មេរោគ GHOSTPULSE
យុទ្ធនាការលួចលាក់តាមអ៊ីនធឺណិតត្រូវបានរកឃើញ ដែលពាក់ព័ន្ធនឹងការប្រើប្រាស់ឯកសារកញ្ចប់កម្មវិធី MSIX Windows ក្លែងក្លាយសម្រាប់កម្មវិធីល្បីដូចជា Google Chrome, Microsoft Edge, Brave, Grammarly និង Cisco Webex ។ ឯកសារដែលមិនមានសុវត្ថិភាពទាំងនេះកំពុងត្រូវបានប្រើប្រាស់ដើម្បីផ្សព្វផ្សាយកម្មវិធីផ្ទុកមេរោគប្រភេទថ្មីដែលមានឈ្មោះថា GHOSTPULSE។
MSIX គឺជាទម្រង់កញ្ចប់កម្មវិធីរបស់ Windows ដែលអ្នកអភិវឌ្ឍន៍អាចប្រើសម្រាប់កញ្ចប់ ចែកចាយ និងដំឡើងកម្មវិធីរបស់ពួកគេនៅលើប្រព័ន្ធវីនដូ។ ទោះជាយ៉ាងណាក៏ដោយ វាជារឿងសំខាន់ក្នុងការកត់សម្គាល់ថា ការបង្កើត និងប្រើប្រាស់ឯកសារ MSIX ចាំបាច់ត្រូវតែចូលប្រើវិញ្ញាបនបត្រចុះហត្ថលេខាលើកូដដែលទទួលបានដោយស្របច្បាប់ ឬទទួលបានដោយខុសច្បាប់ ដែលធ្វើឱ្យវិធីសាស្ត្រនេះទាក់ទាញជាពិសេសចំពោះក្រុមហេគឃ័រដែលមានមូលនិធិល្អ និងមានធនធាន។
តារាងមាតិកា
អ្នកវាយប្រហារប្រើវិធីសាស្ត្រទាក់ទាញផ្សេងៗ ដើម្បីបញ្ជូនមេរោគ GHOSTPULSE Malware
ដោយផ្អែកលើកម្មវិធីដំឡើងនុយដែលប្រើក្នុងគ្រោងការណ៍នេះ វាត្រូវបានគេសង្ស័យថាជនរងគ្រោះដែលមានសក្តានុពលត្រូវបានបំភាន់ក្នុងការទាញយកកញ្ចប់ MSIX ដោយប្រើបច្ចេកទេសល្បី រួមទាំងគេហទំព័រដែលត្រូវបានសម្របសម្រួល ការពុលម៉ាស៊ីនស្វែងរក (SEO) ឬការផ្សាយពាណិជ្ជកម្មក្លែងបន្លំ (ការផ្សាយពាណិជ្ជកម្មមិនត្រឹមត្រូវ)។
នៅពេលដែលឯកសារ MSIX ត្រូវបានប្រតិបត្តិ ប្រអប់បញ្ចូលវីនដូនឹងលេចឡើងដែលជំរុញឱ្យអ្នកប្រើប្រាស់ចុចប៊ូតុង 'ដំឡើង' ។ នៅពេលធ្វើដូច្នេះ GHOSTPULSE ត្រូវបានទាញយកដោយស្ងៀមស្ងាត់ទៅកាន់ម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលពីម៉ាស៊ីនមេពីចម្ងាយ (ជាពិសេស 'manojsinghnegi[.]com') តាមរយៈស្គ្រីប PowerShell ។
ដំណើរការនេះលាតត្រដាងឆ្លងកាត់ដំណាក់កាលជាច្រើន ដោយបន្ទុកដំបូងជាឯកសារបណ្ណសារ TAR ។ បណ្ណសារនេះមានផ្ទុកនូវកម្មវិធីដែលអាចប្រតិបត្តិបានដែលបង្កើតជាសេវាកម្ម Oracle VM VirtualBox (VBoxSVC.exe) ប៉ុន្តែតាមពិត វាជាប្រព័ន្ធគោលពីរស្របច្បាប់ដែលភ្ជាប់មកជាមួយ Notepad++ (gup.exe)។
លើសពីនេះទៀតនៅក្នុងបណ្ណសារ TAR មានឯកសារមួយដែលមានឈ្មោះថា handoff.wav និងកំណែ Trojanized នៃ libcurl.dll ។ libcurl.dll ដែលត្រូវបានផ្លាស់ប្តូរនេះត្រូវបានផ្ទុកដើម្បីដំណើរការដំណើរការឆ្លងទៅដំណាក់កាលបន្ទាប់ដោយទាញយកភាពងាយរងគ្រោះនៅក្នុង gup.exe តាមរយៈ DLL side-loading ។
បច្ចេកទេសបង្កគ្រោះថ្នាក់ជាច្រើនដែលពាក់ព័ន្ធនៅក្នុងខ្សែសង្វាក់ការឆ្លងមេរោគ GHOSTPULSE
ស្គ្រីប PowerShell ចាប់ផ្តើមការប្រតិបត្តិនៃប្រព័ន្ធគោលពីរ VBoxSVC.exe ដែលនៅក្នុងវេនផ្ទុកចំហៀង DLL ដោយផ្ទុក DLL libcurl.dll ដែលខូចពីថតបច្ចុប្បន្ន។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងកាត់បន្ថយវត្តមាននៅលើឌីសនៃកូដព្យាបាទដែលបានអ៊ិនគ្រីប ដែលអាចឱ្យពួកគេគេចពីការរកឃើញដោយកំចាត់មេរោគផ្អែកលើឯកសារ និងការស្កេនម៉ាស៊ីនរៀន។
