មេរោគ EarlyRat

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកត់សម្គាល់ឃើញថា តួអង្គគំរាមកំហែង Andariel ដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងបានពង្រីកឃ្លាំងអាវុធរបស់ខ្លួនដោយប្រើប្រាស់មេរោគដែលទើបរកឃើញថ្មីហៅថា EarlyRat ។ ឧបករណ៍ព្យាបាទដែលមិនស្គាល់ពីមុនត្រូវបានដាក់ឱ្យប្រើប្រាស់ដោយអ្នកគំរាមកំហែងនៅក្នុងយុទ្ធនាការបន្លំ។ ការបន្ថែមនេះពង្រឹងបន្ថែមទៀតនូវឧបករណ៍ និងយុទ្ធសាស្ត្រដ៏ទូលំទូលាយរបស់ Andariel ។

ដើម្បីឆ្លងមេរោគតាមម៉ាស៊ីនគោលដៅ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត Andariel ទាញយកអត្ថប្រយោជន៍ពីការកេងប្រវ័ញ្ច Log4j ដោយប្រើប្រាស់ភាពងាយរងគ្រោះនៅក្នុងបណ្ណាល័យ Log4j ។ តាមរយៈការកេងប្រវ័ញ្ចនេះ តួអង្គគំរាមកំហែងទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ហើយបន្តទាញយកមេរោគបន្ថែមពីម៉ាស៊ីនមេ Command-and-Control (C2) នៃប្រតិបត្តិការវាយប្រហារ។

Andariel ត្រូវបានភ្ជាប់ទៅក្រុម Hacker កូរ៉េខាងជើងផ្សេងទៀត។

Andariel ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះហៅក្រៅថា Silent Chollima និង Stonefly ដំណើរការក្រោមឆ័ត្រនៃ ក្រុម Lazarus រួមជាមួយធាតុរងផ្សេងទៀតដូចជា APT38 (aka BlueNoroff) ។ តួអង្គគំរាមកំហែងនេះក៏មានទំនាក់ទំនងជាមួយ Lab 110 ដែលជាអង្គភាព hacking ដ៏លេចធ្លោដែលមានមូលដ្ឋាននៅប្រទេសកូរ៉េខាងជើង។

សកម្មភាពរបស់ Andariel រួមមានប្រតិបត្តិការជាច្រើន រួមទាំងចារកម្មដែលកំណត់គោលដៅរដ្ឋាភិបាលបរទេស និងអង្គភាពយោធាដែលមានផលប្រយោជន៍ជាយុទ្ធសាស្ត្រ។ លើសពីនេះ ក្រុមនេះធ្វើសកម្មភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដើម្បីបង្កើតប្រាក់ចំណូលបន្ថែមសម្រាប់ប្រទេសជាតិ ដែលស្ថិតនៅក្រោមការដាក់ទណ្ឌកម្មយ៉ាងធ្ងន់ធ្ងរ។

ឃ្លាំងអាវុធរបស់ Andariel មានអាវុធតាមអ៊ីនធឺណិតជាច្រើន រួមទាំង Maui Ransomware ដ៏ល្បីល្បាញផងដែរ។ លើសពីនេះទៀត ក្រុមនេះប្រើប្រាស់ Trojans និង backdoors ពីចម្ងាយជាច្រើនដូចជា Dtrack (ត្រូវបានគេស្គាល់ផងដែរថាជា Valefor និង Preft), NukeSped (aka Manuscrypt), MagicRAT និង YamaBot ។

ជាពិសេស NukeSped មានសមត្ថភាពជាច្រើនដែលអាចឱ្យវាបង្កើត និងបញ្ចប់ដំណើរការ ក៏ដូចជារៀបចំឯកសារនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ គួរកត់សម្គាល់ថាការប្រើប្រាស់ NukeSped ត្រួតលើគ្នាជាមួយនឹងយុទ្ធនាការដែលគេស្គាល់ថា TraderTraitor ដែលត្រូវបានតាមដានដោយទីភ្នាក់ងារសន្តិសុខអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធរបស់សហរដ្ឋអាមេរិក (CISA)។

ការកេងប្រវ័ញ្ចរបស់ Andariel លើភាពងាយរងគ្រោះ Log4Shell នៅក្នុងម៉ាស៊ីនមេ VMware Horizon ដែលមិនបានជួសជុលត្រូវបានចងក្រងជាឯកសារពីមុនដោយ AhnLab Security Emergency Response Center (ASEC) និង Cisco Talos ក្នុងឆ្នាំ 2022 ដោយគូសបញ្ជាក់ពីកិច្ចខិតខំប្រឹងប្រែងជាបន្តបន្ទាប់របស់ក្រុមក្នុងការបំពាក់នូវភាពងាយរងគ្រោះដែលកំពុងកើតឡើង។

EarlyRat ប្រមូលព័ត៌មាន និងប្រតិបត្តិពាក្យបញ្ជារំខាននៅលើឧបករណ៍ដែលបំពាន

មេរោគ EarlyRat រីករាលដាលតាមរយៈអ៊ីម៉ែលបន្លំដែលមានឯកសារ Microsoft Word បោកប្រាស់។ នៅពេលបើកឯកសារទាំងនេះ អ្នកទទួលត្រូវបានជម្រុញឱ្យបើកម៉ាក្រូ ដែលបង្កឱ្យមានការប្រតិបត្តិនៃកូដ VBA ដែលទទួលខុសត្រូវចំពោះការទាញយកការគំរាមកំហែង។

EarlyRat ត្រូវបានកំណត់ថាជា backdoor ដ៏សាមញ្ញ ប៉ុន្តែមានកម្រិត ដែលត្រូវបានរចនាឡើងដើម្បីប្រមូល និងបញ្ជូនព័ត៌មានប្រព័ន្ធទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ។ លើសពីនេះទៀតវាមានសមត្ថភាពប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត។ គួរកត់សម្គាល់ថាមានភាពស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់រវាង EarlyRat និង MagicRAT ទោះបីជាត្រូវបានសរសេរដោយប្រើក្របខ័ណ្ឌផ្សេងគ្នាក៏ដោយ។ EarlyRat ប្រើប្រាស់ PureBasic ខណៈពេលដែល MagicRAT ប្រើប្រាស់ Qt Framework ។

នៅក្នុងបរិបទនៃការវាយប្រហារដែលទាញយកភាពងាយរងគ្រោះ Log4j Log4Shell ដែលត្រូវបានសង្កេតឃើញកាលពីឆ្នាំមុននោះ យុទ្ធសាស្ត្រដែលមើលមិនឃើញពីមុនបានលេចចេញមក។ អ្នកវាយប្រហារត្រូវបានគេសង្កេតឃើញប្រើប្រាស់ឧបករណ៍ក្រៅធ្នើស្របច្បាប់ដូចជា 3Proxy , ForkDump, NTDSDumpEx, Powerline, និង PuTTY ដើម្បីទាញយកគោលដៅរបស់ពួកគេ និងឧបករណ៍ដែលត្រូវបានសម្របសម្រួលបន្ថែមទៀត។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យពួកគេប្រើប្រាស់ឧបករណ៍ដែលមានស្រាប់សម្រាប់សកម្មភាពព្យាបាទរបស់ពួកគេ បង្កើនភាពទំនើប និងផលប៉ះពាល់ដែលអាចកើតមាននៃការវាយប្រហារ។