HiatusRAT
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការវាយប្រហារមិនស្គាល់ពីមុន ដែលពាក់ព័ន្ធនឹងរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួល។ យុទ្ធនាការនេះត្រូវបានគេស្គាល់ថាជា 'Hiatus' គឺស្មុគស្មាញ និងកំណត់គោលដៅលើរ៉ោតទ័រថ្នាក់អាជីវកម្ម។ វាដាក់ពង្រាយប្រព័ន្ធគោលពីរដែលត្រូវបានសម្របសម្រួល រួមទាំង Trojan ពីចម្ងាយ (RAT) ដែលហៅថា 'HiatusRAT' និងវ៉ារ្យ៉ង់នៃ tcpdump ដែលអាចអនុវត្តការចាប់យកកញ្ចប់ព័ត៌មាននៅលើឧបករណ៍គោលដៅ។ ព័ត៌មានលម្អិតអំពីយុទ្ធនាការគំរាមកំហែង និងមេរោគដែលពាក់ព័ន្ធត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ពីអ្នកស្រាវជ្រាវសន្តិសុខ
នៅពេលដែលប្រព័ន្ធគោលដៅត្រូវបានឆ្លងមេរោគ HiatusRAT អនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងធ្វើអន្តរកម្មពីចម្ងាយជាមួយឧបករណ៍។ វាប្រើមុខងារដែលបានបង្កើតជាមុនដែលមិនធម្មតាខ្ពស់ក្នុងការបំប្លែងម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលទៅជាប្រូកស៊ីសម្ងាត់សម្រាប់តួអង្គគំរាមកំហែង។ packet-capture binary អនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងត្រួតពិនិត្យចរាចរណ៍រ៉ោតទ័រនៅលើច្រកដែលទាក់ទងនឹងអ៊ីមែល និងការទំនាក់ទំនងផ្ទេរឯកសារ ដោយផ្តល់ឱ្យពួកគេនូវសមត្ថភាពលួចព័ត៌មានសម្ងាត់យ៉ាងមានប្រសិទ្ធភាព។
អ្នកវាយប្រហារកំណត់គោលដៅលើរ៉ោតទ័រអាជីវកម្មចុងក្រោយ
យុទ្ធនាការដែលគេស្គាល់ថា Hiatus កំណត់គោលដៅចុងក្រោយនៃជីវិតរបស់ DrayTek Vigor ម៉ូដែល 2960 និង 3900 ដែលដំណើរការលើស្ថាបត្យកម្ម i386 ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវ infosec ក៏បានសង្កេតមើលប្រព័ន្ធគោលពីរដែលបានសាងសង់រួចដែលកំណត់គោលដៅផងដែរចំពោះស្ថាបត្យកម្មដែលមានមូលដ្ឋានលើ MIPS, i386 និង ARM ។ រ៉ោតទ័រទាំងនេះជាធម្មតាត្រូវបានប្រើប្រាស់ដោយអាជីវកម្មខ្នាតមធ្យម ហើយអាចគាំទ្រការភ្ជាប់ VPN សម្រាប់បុគ្គលិកពីចម្ងាយរាប់រយនាក់។
វាត្រូវបានគេសង្ស័យថាតួអង្គគម្រាមកំហែងនៅពីក្រោយយុទ្ធនាការនេះបានឆ្លងដល់គោលដៅនៃការចាប់អារម្មណ៍ក្នុងការប្រមូលទិន្នន័យ ខណៈពេលដែលក៏កំណត់គោលដៅឱកាសដើម្បីបង្កើតបណ្តាញប្រូកស៊ីសម្ងាត់ផងដែរ។ យុទ្ធនាការនេះមានធាតុផ្សំសំខាន់ៗចំនួនបី៖ ស្គ្រីប bash មួយដែលបានដាក់ពង្រាយក្រោយការកេងប្រវ័ញ្ច ការប្រតិបត្តិពីរដែលទាញយកដោយស្គ្រីប bash - HiatusRAT និងវ៉ារ្យ៉ង់នៃ tcpdump ដែលអនុញ្ញាតឱ្យចាប់យកកញ្ចប់ព័ត៌មាន។
