ការ​វាយ​ប្រហារ​របស់ Havoc Phishing

អ្នកស៊ើបអង្កេតសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការបន្លំថ្មីមួយដែលប្រើបច្ចេកទេស ClickFix ដើម្បីដាក់ពង្រាយ Havoc ដែលជាក្របខ័ណ្ឌ Command-and-Control (C2) ប្រភពបើកចំហ។ អ្នកវាយប្រហារលាក់បាំងដំណាក់កាលមេរោគយ៉ាងឆ្លាតវៃនៅពីក្រោយគេហទំព័រ SharePoint ដោយប្រើកំណែដែលបានកែប្រែរបស់ Havoc Demon រួមជាមួយនឹង Microsoft Graph API ដើម្បីក្លែងបន្លំទំនាក់ទំនងនៅក្នុងសេវាកម្មស្របច្បាប់។

អន្ទាក់បន្លំ៖ អ៊ីមែលបោកបញ្ឆោត និងឧបាយកល ClickFix

ការវាយប្រហារនេះត្រូវបានបង្កឡើងដោយអ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់ HTML ដែលមានឈ្មោះថា Documents.html ។ នៅពេលបើក ឯកសារបង្ហាញសារកំហុសដែលរៀបចំជនរងគ្រោះក្នុងការចម្លង និងប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលត្រូវបានរំខាន។ បច្ចេកទេសនេះត្រូវបានគេស្គាល់ថា ClickFix បញ្ឆោតអ្នកប្រើប្រាស់ឱ្យជឿថាពួកគេត្រូវការដោះស្រាយបញ្ហាការតភ្ជាប់ OneDrive ដោយធ្វើបច្ចុប្បន្នភាពឃ្លាំងសម្ងាត់ DNS ដោយដៃ។

ប្រសិនបើគោលដៅធ្លាក់សម្រាប់ល្បិច ពួកគេចាប់ផ្តើមដំណើរការឆ្លងដោយអចេតនា ដោយដំណើរការស្គ្រីប PowerShell ដែលភ្ជាប់ទៅម៉ាស៊ីនមេ SharePoint ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

ការដាក់ពង្រាយមេរោគច្រើនដំណាក់កាល៖ ពី PowerShell ទៅ Python

នៅពេលដែលស្គ្រីប PowerShell ដែលមិនមានសុវត្ថិភាពដំណើរការ វាជាដំបូងពិនិត្យមើលថាតើបរិស្ថានត្រូវបាន sandboxed ដើម្បីគេចពីការរកឃើញឬអត់។ ប្រសិនបើចាត់ទុកថាមានសុវត្ថិភាព ស្គ្រីបនឹងបន្តទាញយក Python ('pythonw.exe') ប្រសិនបើវាមិនទាន់ត្រូវបានដំឡើងនៅលើប្រព័ន្ធ។

ពីទីនោះ ស្គ្រីប PowerShell ទីពីរទៅយក និងដំណើរការកម្មវិធីផ្ទុកកូដសែលដែលមានមូលដ្ឋានលើ Python ដែលបន្ទាប់មកបើកដំណើរការ KaynLdr ដែលជាកម្មវិធីផ្ទុកឆ្លុះបញ្ចាំងដែលសរសេរនៅក្នុង C និង Assembly ។ ទីបំផុតនេះដាក់ពង្រាយភ្នាក់ងារ Havoc Demon នៅលើម៉ាស៊ីនដែលសម្របសម្រួល។

សមត្ថភាពរបស់ Havoc៖ អាវុធអ៊ីនធឺណេតបំបាំងកាយ

អ្នកវាយប្រហារប្រើ Havoc ក្នុងពេលដំណាលគ្នាជាមួយ Microsoft Graph API ដើម្បីលាក់បាំងចរាចរ C2 នៅក្នុងសេវាកម្មល្បី និងគួរឱ្យទុកចិត្ត។ មុខងាររបស់ Havoc រួមមាន:

• ការប្រមូលព័ត៌មាន
• ប្រតិបត្តិការឯកសារ
• ការប្រតិបត្តិពាក្យបញ្ជា
• ការអនុវត្តបន្ទុក
• ឧបាយកលថូខឹន
• ការវាយប្រហារ Kerberos

ការផ្សាយពាណិជ្ជកម្មរបស់ Google ត្រូវបានគេប្រើប្រាស់ដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់ PayPal

នៅក្នុងការអភិវឌ្ឍន៍ដ៏គួរឱ្យព្រួយបារម្ភដាច់ដោយឡែកមួយ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតក៏បានសង្កេតឃើញតួអង្គគម្រាមកំហែងកេងប្រវ័ញ្ចគោលនយោបាយ Google Ads ដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់ PayPal ជាមួយនឹងការផ្សាយពាណិជ្ជកម្មក្លែងបន្លំ។

យុទ្ធសាស្ត្រទាំងនេះដំណើរការដោយការក្លែងបន្លំទំព័រជំនួយ PayPal ស្របច្បាប់ និងបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យហៅទៅលេខសេវាកម្មអតិថិជនក្លែងក្លាយ។ គោលដៅគឺដើម្បីប្រមូលព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ជនរងគ្រោះដោយបញ្ចុះបញ្ចូលពួកគេថាពួកគេកំពុងនិយាយជាមួយអ្នកតំណាង PayPal ស្របច្បាប់។

ចន្លោះការផ្សាយពាណិជ្ជកម្ម Google៖ កន្លែងលេងសម្រាប់អ្នកបោកប្រាស់

ភាពជោគជ័យនៃយុទ្ធសាស្ត្រគាំទ្របច្ចេកទេសទាំងនេះ ធ្វើឱ្យមានចន្លោះប្រហោងនៅក្នុងគោលការណ៍ Google Ads ដែលអនុញ្ញាតឱ្យតួអង្គអាក្រក់អាចក្លែងបន្លំម៉ាកល្បីបាន។ ដរាបណាទំព័រចុះចត (URL ចុងក្រោយ) និង URL ដែលបង្ហាញត្រូវគ្នានឹងដែនដូចគ្នា អ្នកបោកប្រាស់អាចបង្កើតការផ្សាយពាណិជ្ជកម្មក្លែងក្លាយដែលគួរឱ្យជឿជាក់។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរហ័សក្នុងការទាញយកពាក្យស្វែងរកពេញនិយម ជាពិសេសពាក្យដែលទាក់ទងនឹងការគាំទ្រអតិថិជន និងការសង្គ្រោះគណនី ដោយធានាថាការផ្សាយពាណិជ្ជកម្មក្លែងបន្លំរបស់ពួកគេលេចឡើងនៅផ្នែកខាងលើនៃលទ្ធផលស្វែងរក។

សេចក្តីសន្និដ្ឋាន៖ ទេសភាពនៃការគំរាមកំហែងកើនឡើង

ពីយុទ្ធនាការបន្លំដែលដំណើរការដោយ ClickFix ដល់ការបំពានលើ Google Ads ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងបន្តកែលម្អយុទ្ធសាស្ត្រវិស្វកម្មសង្គមរបស់ពួកគេ។ ការគំរាមកំហែងទាំងនេះបង្ហាញពីសារៈសំខាន់នៃការប្រុងប្រយ័ត្ន ការយល់ដឹងរបស់អ្នកប្រើប្រាស់ និងវិធានការសុវត្ថិភាពដែលប្រសើរឡើង ដើម្បីកាត់បន្ថយហានិភ័យដែលបណ្តាលមកពីការវាយប្រហារតាមអ៊ីនធឺណិតដែលកំពុងវិវត្ត។