បន្ទាប់ពីនេះ ឯកសារ DLL ដែលបានរៀបចំដំណើរការដោយការវិភាគ handoff.wav ។ នៅក្នុងឯកសារអូឌីយ៉ូនេះ បន្ទុកដែលបានអ៊ិនគ្រីបត្រូវបានលាក់ ដែលត្រូវបានឌិកូដ និងប្រតិបត្តិជាបន្តបន្ទាប់តាមរយៈ mshtml.dll ។ បច្ចេកទេសនេះ ត្រូវបានគេស្គាល់ថាជា module stomping ត្រូវបានប្រើដើម្បីបើកដំណើរការ GHOSTPULSE នៅទីបំផុត។
GHOSTPULSE មានមុខងារជាអ្នកផ្ទុក និងប្រើប្រាស់បច្ចេកទេសមួយផ្សេងទៀតដែលហៅថាដំណើរការ doppelgänging ដើម្បីចាប់ផ្តើមការប្រតិបត្តិនៃសំណុំចុងក្រោយនៃមេរោគ ដែលរួមមាន SectopRAT , Rhadamanthys , Vidar , Lumma និង NetSupport RAT ។
ផលវិបាកសម្រាប់ជនរងគ្រោះនៃការវាយប្រហារមេរោគអាចធ្ងន់ធ្ងរ
ការឆ្លងមេរោគ Trojan ពីចម្ងាយ (RAT) បង្កឱ្យមានផលវិបាកធ្ងន់ធ្ងរជាច្រើនដល់ឧបករណ៍របស់អ្នកប្រើប្រាស់ ដែលធ្វើឱ្យវាក្លាយជាប្រភេទមេរោគដ៏គ្រោះថ្នាក់បំផុតមួយ។ ទីមួយ RAT ផ្តល់សិទ្ធិចូលប្រើ និងការគ្រប់គ្រងដោយគ្មានការអនុញ្ញាតដល់តួអង្គព្យាបាទ ដែលអនុញ្ញាតឱ្យពួកគេសង្កេតដោយសម្ងាត់ រៀបចំ និងលួចព័ត៌មានរសើបពីឧបករណ៍ដែលមានមេរោគ។ នេះរួមបញ្ចូលទាំងការចូលប្រើឯកសារផ្ទាល់ខ្លួន លិខិតបញ្ជាក់ការចូល ទិន្នន័យហិរញ្ញវត្ថុ និងសូម្បីតែសមត្ថភាពក្នុងការត្រួតពិនិត្យ និងកត់ត្រាការចុចគ្រាប់ចុច ដែលធ្វើឱ្យវាក្លាយជាឧបករណ៍ដ៏មានឥទ្ធិពលសម្រាប់ការលួចអត្តសញ្ញាណ និងចារកម្ម។ សកម្មភាពទាំងនេះអាចនាំឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ការរំលោភលើឯកជនភាព និងការសម្របសម្រួលនៃទិន្នន័យផ្ទាល់ខ្លួន និងវិជ្ជាជីវៈ។
លើសពីនេះ ការឆ្លងមេរោគ RAT អាចមានផលប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរទៅលើភាពឯកជន និងសុវត្ថិភាពរបស់អ្នកប្រើប្រាស់។ តួអង្គពាក់ព័ន្ធនឹងការក្លែងបន្លំអាចប្រើ RATs ដើម្បីបើកកាមេរ៉ាបណ្ដាញ និងមីក្រូហ្វូន ដោយមានប្រសិទ្ធភាពធ្វើចារកម្មលើជនរងគ្រោះនៅក្នុងផ្ទះរបស់ពួកគេ។ ការជ្រៀតជ្រែកចូលទៅក្នុងកន្លែងផ្ទាល់ខ្លួនមិនត្រឹមតែរំលោភលើភាពឯកជនប៉ុណ្ណោះទេ ថែមទាំងអាចឈានទៅដល់ការ blackmail ឬការចែកចាយខ្លឹមសារដែលសម្របសម្រួលផងដែរ។ លើសពីនេះទៀត RATs អាចត្រូវបានប្រើដើម្បីបង្វែរឧបករណ៍ដែលមានមេរោគទៅជាផ្នែកនៃ botnet ដែលអាចចាប់ផ្តើមការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំ ចែកចាយមេរោគទៅប្រព័ន្ធផ្សេងទៀត ឬធ្វើសកម្មភាពឧក្រិដ្ឋកម្មជំនួសអ្នកវាយប្រហារ។ ទីបំផុត ការឆ្លងមេរោគ RAT បំផ្លាញការជឿទុកចិត្តលើបរិស្ថានឌីជីថល បំផ្លាញសុវត្ថិភាពផ្ទាល់ខ្លួន ហើយអាចមានផលវិបាកធ្ងន់ធ្ងរយូរអង្វែងសម្រាប់បុគ្គល អាជីវកម្ម និងសូម្បីតែប្រទេសជាតិ។
