹងផ្អែកលើកម្មវិធីជំនួយសំខាន់ៗ ដែលអាចត្រូវបានដាក់ជាក្រុមដោយផ្អែកលើមុខងាររបស់ពួកគេ៖ កម្មវិធីជំនួយកម្មវិធីជំនួយ ការរៀបចំប្រព័ន្ធឯកសារ កម្មវិធីគ្រប់គ្រងការចូលប្រើពីចម្ងាយ ការរុករកដំណើរការ ការចុះបញ្ជីការតភ្ជាប់បណ្តាញ និងការគ្រប់គ្រងសេវាកម្ម។ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានភ្ជាប់ EAGERBEE ជាមួយនឹងទំនុកចិត្តមធ្យមទៅនឹងក្រុមគំរាមកំហែងដែលគេស្គាល់ថាជា CoughingDown ។
ដំបូង EAGERBEE ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋដែលកំណត់ REF5961។ backdoor នេះ ទោះបីជាមានលក្ខណៈបច្ចេកទេសត្រង់ក៏ដោយ គាំទ្រទាំងបណ្តាញបញ្ជា និងបញ្ជាទៅមុខ និងបញ្ច្រាសជាមួយនឹងការអ៊ិនគ្រីប SSL ។ វាត្រូវបានរចនាឡើងជាចម្បងសម្រាប់ការឈ្លបយកការណ៍តាមប្រព័ន្ធ និងដើម្បីជួយសម្រួលដល់ការចែកចាយនូវការអនុវត្តបន្ថែមសម្រាប់សកម្មភាពក្រោយការកេងប្រវ័ញ្ច។
ប្រតិបត្តិការចារកម្ម និងការតភ្ជាប់ទៅក្រុមអាល់ហ្វា
ការស៊ើបអង្កេតក្រោយមកបានបង្ហាញថាកំណែដែលបានកែប្រែនៃ EAGERBEE ត្រូវបានដាក់ឱ្យប្រើប្រាស់នៅក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលសន្មតថាជាតួអង្គគំរាមកំហែងដែលពាក់ព័ន្ធជាមួយរដ្ឋរបស់ចិនដែលគេស្គាល់ថាជា Cluster Alpha ។ ប្រតិបត្តិការនេះមានឈ្មោះកូដ Crimson Palace ក្នុងគោលបំណងទាញយកព័ត៌មានសម្ងាត់ផ្នែកនយោបាយ និងយោធាដ៏រសើប ពីទីភ្នាក់ងាររដ្ឋាភិបាលដ៏ល្បីមួយនៅអាស៊ីអាគ្នេយ៍។
Cluster Alpha បង្ហាញការត្រួតស៊ីគ្នាជាមួយក្រុមចារកម្មតាមអ៊ីនធឺណិតផ្សេងទៀត រួមមាន BackdoorDiplomacy , REF5961, Worok និង TA428។ គួរកត់សម្គាល់ថា BackdoorDiplomacy ចែករំលែកលក្ខណៈយុទ្ធសាស្ត្រជាមួយ CloudComputating (ហៅផងដែរថា Faking Dragon) ដែលជាអង្គភាពនិយាយភាសាចិនដែលភ្ជាប់ទៅនឹងក្របខ័ណ្ឌនៃមេរោគម៉ូឌុលដែលគេស្គាល់ថាជា QSC ។ ក្របខ័ណ្ឌនេះត្រូវបានគេសង្កេតឃើញនៅក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតប្រឆាំងនឹងវិស័យទូរគមនាគមន៍នៅអាស៊ីខាងត្បូង។
ការប្រតិបត្តិក្នុងអង្គចងចាំ និងសមត្ថភាពបំបាំងកាយ
QSC ធ្វើតាមស្ថាបត្យកម្មម៉ូឌុលដែលផ្ទុកតែកម្មវិធីផ្ទុកដំបូងប៉ុណ្ណោះដែលត្រូវបានរក្សាទុកនៅលើថាស ខណៈដែលស្នូល និងសមាសធាតុបណ្តាញនៅតែមាននៅក្នុងអង្គចងចាំ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្ទុកកម្មវិធីជំនួយដោយផ្អែកលើគោលបំណងរបស់ពួកគេថាមវន្ត។
