មេរោគ IceBreaker

យុទ្ធនាការវាយប្រហារគំរាមកំហែង ដែលត្រូវបានគេហៅថា IceBreaker កំណត់គោលដៅលើវិស័យហ្គេម និងល្បែង ហើយបានសកម្មតាំងពីខែកញ្ញា ឆ្នាំ 2022។ ការវាយប្រហារនេះប្រើយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដ៏ឆ្លាតវៃ ដើម្បីដាក់ពង្រាយ JavaScript backdoor ។ ព័ត៌មានលម្អិតអំពីយុទ្ធនាការវាយប្រហារ និង IceBreaker Backdoor ដែលត្រូវបានដាក់ពង្រាយត្រូវបានចេញផ្សាយជាលើកដំបូងដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខនៅក្រុមហ៊ុនសន្តិសុខអ៊ីស្រាអ៊ែល Security Joes ។

អ្នកវាយប្រហារនៅពីក្រោយ IceBreaker ពឹងផ្អែកលើវិស្វកម្មសង្គម

តួអង្គគំរាមកំហែងចាប់ផ្តើមខ្សែសង្វាក់វាយប្រហាររបស់ពួកគេដោយដាក់ខ្លួនជាអតិថិជន និងចាប់ផ្តើមការសន្ទនាជាមួយភ្នាក់ងារជំនួយសម្រាប់ក្រុមហ៊ុនហ្គេម។ តួសម្តែងអះអាងថាមានបញ្ហាក្នុងការចុះឈ្មោះគណនី ហើយបន្ទាប់មកលើកទឹកចិត្តភ្នាក់ងារឱ្យបើករូបភាពអេក្រង់ដែលបង្ហោះនៅលើ Dropbox ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទាញយកអត្ថប្រយោជន៍ពីការពិតដែលថាសេវាកម្មអតិថិជនដែលបានជ្រើសរើសគឺដំណើរការដោយមនុស្ស។

ការចុចលើតំណភ្ជាប់នៃរូបថតអេក្រង់ដែលសន្មត់ថាបានផ្ញើនៅក្នុងការជជែកនាំទៅដល់ទាំង LNK payload ឬឯកសារ VBScript ។ LNK payload ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទៅយក និងប្រតិបត្តិកញ្ចប់ MSI ដែលមានការផ្សាំ Node.js នៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។

សមត្ថភាពគំរាមកំហែងនៃមេរោគ IceBreaker Malware

ឯកសារ JavaScript ដែលខូចអាចត្រូវបានប្រើប្រាស់ដោយអ្នកគំរាមកំហែង ដើម្បីទទួលបានសិទ្ធិចូលប្រើកុំព្យូទ័ររបស់ជនរងគ្រោះ។ វាមានសមត្ថភាពទាំងអស់ដែលត្រូវបានគេសង្កេតឃើញជាធម្មតានៅក្នុងការគំរាមកំហែង backdoor - សមត្ថភាពក្នុងការរាប់បញ្ចូលដំណើរការដែលកំពុងដំណើរការ ពាក្យសម្ងាត់ collet និង cookies, exfiltrate file arbitrary, take screenshots, run VBScript imported from a remote server, and even open proxy reverse on the compromised host. ប្រសិនបើកម្មវិធីទាញយក VBS ត្រូវបានប្រតិបត្តិដោយជនរងគ្រោះជំនួសវិញ វានឹងដាក់ពង្រាយ payload ផ្សេងដែលមានឈ្មោះថា Houdini ដែលជា VBS-based Remote Access Trojan (RAT) ដែលមានតាំងពីឆ្នាំ 2013។ មេរោគនេះអាចត្រូវបានប្រើដើម្បីទទួលបានការចូលប្រើដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធរបស់ជនរងគ្រោះ។ និងអាចបណ្តាលឱ្យខូចខាត ឬប្រមូលព័ត៌មានរសើប។