IceApple Malware
តួអង្គគំរាមកំហែងបាននឹងកំពុងប្រើប្រាស់ក្របខ័ណ្ឌ malware ក្រោយការកេងប្រវ័ញ្ចដ៏ស្មុគ្រស្មាញនៅក្នុងការវាយប្រហារតាមគោលដៅជាបន្តបន្ទាប់ចាប់តាំងពីឆ្នាំ 2021។ មេរោគនេះកំពុងត្រូវបានតាមដានថាជា IceApple ដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតនៅក្រុម Falcon OverWatch ដែលជាផ្នែកតាមប្រមាញ់ការគំរាមកំហែងរបស់ CrowdStrike ។
យោងតាមការរកឃើញរបស់ពួកគេ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានកំណត់គោលដៅអង្គភាពនៅទូទាំងវិស័យឧស្សាហកម្មជាច្រើនដូចជា បច្ចេកវិទ្យា រដ្ឋាភិបាល និងការសិក្សា និងទីតាំងភូមិសាស្ត្រជាច្រើន។ គោលដៅទំនងជានៃយុទ្ធនាការវាយប្រហារហាក់ដូចជាចារកម្មតាមអ៊ីនធឺណិត និងការលួចទិន្នន័យ។ IceApple មិនត្រូវបានគេកំណត់ថាជាក្រុម hacker ជាក់លាក់ទេ ប៉ុន្តែអាកប្បកិរិយារបស់វាបង្ហាញពីសញ្ញាដែលជាធម្មតាទាក់ទងនឹងអ្នកគំរាមកំហែងដែលគាំទ្រដោយរដ្ឋដែលចូលបក្សសម្ព័ន្ធជាមួយប្រទេសចិន។
ព័ត៌មានលម្អិតបច្ចេកទេស
ក្របខ័ណ្ឌ IceApple គឺផ្អែកលើសុទ្ធ និងមានម៉ូឌុលគំរាមកំហែងយ៉ាងតិច 18 ផ្សេងៗគ្នា។ វាត្រូវបានគេរកឃើញថាដាក់ពង្រាយនៅលើ Microsoft Exchange Server instances ប៉ុន្តែវាអាចមានប្រសិទ្ធភាពដូចគ្នានៅពេលដំណើរការលើកម្មវិធីគេហទំព័រ Internet Information Services (IIS)។ តាមពិត យោងទៅតាម CrowdStrike OverWatch ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលបង្កើតមេរោគត្រូវតែមានចំណេះដឹងទូលំទូលាយ និងស៊ីជម្រៅអំពីដំណើរការខាងក្នុងនៃកម្មវិធី IIS ។
ចំណេះដឹងនេះត្រូវបានលើកជាឧទាហរណ៍នៅក្នុងបច្ចេកទេសរាវរក-គេចពី IceApple ។ ម៉ូឌុលផ្សេងគ្នាត្រូវបានដំណើរការក្នុងអង្គចងចាំ ដើម្បីកាត់បន្ថយការគំរាមកំហែងលើប្រព័ន្ធដែលបំពាន។ លើសពីនេះ IceApple រួមបញ្ចូលគ្នាជាមួយបរិស្ថានធម្មជាតិនៃប្រព័ន្ធដោយបង្កើតឯកសារដំឡើង ដែលមើលទៅដំបូងត្រូវបានបង្កើតដោយស្របច្បាប់ដោយម៉ាស៊ីនមេ IIS គេហទំព័រ។
ម៉ូឌុលគំរាមកំហែង
មុខងាររបស់ IceApple គឺអាស្រ័យលើម៉ូឌុលដែលបានដាក់ពង្រាយ។ ម៉ូឌុលនីមួយៗនៃ 18 ត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានរចនាឡើងដើម្បីអនុវត្តការងារជាក់លាក់មួយ រួមទាំងការប្រមូលព័ត៌មានសម្ងាត់ រៀបចំប្រព័ន្ធឯកសារដោយការលុបឯកសារ និងថតឯកសារ និងការបណ្តេញចេញនូវទិន្នន័យសម្ងាត់ និងមានតម្លៃ។ តាមការពិត មានម៉ូឌុលមួយសម្រាប់ការស្រង់ចេញឯកសារតែមួយ និងមួយទៀតដែលមានសមត្ថភាពអ៊ិនគ្រីប បង្ហាប់ និងផ្ទុកឡើងឯកសារច្រើនក្នុងពេលតែមួយ។ អ្នកជំនាញផ្នែកសន្តិសុខព្រមានថា IceApple ទំនងជានៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍សកម្ម ហើយសមត្ថភាពរបស់វាអាចត្រូវបានពង្រីកបន្ថែមទៀតតាមរយៈការណែនាំនៃម៉ូឌុលបន្ថែម។