ឧបករណ៍ផ្ទុក IDAT
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការវាយប្រហារមួយ ដែលត្រូវបានកំណត់ថាជាការគំរាមកំហែងដល់ Trojan អ៊ុយក្រែនហៅថា Remcos RAT ដែលសម្របសម្រួលដោយកម្មវិធីផ្ទុកមេរោគដែលគេស្គាល់ថា IDAT Loader ។ ក្រុមឆ្លើយតបគ្រោះអាសន្នកុំព្យូទ័រនៃអ៊ុយក្រែន (CERT-UA) ដែលតាមដានអ្នកគំរាមកំហែងថាជា UAC-0184 (TA544) បានសន្មតថាការវាយប្រហារនេះ។
ការវាយប្រហារដែលត្រូវបានអនុវត្តតាមរយៈការប្រើប្រាស់ IDAT Loader រួមបញ្ចូល steganography ជាបច្ចេកទេសមួយ។ ទោះបីជាបច្ចេកទេស steganographic ឬ 'Stego' ត្រូវបានគេទទួលស្គាល់យ៉ាងទូលំទូលាយ។ បច្ចេកទេស Steganographic ពាក់ព័ន្ធនឹងការលាក់ព័ត៌មាននៅក្នុងឧបករណ៍ផ្ទុកផ្សេងទៀត ដូចជាការលាក់ទិន្នន័យនៅក្នុងរូបភាព ឯកសារអូឌីយ៉ូ ឬមាតិកាឌីជីថលផ្សេងទៀត ដើម្បីបើកការទំនាក់ទំនងសម្ងាត់ដោយមិនទាក់ទាញការចាប់អារម្មណ៍។ វាមានសារៈសំខាន់ណាស់ក្នុងការយល់ដឹងអំពីតួនាទីរបស់ពួកគេក្នុងការគេចចេញពីវិធានការការពារ។
តារាងមាតិកា
កម្មវិធីផ្ទុក IDAT ជួយសម្រួលដល់ការដឹកជញ្ជូន Malware Payloads ដំណាក់កាលបន្ទាប់
កម្មវិធី IDAT Loader ដែលមានភាពស្រដៀងគ្នាជាមួយគ្រួសារអ្នកផ្ទុកផ្សេងទៀតដែលមានឈ្មោះថា Hijack Loader បានដាក់ពង្រាយយ៉ាងសកម្មនូវបន្ទុកផ្សេងៗរួមទាំង DanaBot , SystemBC និង RedLine Stealer ក្នុងរយៈពេលជាច្រើនខែ។ កម្មវិធីផ្ទុកនេះត្រូវបានជួលដោយតួអង្គគំរាមកំហែងដែលត្រូវបានកំណត់ថាជា TA544 ដើម្បីផ្សព្វផ្សាយ Remcos RAT និង SystemBC តាមរយៈការវាយប្រហារដោយបន្លំ។
យុទ្ធនាការបន្លំ ដែលត្រូវបានបង្ហាញដំបូងដោយ CERT-UA នៅដើមខែមករា ឆ្នាំ 2024 ពាក់ព័ន្ធនឹងការប្រើនុយដែលទាក់ទងនឹងសង្គ្រាម ដើម្បីផ្តួចផ្តើមខ្សែសង្វាក់ឆ្លង។ ខ្សែសង្វាក់នេះនៅទីបំផុតនាំទៅដល់ការដាក់ពង្រាយ IDAT Loader ដែលប្រើប្រាស់ steganographic PNG ដែលបានបង្កប់ ដើម្បីកំណត់ទីតាំង និងទាញយក Remcos RAT ។
ជាញឹកញាប់ Remcos RAT ត្រូវបានដាក់ឱ្យប្រើប្រាស់ក្នុងយុទ្ធនាការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
REMCOS RAT តំណាងឱ្យ Trojan ចូលប្រើពីចម្ងាយដ៏ទូលំទូលាយដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយទាំងនៅក្នុងកិច្ចខិតខំប្រឹងប្រែងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត និងចារកម្ម។ ល្បីល្បាញដោយសារសមត្ថភាពរបស់ខ្លួនក្នុងការចាប់យកការគ្រប់គ្រងកុំព្យូទ័រ REMCOS អាចប្រមូលផ្តុំការចុចគ្រាប់ចុច អូឌីយ៉ូ វីដេអូ រូបថតអេក្រង់ និងទិន្នន័យប្រព័ន្ធ ខណៈពេលដែលជួយសម្រួលដល់ការដឹកជញ្ជូនមេរោគបន្ថែម។ ជាធម្មតា មេរោគនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈអ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់ ឬតំណភ្ជាប់ដែលមានគំនិតអាក្រក់ ដែលនាំទៅដល់ការដំឡើង RAT ។ គួរកត់សម្គាល់ថា REMCOS ត្រូវបានគេសង្កេតឃើញថាត្រូវបានចែកចាយតាមមធ្យោបាយផ្សេងៗ រួមទាំងកម្មវិធីផ្ទុកមេរោគផងដែរ។ មេរោគនេះត្រូវបានប្រើប្រាស់ដោយព្យាបាទតាំងពីពាក់កណ្តាលឆ្នាំ 2010។