នៅក្នុងការឈ្លានពានរបស់ EAGERBEE ថ្មីៗបំផុត Injector DLL ប្រតិបត្តិម៉ូឌុល backdoor ។ នៅពេលដែលបានធ្វើឱ្យសកម្ម ទ្វារខាងក្រោយប្រមូលព័ត៌មានលំអិតរបស់ប្រព័ន្ធ ហើយបញ្ជូនពួកវាទៅម៉ាស៊ីនមេពីចម្ងាយតាមរយៈរន្ធ TCP ។ វិធីសាស្រ្តជាក់លាក់ដែលត្រូវបានប្រើដើម្បីទទួលបានការចូលដំណើរការដំបូងនៅក្នុងឧប្បត្តិហេតុទាំងនេះនៅតែមិនច្បាស់លាស់។
ម៉ាស៊ីនមេពីចម្ងាយឆ្លើយតបដោយការដាក់ពង្រាយ Plugin Orchestrator ដែលទាញយក និងរាយការណ៍ព័ត៌មានលម្អិតរបស់ប្រព័ន្ធ ដូចជាឈ្មោះដែន NetBIOS ស្ថិតិការប្រើប្រាស់អង្គចងចាំ និងការកំណត់មូលដ្ឋានប្រព័ន្ធ។ វាក៏ប្រមូលទិន្នន័យស្តីពីដំណើរការដែលកំពុងដំណើរការ ខណៈពេលដែលកំពុងរង់ចាំការណែនាំបន្ថែម រួមទាំង៖
- បញ្ចូលកម្មវិធីជំនួយទៅក្នុងអង្គចងចាំ
- ដកកម្មវិធីជំនួយជាក់លាក់ ឬសម្អាតទាំងអស់ចេញពីបញ្ជី
- ផ្ទៀងផ្ទាត់ថាតើកម្មវិធីជំនួយគឺសកម្មឬអត់
កម្មវិធីជំនួយនីមួយៗប្រតិបត្តិពាក្យបញ្ជាពី orchestrator គ្រប់គ្រងឯកសារ ការគ្រប់គ្រងដំណើរការ ការតភ្ជាប់ពីចម្ងាយ ការត្រួតពិនិត្យសេវាប្រព័ន្ធ និងការត្រួតពិនិត្យការតភ្ជាប់បណ្តាញ។
ការទាញយកភាពងាយរងគ្រោះ និងការគំរាមកំហែងជាប់លាប់
អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណការឆ្លងមេរោគ EAGERBEE នៅទូទាំងអង្គការជាច្រើននៅអាស៊ីបូព៌ា ដោយមានការរំលោភយ៉ាងហោចណាស់ពីរដែលភ្ជាប់ទៅនឹងភាពងាយរងគ្រោះ ProxyLogon (CVE-2021-26855) ។ នៅក្នុងករណីទាំងនេះ អ្នកវាយប្រហារបានដាក់ពង្រាយ web shells ដើម្បីប្រតិបត្តិពាក្យបញ្ជានៅលើ servers ដែលត្រូវបានសម្របសម្រួល ដែលទីបំផុតនាំទៅដល់ការដំឡើង backdoor ។
EAGERBEE ដំណើរការជាចម្បងជាក្របខណ្ឌនៃការចងចាំ ដែលជាការរចនាដែលបង្កើនសមត្ថភាពរបស់ខ្លួនក្នុងការគេចពីការរកឃើញដោយឧបករណ៍សុវត្ថិភាពធម្មតា។ តាមរយៈការបញ្ចូលកូដដែលមិនមានសុវត្ថិភាពទៅក្នុងដំណើរការស្របច្បាប់ វាលាក់បាំងសកម្មភាពសែលពាក្យបញ្ជារបស់វា រួមបញ្ចូលគ្នាយ៉ាងរលូនជាមួយនឹងមុខងារប្រព័ន្ធធម្មតា និងធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងក្នុងការស្វែងរក និងវិភាគឥរិយាបថរបស់វា។