GoGra Backdoor

នៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2023 អង្គការប្រព័ន្ធផ្សព្វផ្សាយអាស៊ីខាងត្បូងមួយត្រូវបានគេកំណត់គោលដៅដោយប្រើប្រាស់ Backdoor ដែលមានមូលដ្ឋានលើ Go ដែលទើបនឹងរកឃើញដែលត្រូវបានគេស្គាល់ថា GoGra ។ មេរោគនេះដែលត្រូវបានសរសេរជាភាសាកម្មវិធី Go ប្រើប្រាស់ Microsoft Graph API ដើម្បីទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C&C) ដែលបង្ហោះនៅលើសេវាកម្មសំបុត្ររបស់ Microsoft ។ រហូតមកដល់ពេលនេះ វិធីសាស្ត្របញ្ជូន GoGra ទៅកាន់បរិស្ថានគោលដៅនៅតែមិនទាន់ដឹងនៅឡើយ។ គួរកត់សម្គាល់ថា GoGra ត្រូវបានរចនាឡើងដើម្បីអានសារពីគណនី Outlook ដែលមានឈ្មោះអ្នកប្រើប្រាស់ 'FNU LNU' ជាពិសេសអ្នកដែលមានប្រធានបទចាប់ផ្តើមដោយ 'បញ្ចូល'។

GoGra ចែករំលែកភាពស្រដៀងគ្នាជាមួយមេរោគដែលមិនបានលាក់ពីមុន

ខ្លឹមសារសារត្រូវបានឌិគ្រីបដោយប្រើក្បួនដោះស្រាយ AES-256 នៅក្នុងរបៀប Cipher Block Chaning (CBC) ដោយប្រើសោជាក់លាក់។ បន្ទាប់ពីការឌិគ្រីបពាក្យបញ្ជាត្រូវបានប្រតិបត្តិតាមរយៈ cmd.exe ។ បន្ទាប់មកលទ្ធផលត្រូវបានអ៊ិនគ្រីប និងផ្ញើត្រឡប់ទៅអ្នកប្រើប្រាស់ដដែលជាមួយនឹងប្រធានបទ 'លទ្ធផល'។ GoGra ត្រូវ​បាន​គេ​ជឿ​ថា​ត្រូវ​បាន​បង្កើត​ឡើង​ដោយ​ក្រុម​លួច​ចូល​ក្នុង​រដ្ឋ​មួយ​ដែល​គេ​ស្គាល់​ថា​ជា Harvester ដោយ​សារ​តែ​ភាព​ស្រដៀង​គ្នា​របស់​វា​ជាមួយ​នឹង​ការ​ផ្សាំ .NET ផ្ទាល់​ខ្លួន​ហៅ​ថា Graphon ដែល​ក៏​ប្រើ Graph API សម្រាប់​មុខងារ Command-and-Control (C&C) ដែរ។

តួអង្គគំរាមកំហែងកាន់តែខ្លាំងឡើង ទាញយកសេវាកម្មពពកស្របច្បាប់

តួអង្គគំរាមកំហែងកំពុងប្រើប្រាស់សេវាកម្មពពកស្របច្បាប់កាន់តែខ្លាំងឡើង ដើម្បីរក្សាការប្រុងប្រយ័ត្ន និងជៀសវាងការចំណាយទាក់ទងនឹងហេដ្ឋារចនាសម្ព័ន្ធដែលខិតខំប្រឹងប្រែង។

ឧទាហរណ៍លេចធ្លោនៃនិន្នាការនេះរួមមាន:

