FadeStealer

ក្រុម hacking APT37 ត្រូវបានគេហៅផងដែរថា StarCruft, Reaper ឬ RedEyes ថ្មីៗនេះត្រូវបានគេសង្កេតឃើញដោយប្រើមេរោគលួចព័ត៌មានដែលបានរកឃើញថ្មីហៅថា FadeStealer ។ មេរោគដ៏ស្មុគ្រស្មាញនេះរួមបញ្ចូលនូវសមត្ថភាព 'wiretapping' ដែលអាចឱ្យតួអង្គគំរាមកំហែងស្ទាក់ចាប់ និងថតសំឡេងពីមីក្រូហ្វូនរបស់ជនរងគ្រោះដោយសម្ងាត់។

APT37 ត្រូវបានគេជឿជាក់យ៉ាងទូលំទូលាយថាជាក្រុម hacking ឧបត្ថម្ភដោយរដ្ឋ ជាមួយនឹងកំណត់ត្រាសំខាន់នៃការធ្វើប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតស្របតាមផលប្រយោជន៍របស់ប្រទេសកូរ៉េខាងជើង។ គោលដៅរបស់ពួកគេរួមមានអ្នករត់ចោលស្រុកកូរ៉េខាងជើង ស្ថាប័នអប់រំ និងអង្គការដែលមានមូលដ្ឋាននៅសហភាពអឺរ៉ុប។

នៅក្នុងយុទ្ធនាការមុនៗ ក្រុមនេះបានប្រើប្រាស់មេរោគដែលបង្កើតដោយខ្លួនឯងដូចជា 'Dolphin' និង ' M2RAT ' ដើម្បីអនុវត្តការវាយប្រហារតាមអ៊ីនធឺណិតរបស់ពួកគេ។ ឧបករណ៍គំរាមកំហែងទាំងនេះត្រូវបានរចនាឡើងជាពិសេសដើម្បីជ្រៀតចូលឧបករណ៍ Windows រួមទាំងទូរសព្ទចល័តដែលបានភ្ជាប់ និងជួយសម្រួលដល់សកម្មភាពព្យាបាទផ្សេងៗដូចជាការប្រតិបត្តិពាក្យបញ្ជា ការលួចទិន្នន័យ ការប្រមូលព័ត៌មាន និងការចាប់យករូបថតអេក្រង់ជាដើម។

មេរោគ Backdoor ផ្ទាល់ខ្លួនផ្តល់នូវការគំរាមកំហែង FadeStealer

ថ្មីៗនេះ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានរកឃើញព័ត៌មានលម្អិតអំពីមេរោគផ្ទាល់ខ្លួនមួយផ្សេងទៀតដែលប្រើក្នុងការវាយប្រហារដោយ APT37 ដែលត្រូវបានគេស្គាល់ថាជា AblyGo backdoor ។ ទន្ទឹមនឹង FadeStealer ឧបករណ៍ដែលមិនចង់បានទាំងនេះត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូលប្រព័ន្ធគោលដៅ និងសម្របសម្រួលសកម្មភាពបង្កគ្រោះថ្នាក់ផ្សេងៗ។

វិធីសាស្ត្រចែកចាយដំបូងនៃមេរោគនេះពាក់ព័ន្ធនឹងអ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់មកជាមួយ។ បណ្ណសារទាំងនេះមានឯកសារ Word និង Hangul Word Processor ដែលការពារដោយពាក្យសម្ងាត់ (ឯកសារ .docx និង .hwp) រួមជាមួយនឹងឯកសារ 'password.chm' Windows CHM ។ វាទំនងជាខ្ពស់ដែលអ៊ីមែលបន្លំណែនាំអ្នកទទួលឱ្យបើកឯកសារ CHM ដើម្បីទទួលបានពាក្យសម្ងាត់ដែលត្រូវការដើម្បីដោះសោឯកសារ។ ទោះយ៉ាងណាក៏ដោយ សកម្មភាពនេះធ្វើឱ្យជនរងគ្រោះមិនស្គាល់អត្តសញ្ញាណ ដំណើរការឆ្លងមេរោគនៅលើឧបករណ៍ Windows របស់ពួកគេ។

នៅពេលបើកឯកសារ CHM ប្រអប់បញ្ឆោតនឹងបង្ហាញពាក្យសម្ងាត់ដែលបានចោទប្រកាន់ដើម្បីដោះសោឯកសារ។ ក្នុងពេលដំណាលគ្នានោះ ឯកសារទាញយកដោយប្រយ័ត្នប្រយែង និងដំណើរការស្គ្រីប PowerShell ពីចម្ងាយ ដែលដើរតួជា backdoor ជាមួយនឹងមុខងារកម្រិតខ្ពស់។ PowerShell backdoor នេះបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) របស់អ្នកវាយប្រហារ ដោយអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលពីចម្ងាយ។

លើសពីនេះ backdoor ជួយសម្រួលដល់ការដាក់ពង្រាយ backdoor បន្ថែមដែលគេស្គាល់ថា 'AblyGo backdoor' កំឡុងពេលក្រោយនៃការវាយប្រហារ។ backdoor ថ្មីនេះប្រើប្រាស់កម្មវិធី Ably Platform ដែលជាសេវាកម្ម API ដែលអ្នកអភិវឌ្ឍន៍ប្រើប្រាស់ដើម្បីបញ្ចូលមុខងារជាក់ស្តែង និងការចែកចាយព័ត៌មានទៅក្នុងកម្មវិធីរបស់ពួកគេ។ តាមរយៈការប្រើប្រាស់កម្មវិធី Ably Platform ជាវេទិកា C2 តួអង្គគំរាមកំហែងអាចផ្ញើពាក្យបញ្ជាដែលបានអ៊ិនកូដ base64 ទៅ backdoor សម្រាប់ប្រតិបត្តិ និងទទួលលទ្ធផល។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យពួកគេក្លែងបន្លំសកម្មភាពព្យាបាទរបស់ពួកគេនៅក្នុងចរាចរណ៍បណ្តាញស្របច្បាប់ ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការស្វែងរក និងតាមដានប្រតិបត្តិការរបស់ពួកគេ។

