មេរោគ GRAPELOADER

ក្រុម hacking គាំទ្រដោយរដ្ឋរុស្ស៊ី APT29 ដែលត្រូវបានគេស្គាល់ថា Cozy Bear ឬ Midnight Blizzard បានចាប់ផ្តើមយុទ្ធនាការបន្លំថ្មីមួយដែលផ្តោតលើអង្គភាពការទូតនៅទូទាំងទ្វីបអឺរ៉ុប។ យុទ្ធនាការនេះប្រើប្រាស់កំណែដែលបានដំណើរការឡើងវិញនៃ WINELOADER Backdoor និងកម្មវិធីផ្ទុកមេរោគដែលបានរកឃើញថ្មីគឺ GRAPELOADER ។ អ្នកវាយប្រហារប្រើការទាក់ទាញអ៊ីម៉ែលដើម្បីបញ្ឆោតអ្នកទទួលឱ្យអនុវត្តបណ្ណសារហ្ស៊ីបដែលគំរាមកំហែងដោយក្លែងបន្លំជាការអញ្ជើញឱ្យចូលរួមក្នុងព្រឹត្តិការណ៍ភ្លក់ស្រា។

ជួបមេរោគនេះ៖ GRAPELOADER និង WINELOADER

ខណៈពេលដែល WINELOADER ដើរតួជា backdoor ម៉ូឌុលនៅក្នុងដំណាក់កាលក្រោយនៃការឆ្លង GRAPELOADER គឺជាឧបករណ៍នៃជម្រើសសម្រាប់ដំណាក់កាលដំបូង។ ចំណុចទាញ GRAPELOADER៖

• ប្រព័ន្ធស្នាមម្រាមដៃ
• ភាពស្ថិតស្ថេរតាមរយៈការកែប្រែ Windows Registry
• ការដឹកជញ្ជូនបន្ទុកទៅម៉ាស៊ីនដែលមានមេរោគ

នៅពេលដែលការតស៊ូរបស់ GRAPELOADER ត្រូវបានសម្រេច មេរោគនឹងចូលទៅក្នុងរង្វិលជុំគ្មានទីបញ្ចប់ ដោយទៅដល់ម៉ាស៊ីនមេ Command-and-Control (C2) រៀងរាល់ 60 វិនាទីម្តង។ កំឡុងពេលទំនាក់ទំនងដំបូងរបស់វា វាប្រមូលព័ត៌មានលំអិតនៃប្រព័ន្ធសំខាន់ៗដូចជា UserName, ComputerName, ProcessName និង ProcessPID ។ ព័ត៌មាននេះត្រូវបានខ្ចប់ជាមួយនឹងខ្សែអក្សរគោលដប់ប្រាំមួយតួអក្សររឹង 64 តួអក្សរ ដែលទំនងជាបម្រើជាយុទ្ធនាការ ឬកម្មវិធីកំណត់អត្តសញ្ញាណកំណែ ហើយបញ្ជូនទៅម៉ាស៊ីនមេ C2 តាមរយៈសំណើ HTTPS POST ។

ទោះបីជាមានតួនាទីខុសគ្នាក៏ដោយ ឧបករណ៍ទាំងពីរនេះចែករំលែករចនាសម្ព័ន្ធកូដស្រដៀងគ្នា និងប្រើប្រាស់បច្ចេកទេសធ្វើឱ្យខូចទ្រង់ទ្រាយកម្រិតខ្ពស់ រួមទាំងការអ៊ិនគ្រីបខ្សែអក្សរ និងការដោះស្រាយ API ពេលដំណើរការ។ GRAPELOADER ត្រូវ​បាន​គេ​ចាត់​ទុក​ថា​ជា​អ្នក​ស្នង​តំណែង​ដ៏​លាក់លៀម​ជាង​សម្រាប់ ROOTSAW ដែល​ជា​កម្មវិធី​ទាញ​យក HTA ចាស់។