• Firefly ៖ ឧបករណ៍​ចម្រាញ់​ទិន្នន័យ​ថ្មី​ដែល​ប្រើ​ក្នុង​ការ​វាយ​ប្រហារ​តាម​អ៊ីនធឺណិត​ប្រឆាំង​នឹង​អង្គការ​យោធា​មួយ​នៅ​អាស៊ី​អាគ្នេយ៍។ ទិន្នន័យ​ដែល​ប្រមូល​បាន​ត្រូវ​បាន​ផ្ទុក​ឡើង​ទៅ​កាន់ Google Drive ដោយ​ប្រើ​សញ្ញា​សម្គាល់​ការ​ផ្ទុក​ឡើង​វិញ​ដែល​មាន​កូដ​រឹង។
• Grager ៖ ទ្វារខាងក្រោយថ្មីត្រូវបានរកឃើញនៅក្នុងខែមេសា ឆ្នាំ 2024 ដោយផ្តោតលើអង្គការនានានៅតៃវ៉ាន់ ហុងកុង និងវៀតណាម។ វាទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C&C) ដែលបង្ហោះនៅលើ Microsoft OneDrive តាមរយៈ Graph API។ សកម្មភាពនេះត្រូវបានភ្ជាប់ជាបណ្តើរៗទៅនឹងតួអង្គគម្រាមកំហែងរបស់ចិនដែលគេសង្ស័យថាជា UNC5330។
• MoonTag : Backdoor ដែលមានមុខងារសម្រាប់ធ្វើអន្តរកម្មជាមួយ Graph API ដែលសន្មតថាជាអ្នកគំរាមកំហែងនិយាយភាសាចិន។
• Onedrivetools ៖ ជា backdoor ដែលប្រើប្រឆាំងនឹងក្រុមហ៊ុនសេវាកម្ម IT នៅសហរដ្ឋអាមេរិក និងអឺរ៉ុប។ វាប្រើប្រាស់ Graph API ដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C&C នៅលើ OneDrive ប្រតិបត្តិពាក្យបញ្ជា និងរក្សាទុកលទ្ធផលទៅវេទិកាដូចគ្នា។

ខណៈពេលដែលការប្រើប្រាស់សេវាកម្មពពកសម្រាប់ Command and Control មិនមែនជាបច្ចេកទេសថ្មីនោះទេ ការទទួលយករបស់វាក្នុងចំណោមអ្នកវាយប្រហារបានកើនឡើងនាពេលថ្មីៗនេះ។

គ្រោះថ្នាក់នៃការឆ្លងមេរោគនៅខាងក្រោយ

មេរោគ backdoor បង្កគ្រោះថ្នាក់យ៉ាងសំខាន់ចំពោះអង្គការ ឬអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ រួមមានៈ