'AblyGo backdoor' ដើរតួនាទីយ៉ាងសំខាន់ក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិត ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងធ្វើការកើនឡើងសិទ្ធិ ដកទិន្នន័យរសើប និងចែកចាយសមាសធាតុមេរោគបន្ថែម។ តាមរយៈការប្រើប្រាស់វេទិកាស្របច្បាប់ដូចជា Ably តួអង្គគំរាមកំហែងមានគោលបំណងគេចចេញពីការត្រួតពិនិត្យបណ្តាញ និងកម្មវិធីសុវត្ថិភាព ដោយហេតុនេះបង្កើនប្រសិទ្ធភាពនៃការវាយប្រហាររបស់ពួកគេ។

សមត្ថភាពគំរាមកំហែងត្រូវបានរកឃើញនៅក្នុងការគំរាមកំហែង FadeStealer

backdoors ទីបំផុតផ្តល់នូវ FadeStealer ជាបន្ទុកចុងក្រោយ។ ការគំរាមកំហែងនេះ គឺជាមេរោគដែលលួចយកព័ត៌មានដ៏ខ្លាំងមួយ ដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ឧបករណ៍ Windows ។ នៅពេលដំឡើងរួច FadeStealer ប្រើបច្ចេកទេសមួយហៅថា DLL sideloading ដើម្បីបញ្ចូលខ្លួនវាទៅក្នុងដំណើរការ 'ieinstall.exe' ស្របច្បាប់នៃ Internet Explorer ដោយក្លែងបន្លំវត្តមានរបស់វាយ៉ាងមានប្រសិទ្ធភាព។

FadeStealer ដំណើរការដោយសម្ងាត់នៅក្នុងផ្ទៃខាងក្រោយ ដោយប្រមូលព័ត៌មានរសើបជាច្រើនពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដោយសន្តិវិធី។ នៅចន្លោះពេលទៀងទាត់ 30 នាទី មេរោគចាប់យករូបថតអេក្រង់នៃអេក្រង់របស់ជនរងគ្រោះ កត់ត្រាការចុចគ្រាប់ចុចដែលបានកត់ត្រា និងប្រមូលឯកសារពីស្មាតហ្វូនដែលបានភ្ជាប់ ឬឧបករណ៍ចល័តណាមួយ។ លើសពីនេះ FadeStealer មានសមត្ថភាពក្នុងការថតសំឡេងតាមរយៈមីក្រូហ្វូនរបស់ឧបករណ៍ ដែលអនុញ្ញាតឱ្យតួអង្គគម្រាមកំហែងនៅពីក្រោយការវាយប្រហារអាចលួចស្តាប់ការសន្ទនា និងប្រមូលព័ត៌មានឆ្លាតវៃបន្ថែម។

ទិន្នន័យដែលប្រមូលបានត្រូវបានរក្សាទុកក្នុងថត %Temp% ជាក់លាក់ ដែលនីមួយៗបម្រើគោលបំណងផ្សេងគ្នានៅក្នុងដំណើរការចម្រាញ់ទិន្នន័យ។ រូបថតអេក្រង់ដែលថតដោយមេរោគត្រូវបានរក្សាទុកក្នុងថត %temp%\VSTelems_Fade\NgenPdbc ខណៈពេលដែលការចុចគ្រាប់ចុចដែលបានចូលត្រូវបានរក្សាទុកក្នុង %temp%\VSTelems_Fade\NgenPdbk។ ថត %temp%\VSTelems_Fade\NgenPdbm ត្រូវបានឧទ្ទិសដល់ការរក្សាទុកទិន្នន័យដែលទទួលបានតាមរយៈការភ្ជាប់មីក្រូហ្វូន។ លើសពីនេះ ថត %temp%\VSTelems_FadeIn ត្រូវបានប្រើប្រាស់សម្រាប់ការប្រមូលទិន្នន័យពីស្មាតហ្វូនដែលបានភ្ជាប់ ខណៈថត %temp%\VSTelems_FadeOut បម្រើជាទីតាំងផ្ទុកទិន្នន័យដែលប្រមូលបានពីឧបករណ៍មេឌៀចល័ត។ ថតឯកសារជាក់លាក់ទាំងនេះធានាថាទិន្នន័យដែលប្រមូលបានត្រូវបានរៀបចំ និងអាចចូលដំណើរការបានចំពោះអ្នកគំរាមកំហែងដែលរៀបចំយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិត។

ដើម្បីរក្សាប្រសិទ្ធភាព និងសម្រួលការផ្ទុកទិន្នន័យ FadeStealer ប្រមូលព័ត៌មានដែលលួចនៅក្នុងឯកសារ RAR archive ។ នេះអនុញ្ញាតឱ្យមេរោគអាចបង្ហាប់ និងរៀបចំទិន្នន័យដែលលួចលាក់ ដោយធានាថាវានៅតែលាក់បាំង និងងាយស្រួលដឹកជញ្ជូនសម្រាប់ការបណ្តេញចេញជាបន្តបន្ទាប់ដោយអ្នកគំរាមកំហែង។