បន្ទាប់ពីការប្រតិបត្តិដោយជោគជ័យនៃ REMCOS តួអង្គគំរាមកំហែងទទួលបានការគ្រប់គ្រង និងសមត្ថភាពឃ្លាំមើលយ៉ាងទូលំទូលាយលើប្រព័ន្ធគោលដៅ។ នេះអនុញ្ញាតឱ្យពួកគេទាញយកទិន្នន័យរសើបដោយសម្ងាត់ក្នុងរយៈពេលបន្ថែម ដែលអាចជៀសវាងការរកឃើញ។ ការប្រើប្រាស់ព័ត៌មានរសើបបែបនេះ អាស្រ័យលើគោលដៅ នាំមកនូវហានិភ័យនៃជនរងគ្រោះដែលប្រឈមមុខនឹងការគំរាមកំហែង ការបាត់បង់ការងារដែលអាចកើតមាន ប្រសិនបើទិន្នន័យរបស់ក្រុមហ៊ុនត្រូវបានសម្របសម្រួល និងការលួចទិន្នន័យរបស់អង្គការ។ ទិន្នន័យដែលលួចបន្លំនេះអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីរៀបចំការវាយប្រហារទ្រង់ទ្រាយធំ និងស្មុគ្រស្មាញ ដែលបណ្តាលឱ្យមានគ្រោះថ្នាក់ធ្ងន់ធ្ងរ និងមិនអាចជួសជុលឡើងវិញបានចំពោះអង្គការ ឬជីវភាពរស់នៅរបស់បុគ្គលដែលរងផលប៉ះពាល់។
អ៊ុយក្រែននៅតែជាគោលដៅនៃការវាយប្រហារតាមអ៊ីនធឺណិតដោយក្រុមហេកឃ័រដែលមានទំនាក់ទំនងជាមួយរុស្ស៊ី
CERT-UA ក៏បានព្រមានអំពីការវាយប្រហារតាមអ៊ីនធឺណែតដែលមានគោលបំណងឆ្លងប្រព័ន្ធកុំព្យូទ័រដែលប្រើប្រាស់ដោយកងកម្លាំងប្រដាប់អាវុធអ៊ុយក្រែនជាមួយ Cookbox backdoor ។
យោងតាម CERT-UA បុគ្គលមិនស្គាល់អត្តសញ្ញាណម្នាក់បានចែកចាយឯកសារ XLS ដែលមានឈ្មោះថា '1_ф_5.39-2024.xlsm' តាមរយៈ Signal messenger ក្នុងចំណោមបុគ្គលិកយោធាជាច្រើននាក់ ដោយអះអាងថាមានបញ្ហាជាមួយការបង្កើតរបាយការណ៍។ ឯកសារនោះមានស្គ្រីប VBA បន្ថែមដែលបង្កឱ្យមានការទាញយក និងដំណើរការស្គ្រីប PowerShell ដែលមានឈ្មោះថា 'mob2002.data' ។
ស្គ្រីប PowerShell ដែលបានទាញយកពី GitHub ធ្វើការផ្លាស់ប្តូរមួយចំនួននៅក្នុងបញ្ជីឈ្មោះ OS ។ ពិសេសជាងនេះទៅទៀត វាទម្លាក់បន្ទុកដែលបានអ៊ិនកូដ base64 នៅក្នុង 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' ដែលនៅទីបំផុតប្រតិបត្តិមេរោគ Cookbox ។ Cookbox គឺជាស្គ្រីប PowerShell ដែលអនុវត្តមុខងារសម្រាប់ការទាញយក និងប្រតិបត្តិ PowerShell cmdlets ។
សេវាកម្ម DNS ថាមវន្ត (ដូចជា gotdns.ch, myftp.biz) និង Cloudflare Workers ត្រូវបានប្រើប្រាស់សម្រាប់ប្រតិបត្តិការនៃម៉ាស៊ីនមេបញ្ជា និងបញ្ជា។ សកម្មភាពដែលបានពិពណ៌នាដែលត្រូវបានតាមដានជា UAC-0149 បាននិងកំពុងបន្តចាប់តាំងពីរដូវស្លឹកឈើជ្រុះឆ្នាំ 2023 នេះបើយោងតាមទិន្នន័យដែលបានបង្ហាញដោយអ្នកស្រាវជ្រាវ។