ការបោកបញ្ឆោតតាមបែបយុទ្ធសាស្ត្រ៖ ពីការបញ្ឆោតរសជាតិស្រារហូតដល់ការប្រតិបត្តិមេរោគ

អ៊ីមែលបន្លំដែលមានប្រភពមកពីដែន bakenhof.com និង silry.com ក្លែងបន្លំជាក្រសួងការបរទេសអឺរ៉ុប ហើយអញ្ជើញអ្នកទទួលឱ្យចូលរួមក្នុងព្រឹត្តិការណ៍ភ្លក់ស្រាក្លែងក្លាយ។ បណ្ណសារហ្ស៊ីបដែលភ្ជាប់មកជាមួយ wine.zip មានឯកសារសំខាន់ៗចំនួនបី៖

• AppvIsvSubsystems64.dll - ភាពអាស្រ័យដែលប្រើសម្រាប់ការផ្ទុកចំហៀង DLL
• wine.exe - ជា PowerPoint ស្របច្បាប់ដែលអាចប្រតិបត្តិបានដើម្បីបើកដំណើរការមេរោគ
• ppcore.dll – DLL ព្យាបាទ (GRAPELOADER) បានបើកដំណើរការតាមរយៈការផ្ទុកចំហៀង

នៅពេលដែលត្រូវបានប្រតិបត្តិ មេរោគនេះធានាបាននូវភាពស្ថិតស្ថេរដោយការកែប្រែបញ្ជីឈ្មោះដើម្បីដំណើរការ wine.exe នៅលើរាល់ការចាប់ផ្ដើមប្រព័ន្ធ។

សំណាញ់ធំទូលាយ៖ ហួសពីព្រំដែនអឺរ៉ុប

យុទ្ធនាការ​នេះ​ផ្តោត​សំខាន់​លើ​ក្រសួង​ការ​បរទេស​អឺរ៉ុប និង​ស្ថានទូត។ ទោះជាយ៉ាងណាក៏ដោយ ភស្តុតាងបង្ហាញថា បុគ្គលិកការទូតដែលឈរជើងនៅមជ្ឈិមបូព៌ា ក៏អាចស្ថិតនៅក្នុងជួរមុខផងដែរ។ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា GRAPELOADER មិនត្រឹមតែចម្រាញ់ទិន្នន័យប្រព័ន្ធទៅកាន់ម៉ាស៊ីនមេខាងក្រៅប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងត្រួសត្រាយផ្លូវសម្រាប់ការចែកចាយ WINELOADER ជាបន្ទុកចម្បងផងដែរ។ កំណែដែលបានធ្វើបច្ចុប្បន្នភាពរបស់ WINELOADER ជាមួយនឹងពេលវេលានៃការចងក្រងដែលត្រូវគ្នាបានលេចចេញមក ដោយភ្ជាប់ក្រុមគ្រួសារមេរោគឱ្យកាន់តែរឹងមាំ។

សេចក្តីសន្និដ្ឋាន៖ តួនាទីរបស់ GRAPELOADER នៅក្នុងក្រុម Arsenal របស់ APT29

ដោយការជំនួសឧបករណ៍ចាស់ៗជាមួយ GRAPELOADER APT29 បង្ហាញពីការច្នៃប្រឌិតជាបន្តបន្ទាប់របស់ខ្លួននៅក្នុងចារកម្មតាមអ៊ីនធឺណិត។ យុទ្ធនាការនេះបង្ហាញជាឧទាហរណ៍ពីរបៀបដែលវិស្វកម្មសង្គមទំនើប គួបផ្សំនឹងការរចនាមេរោគបំបាំងកាយ នៅតែជាយុទ្ធសាស្ត្រដ៏មានឥទ្ធិពលសម្រាប់ការជ្រៀតចូលគោលដៅរដ្ឋាភិបាលដែលមានតម្លៃខ្ពស់។