អ្នកលួច Enigma

តួអង្គគម្រាមកំហែងរបស់រុស្សីបានបង្កើតយុទ្ធនាការមួយដែលកំណត់គោលដៅប្រជាជនអឺរ៉ុបខាងកើតដែលធ្វើការនៅក្នុងឧស្សាហកម្មរូបិយប័ណ្ណគ្រីបតូ។ ដោយប្រើការផ្តល់ជូនការងារក្លែងក្លាយ ពួកគេមានបំណងឆ្លងមេរោគដល់ជនរងគ្រោះរបស់ពួកគេជាមួយនឹងមេរោគដែលមិនស្គាល់ពីមុនដែលត្រូវបានតាមដានជា Enigma Stealer ។ ប្រតិបត្តិការគម្រាមកំហែងពឹងផ្អែកលើសំណុំដ៏ស្មុគស្មាញនៃកម្មវិធីផ្ទុកទិន្នន័យដែលមានភាពច្របូកច្របល់យ៉ាងខ្លាំង ដែលទាញយកភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីបញ្ជា Intel ចាស់។ បច្ចេកទេសនេះត្រូវបានប្រើដើម្បីកាត់បន្ថយភាពត្រឹមត្រូវនៃសញ្ញាសម្ងាត់របស់ Microsoft Defender ហើយជាលទ្ធផលរំលងវិធានការសុវត្ថិភាពរបស់វា។

យុទ្ធសាស្ត្រទាំងអស់នេះត្រូវបានប្រើប្រាស់ដើម្បីទទួលបានទិន្នន័យសម្ងាត់ និងសម្របសម្រួលម៉ាស៊ីនរបស់ជនរងគ្រោះ។ ព័ត៌មានលម្អិតអំពី Enigma Stealer និងហេដ្ឋារចនាសម្ព័ន្ធនៃយុទ្ធនាការវាយប្រហារត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវសន្តិសុខ។ យោងតាមការរកឃើញរបស់ពួកគេ Enigma គឺជាកំណែដែលបានកែប្រែនៃមេរោគប្រភពបើកចំហ Stealerium ។

ខ្សែសង្វាក់ជំងឺឆ្លងដ៏ស្មុគស្មាញរបស់ Enigma Stealer

តួអង្គគម្រាមកំហែងនៅពីក្រោយ Enigma Stealer កំពុងប្រើអ៊ីមែលដែលមានគំនិតអាក្រក់ដើម្បីវាយប្រហារជនរងគ្រោះរបស់ពួកគេ។ អ៊ីមែលដែលធ្វើពុតជាផ្តល់ឱកាសការងាររួមមានបណ្ណសារ RAR ដែលភ្ជាប់មកជាមួយឯកសារ .TXT ជាមួយនឹងសំណួរសម្ភាសន៍ដែលសរសេរជាភាសា Cyrillic ក៏ដូចជាការប្រតិបត្តិដែលហៅថា 'លក្ខខណ្ឌសម្ភាសន៍.word.exe'។ ប្រសិនបើជនរងគ្រោះត្រូវបានជំរុញឱ្យបើកដំណើរការដែលអាចប្រតិបត្តិបាន ខ្សែសង្វាក់ពហុដំណាក់កាលនៃបន្ទុកត្រូវបានប្រតិបត្តិ ដែលនៅទីបំផុតទាញយកមេរោគប្រមូលព័ត៌មាន Enigma ពី Telegram ។

payload ដំណាក់កាលទី 1 គឺជាកម្មវិធីទាញយក C++ ដែលប្រើបច្ចេកទេសផ្សេងៗដើម្បីគេចពីការរកឃើញ ខណៈពេលដែលកំពុងទាញយក និងបើកដំណើរការ payload ដំណាក់កាលទីពីរ 'UpdateTask.dll' ។ ការកេងប្រវ័ញ្ចដំណាក់កាលទីពីរនេះប្រើប្រាស់បច្ចេកទេស 'Bring Your own Vulnerable Driver' (BYOVD) ដើម្បីទាញយកភាពងាយរងគ្រោះ CVE-2015-2291 Intel ដែលអនុញ្ញាតឱ្យពាក្យបញ្ជាត្រូវបានប្រតិបត្តិដោយសិទ្ធិ Kernel ។ បន្ទាប់មកវាត្រូវបានប្រើដោយអ្នកគំរាមកំហែងដើម្បីបិទ Microsoft Defender មុនពេលមេរោគទាញយកបន្ទុកទីបី។

សមត្ថភាពគំរាមកំហែងរបស់ Enigma Stealer

បន្ទុកទីបីដែលដាក់ពង្រាយដោយអ្នកគំរាមកំហែងគឺ Enigma Stealer ។ វាត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅព័ត៌មានប្រព័ន្ធ សញ្ញាសម្ងាត់ និងពាក្យសម្ងាត់ដែលរក្សាទុកក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដូចជា Google Chrome, Microsoft Edge, Opera និងច្រើនទៀត។ លើសពីនេះ វាក៏អាចចាប់យករូបថតអេក្រង់ពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ទាញយកមាតិកាក្ដារតម្បៀតខ្ទាស់ និងការកំណត់រចនាសម្ព័ន្ធ VPN ផងដែរ។

Enigma Stealer ក៏មានសមត្ថភាពកំណត់គោលដៅទិន្នន័យដែលរក្សាទុកក្នុង Microsoft Outlook, Telegram, Signal, OpenVPN និងកម្មវិធីផ្សេងទៀត។ ព័ត៌មានដែលប្រមូលបានទាំងអស់ត្រូវបានបង្ហាប់ទៅក្នុងប័ណ្ណសារហ្ស៊ីប ('Data.zip') ដែលត្រូវបានផ្ញើត្រឡប់ទៅអ្នកគំរាមកំហែងតាមរយៈ Telegram ។ ដើម្បីលាក់បាំងទិន្នន័យផ្ទាល់ខ្លួនរបស់វាបន្ថែមទៀត និងការពារការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត ឬការរំខាន ខ្សែអក្សរមួយចំនួនរបស់ Enigma ដូចជា ផ្លូវកម្មវិធីរុករកតាមអ៊ីនធឺណិត និង URL សេវាកម្ម Geolocation API ត្រូវបានអ៊ិនគ្រីបនៅក្នុងរបៀប Cipher Block Chaning (CBC) ជាមួយនឹងក្បួនដោះស្រាយស្តង់ដារអ៊ិនគ្រីបកម្រិតខ្ពស់ (AES) ។