GodRAT Trojan
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតគឺជាថ្មីម្តងទៀតបានកំណត់គោលដៅលើអង្គការហិរញ្ញវត្ថុ ជាមួយនឹងក្រុមហ៊ុនជួញដូរ និងឈ្មួញកណ្តាលនៅក្នុងយុទ្ធនាការមួយដែលផ្តល់ Trojan ពីចម្ងាយដែលមិនស្គាល់ពីមុន (RAT) ដែលមានឈ្មោះថា GodRAT ។ ការវាយប្រហាររីករាលដាលតាមរយៈឯកសារ .SCR ដ៏អាក្រក់ដែលក្លែងបន្លំជាឯកសារហិរញ្ញវត្ថុ ចែករំលែកតាមរយៈ Skype messenger ។
តារាងមាតិកា
បន្ទុកដែលបានលាក់តាមរយៈ Steganography
ការស៊ើបអង្កេតនាពេលថ្មីៗនេះបង្ហាញថា អ្នកវាយប្រហារកំពុងប្រើ steganography ដើម្បីលាក់កូដសែលនៅក្នុងឯកសាររូបភាព។ ការណែនាំដែលលាក់ទាំងនេះជំរុញឱ្យទាញយក GodRAT ពីម៉ាស៊ីនមេ Command-and-Control (C2) ។ ភ័ស្តុតាងបង្ហាញថាយុទ្ធនាការនេះបានបន្តចាប់តាំងពីថ្ងៃទី 9 ខែកញ្ញា ឆ្នាំ 2024 ជាមួយនឹងសកម្មភាពដែលបានកត់ត្រាថ្មីៗនេះនៅថ្ងៃទី 12 ខែសីហា ឆ្នាំ 2025។ តំបន់ដែលរងផលប៉ះពាល់រួមមានទីក្រុងហុងកុង អារ៉ាប់រួម លីបង់ ម៉ាឡេស៊ី និងហ្ស៊កដានី។
ពី Gh0st RAT ទៅ GodRAT
GodRAT ត្រូវបានគេចាត់ទុកថាជាការវិវត្តន៍ទំនើបនៃ Gh0st RAT ដែលជា Trojan ដែលកូដប្រភពបានលេចធ្លាយក្នុងឆ្នាំ ២០០៨ ហើយចាប់តាំងពីពេលនោះមកត្រូវបានអនុម័តយ៉ាងទូលំទូលាយដោយក្រុមគំរាមកំហែងរបស់ចិន។ ភាពស្រដៀងគ្នានេះក៏ត្រូវបានរកឃើញផងដែរជាមួយនឹង AwesomePuppet ដែលជាដេរីវេនៃ Gh0st RAT មួយផ្សេងទៀតដែលត្រូវបានលាតត្រដាងនៅក្នុងឆ្នាំ 2023 ហើយត្រូវបានសន្មតថាជាក្រុមដែលរីកចម្រើន Winnti (APT41)។
មេរោគនេះត្រូវបានរចនាឡើងជាមួយនឹងរចនាសម្ព័ន្ធផ្អែកលើកម្មវិធីជំនួយ ដែលអនុញ្ញាតឱ្យវាប្រមូលព័ត៌មានរសើប និងដាក់ពង្រាយបន្ទុកបន្ថែមដូចជា AsyncRAT ជាដើម។
ខ្សែសង្វាក់ឆ្លងមេរោគ និងការវិភាគបច្ចេកទេស
ការវាយប្រហារចាប់ផ្តើមដោយឯកសារ .SCR ដែលដើរតួជាកម្មវិធីដែលអាចទាញយកដោយខ្លួនឯងបាន។ ឯកសារទាំងនេះមានធាតុផ្សំដែលបានបង្កប់ជាច្រើន រួមទាំង DLL sideloaded ដែលអាចដំណើរការបានស្របច្បាប់។ DLL នេះទៅយក shellcode ដែលលាក់ក្នុងរូបភាព .JPG ដែលនៅទីបំផុតអនុញ្ញាតឱ្យដាក់ពង្រាយ GodRAT ។