• ការចូលប្រើដែលមិនមានការអនុញ្ញាត ៖ Backdoors ផ្តល់ឱ្យអ្នកវាយប្រហារនូវសិទ្ធិចូលប្រើដែលលាក់នៅក្នុងប្រព័ន្ធ ដែលអនុញ្ញាតឱ្យពួកគេឆ្លងកាត់យន្តការផ្ទៀងផ្ទាត់ធម្មតា។ ការចូលប្រើដោយគ្មានការអនុញ្ញាតនេះអាចនាំឱ្យមានការសម្របសម្រួលនៃទិន្នន័យរសើប និងប្រព័ន្ធសំខាន់ៗ។
• ការលួចទិន្នន័យ ៖ អ្នកវាយប្រហារអាចប្រើ backdoors ដើម្បីទាញយកព័ត៌មានសម្ងាត់ រួមទាំងទិន្នន័យផ្ទាល់ខ្លួន កម្មសិទ្ធិបញ្ញា និងកំណត់ត្រាហិរញ្ញវត្ថុ។ ទិន្នន័យដែលប្រមូលបាននេះអាចត្រូវបានប្រើសម្រាប់ការលួចអត្តសញ្ញាណ ចារកម្មសាជីវកម្ម ឬលក់នៅលើបណ្តាញងងឹត។
• ការគ្រប់គ្រងប្រព័ន្ធ និងឧបាយកល ៖ នៅពេលដែល backdoor ត្រូវបានដំឡើង អ្នកវាយប្រហារអាចទទួលបានការគ្រប់គ្រងលើប្រព័ន្ធដែលរងផលប៉ះពាល់។ ការគ្រប់គ្រងនេះអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជា ដំឡើងមេរោគបន្ថែម ផ្លាស់ប្តូរការកំណត់ប្រព័ន្ធ ឬរៀបចំទិន្នន័យ។
• ការសម្របសម្រួលបណ្តាញ ៖ Backdoors ជារឿយៗជួយសម្រួលដល់ចលនានៅពេលក្រោយនៅក្នុងបណ្តាញមួយ។ អ្នកវាយប្រហារអាចប្រើការសម្របសម្រួលដំបូងដើម្បីផ្លាស់ទីនៅពេលក្រោយឆ្លងកាត់ប្រព័ន្ធដែលបានតភ្ជាប់ ដែលអាចប៉ះពាល់ដល់បណ្តាញទាំងមូល និងបង្កើនវិសាលភាពនៃការវាយប្រហាររបស់ពួកគេ។
• ការរំខាននៃប្រតិបត្តិការ ៖ មេរោគ Backdoor អាចរំខានដល់ប្រតិបត្តិការអាជីវកម្មធម្មតា ដោយធ្វើឱ្យប្រព័ន្ធបរាជ័យ ការលុប ឬអ៊ិនគ្រីបឯកសារសំខាន់ៗ ឬនាំឱ្យមានបញ្ហាដំណើរការ។ នេះអាចបណ្តាលឱ្យមានការផ្អាកប្រតិបត្តិការ និងការខាតបង់ផ្នែកហិរញ្ញវត្ថុ។
• ចារកម្ម និងការឃ្លាំមើល ៖ Backdoors អាចត្រូវបានប្រើសម្រាប់ចារកម្ម ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារតាមដាន និងកត់ត្រាសកម្មភាពអ្នកប្រើប្រាស់ ការទំនាក់ទំនង និងអន្តរកម្ម។ ការឃ្លាំមើលនេះអាចប៉ះពាល់ដល់ភាពឯកជន និងនាំទៅដល់ការលេចធ្លាយព័ត៌មានរសើប។
• ការខូចខាតកេរ្តិ៍ឈ្មោះ ៖ វត្តមាននៃមេរោគ backdoor អាចបំផ្លាញឈ្មោះល្អរបស់ស្ថាប័ន ដែលនាំឱ្យបាត់បង់ទំនុកចិត្ត និងទំនុកចិត្តរបស់អតិថិជន។ នេះអាចមានឥទ្ធិពលយូរអង្វែងលើទំនាក់ទំនងអាជីវកម្ម និងទីតាំងទីផ្សារ។
• ផលវិបាកផ្នែកច្បាប់ និងបទប្បញ្ញត្តិ ៖ អង្គការអាចប្រឈមមុខនឹងផលវិបាកផ្នែកច្បាប់ និងបទប្បញ្ញត្តិ ប្រសិនបើពួកគេមិនអាចការពារទិន្នន័យរសើបបាន។ ការបំពានទិន្នន័យពាក់ព័ន្ធនឹងមេរោគ backdoor អាចនាំឱ្យមានការផាកពិន័យ សកម្មភាពផ្លូវច្បាប់ និងបញ្ហាអនុលោមភាព។

សរុបមក មេរោគ backdoor បង្ហាញពីការគំរាមកំហែងច្រើនមុខ ដែលអាចសម្របសម្រួលសុវត្ថិភាព ឯកជនភាព និងសុចរិតភាពនៃប្រតិបត្តិការ ដែលធ្វើឱ្យវាមានសារៈសំខាន់សម្រាប់ស្ថាប័ន និងអ្នកប្រើប្រាស់ក្នុងការប្រើវិធានការសុវត្ថិភាពដ៏រឹងមាំ និងរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការឈ្លានពានដែលអាចកើតមាន។