តាមការវិភាគ វាត្រូវបានគេរកឃើញថា HiatusRAT បម្រើគោលបំណងសំខាន់ពីរ។ ទីមួយ វាអនុញ្ញាតឱ្យតួសម្តែងធ្វើអន្តរកម្មពីចម្ងាយជាមួយឧបករណ៍ដែលរងផលប៉ះពាល់ ដោយអនុញ្ញាតឱ្យពួកគេទាញយកឯកសារ ឬដំណើរការពាក្យបញ្ជាតាមអំពើចិត្ត។ ទីពីរ វាអាចដំណើរការជាឧបករណ៍ប្រូកស៊ី SOCKS5 នៅលើរ៉ោតទ័រ។ វាទំនងជាត្រូវបានប្រើដើម្បីសម្រួលដល់ការចរាចរ Command-and-Control (C2, C&C) ប្រូកស៊ីតាមរយៈរ៉ោតទ័រ ដើម្បីធ្វើឱ្យមានភាពច្របូកច្របល់ពីភ្នាក់ងារបន្ថែមនៅកន្លែងផ្សេង។
សមត្ថភាពគំរាមកំហែងត្រូវបានរកឃើញនៅក្នុង HiatusRAT
ការវាយប្រហារចាប់ផ្តើមដោយការដាក់ពង្រាយ bash script ដែលទាញយក និងប្រតិបត្តិមេរោគ RAT ដែលអនុញ្ញាតឱ្យវាប្រមូលប្រព័ន្ធ បណ្តាញ ប្រព័ន្ធឯកសារ និងដំណើរការទិន្នន័យពីរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួល។
HiatusRAT ក៏បង្កើតការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control រៀងរាល់ 8 ម៉ោងម្តង ហើយប្រសិនបើជោគជ័យ ផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើពីចម្ងាយដើម្បីគ្រប់គ្រងឧបករណ៍ដែលមានមេរោគ។ ការវិភាគផ្នែកវិស្វកម្មបញ្ច្រាសបានបង្ហាញពីលក្ខណៈពិសេសដ៏គ្រោះថ្នាក់បំផុតមួយចំនួនរបស់មេរោគ រួមទាំងការបង្កកំណើតសែលពីចម្ងាយនៅលើឧបករណ៍ដែលមានមេរោគ ការអាន/លុប/ស្រង់ឯកសារទៅម៉ាស៊ីនមេ C2 ការទាញយក និងប្រតិបត្តិឯកសារពីម៉ាស៊ីនមេ C2 ប្រតិបត្តិស្គ្រីបពីម៉ាស៊ីនមេ C2 បញ្ជូនទិន្នន័យ TCP កំណត់ទៅការបញ្ជូនបន្តទីតាំងតាមរយៈប្រូកស៊ី SOCKS v5 ដែលបង្កើតឡើងនៅលើរ៉ោតទ័រដែលបំពាន។ ប្រសិនបើអ្នកវាយប្រហារសម្រេចចិត្តធ្វើដូច្នេះ ពួកគេអាចណែនាំការគំរាមកំហែងដើម្បីបញ្ចប់ខ្លួនឯង។
លើសពីនេះទៀត អ្នកវាយប្រហារប្រើប្រូកស៊ី SOCKS v5 ដើម្បីផ្លាស់ទីទិន្នន័យពីឧបករណ៍ដែលបំពានផ្សេងទៀតតាមរយៈរ៉ោតទ័រដែលមានមេរោគ។ វាជួយធ្វើឱ្យទិន្នន័យបណ្តាញមិនច្បាស់លាស់ និងធ្វើត្រាប់តាមសកម្មភាពស្របច្បាប់។ អង្គការគួរតែដឹងពីការគំរាមកំហែងនេះ និងចាត់វិធានការដើម្បីការពារបណ្តាញរបស់ពួកគេប្រឆាំងនឹងការវាយប្រហារបែបនេះ។