នៅពេលដែលសកម្ម Trojan ភ្ជាប់ទៅម៉ាស៊ីនមេ C2 របស់វាតាមរយៈ TCP ដោយប្រមូលទិន្នន័យប្រព័ន្ធ និងព័ត៌មានលម្អិតអំពីឧបករណ៍កំចាត់មេរោគដែលបានដំឡើង។ បន្ទាប់ពីបញ្ជូនព័ត៌មាននេះ ម៉ាស៊ីនមេ C2 ចេញបញ្ជា។ ការណែនាំទាំងនេះអនុញ្ញាតឱ្យមេរោគទៅ៖
- បញ្ចូលកម្មវិធីជំនួយ DLL ដែលបានទទួលទៅក្នុងអង្គចងចាំ។
- បញ្ចប់ដំណើរការរបស់វាបន្ទាប់ពីបិទរន្ធ។
- ទាញយក និងប្រតិបត្តិឯកសារដោយប្រើ CreateProcessA API ។
- បើក URLs ជាក់លាក់តាមរយៈពាក្យបញ្ជា Internet Explorer
ការពង្រីកសមត្ថភាពជាមួយកម្មវិធីជំនួយ
កម្មវិធីជំនួយគួរឱ្យកត់សម្គាល់មួយ FileManager DLL ផ្តល់ឱ្យអ្នកវាយប្រហារគ្រប់គ្រងយ៉ាងទូលំទូលាយលើប្រព័ន្ធរបស់ជនរងគ្រោះ។ វាបើកដំណើរការស្វែងរកឯកសារ ការរៀបចំ និងការរុករកថតឯកសារ ខណៈពេលដែលបម្រើជាឧបករណ៍ចែកចាយសម្រាប់មេរោគបន្ទាប់បន្សំផងដែរ។ បន្ទុកដែលបានបញ្ជាក់រួមមាន:
- អ្នកលួចពាក្យសម្ងាត់ដែលផ្តោតលើកម្មវិធីរុករក Chrome និង Edge
- AsyncRAT Trojan សម្រាប់ការកេងប្រវ័ញ្ចបន្ថែម
GodRAT Builder and Payload ជម្រើស
អ្នកស្រាវជ្រាវបានរកឃើញអ្នកបង្កើត GodRAT និងកូដប្រភពអតិថិជនពេញលេញ ដោយបង្ហាញពីភាពប្រែប្រួលរបស់វា។ អ្នកបង្កើតអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើត executable ឬ DLLs ។ ប្រសិនបើផ្លូវដែលអាចប្រតិបត្តិបានត្រូវបានជ្រើសរើស អ្នកប្រើប្រាស់អាចជ្រើសរើសប្រព័ន្ធគោលពីរស្របច្បាប់សម្រាប់ការបញ្ចូលកូដ រួមមាន svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe និង QQScLauncher.exe។
ការផ្ទុកលទ្ធផលអាចត្រូវបានរក្សាទុកក្នុងទម្រង់ផ្សេងៗគ្នា រួមទាំង .exe, .com, .bat, .scr និង .pif ។
ច្បាប់កេរ្តិ៍ដំណែល ការគំរាមកំហែងទំនើប
ការរកឃើញរបស់ GodRAT គូសបញ្ជាក់ពីរបៀបដែលការផ្សាំមរតកដូចជា Gh0st RAT ដែលត្រូវបានណែនាំជាលើកដំបូងជិតពីរទសវត្សរ៍មុន នៅតែបង្កហានិភ័យធំនៅថ្ងៃនេះ។ ការសម្របខ្លួនជាប្រចាំ និងការបង្កើតឡើងវិញអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាឧបករណ៍ទាំងនេះពាក់ព័ន្ធ ដោយធានាឱ្យមានការរស់រានមានជីវិតរយៈពេលវែងរបស់ពួកគេនៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិត។ GodRAT បម្រើជាការរំលឹកថា សូម្បីតែមូលដ្ឋានកូដមេរោគចាស់ៗនៅតែជាអាវុធដ៏មានឥទ្ធិពលនៅពេលដែលដាក់ក្នុងដៃរបស់សត្រូវដែលមានជំនាញ។
