មេរោគ JanelaRAT

ការគំរាមកំហែងពីមេរោគដែលមិនស្គាល់ពីមុនត្រូវបានតាមដានជា JanelaRAT ដែលជាមេរោគហិរញ្ញវត្ថុត្រូវបានកត់ត្រាដោយអ្នកឯកទេសសន្តិសុខតាមអ៊ីនធឺណិតដើម្បីកំណត់គោលដៅបុគ្គលនៅក្នុងតំបន់អាមេរិកឡាទីន (LATAM)។ កម្មវិធីដែលគំរាមកំហែងនេះមានសមត្ថភាពក្នុងការទាញយកទិន្នន័យរសើបចេញពីប្រព័ន្ធដែលមានមូលដ្ឋានលើ Windows ដែលត្រូវបានសម្របសម្រួល។

JanelaRAT ត្រូវបានដឹកនាំជាចម្បងឆ្ពោះទៅរកការទទួលបានព័ត៌មានទាក់ទងនឹងហិរញ្ញវត្ថុ និងរូបិយប័ណ្ណគ្រីបតូសម្រាប់ធនាគារ និងស្ថាប័នហិរញ្ញវត្ថុដែលប្រតិបត្តិការនៅក្នុង LATAM ។ មេរោគប្រើវិធីសាស្ត្រផ្ទុកចំហៀង DLL ដែលមានប្រភពពីអង្គភាពស្របច្បាប់ដូចជា VMWare និង Microsoft ។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យ JanelaRAT ជៀសវាងការរកឃើញដោយវិធានការសុវត្ថិភាពចំណុចបញ្ចប់។

ខ្សែសង្វាក់ឆ្លងមេរោគនៃមេរោគ JanelaRAT

រហូតមកដល់ពេលនេះ ចំណុចដំបូងពិតប្រាកដនៃខ្សែសង្វាក់ឆ្លងមិនទាន់ត្រូវបានបញ្ជាក់នៅឡើយទេ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតដែលបានកំណត់យុទ្ធនាការក្នុងខែមិថុនា ឆ្នាំ 2023 បានរាយការណ៍ថាវិធីសាស្ត្រមិនស្គាល់មួយត្រូវបានប្រើប្រាស់ដើម្បីណែនាំឯកសារ ZIP ដែលមានផ្ទុកស្គ្រីប Visual Basic ។

VBScript ត្រូវបានរៀបចំយ៉ាងល្អិតល្អន់ដើម្បីទាញយកបណ្ណសារ ZIP ទីពីរពីម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារ។ លើសពីនេះទៀត វាទម្លាក់ឯកសារបាច់ដែលបម្រើគោលបំណងនៃការបង្កើតយន្តការតស៊ូរបស់មេរោគនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

នៅក្នុងបណ្ណសារហ្ស៊ីប សមាសធាតុសំខាន់ពីរត្រូវបានខ្ចប់ជាមួយគ្នា៖ បន្ទុក JanelaRAT និងអាចប្រតិបត្តិបានស្របច្បាប់ ពោលគឺ 'identity_helper.exe' ឬ 'vmnat.exe ។ កម្មវិធីដែលអាចប្រតិបត្តិបានទាំងនេះត្រូវបានជួលដើម្បីបើកដំណើរការបន្ទុក JanelaRAT តាមរយៈបច្ចេកទេសនៃការផ្ទុកចំហៀង DLL ។

JanelaRAT ខ្លួនវារួមបញ្ចូលការអ៊ិនគ្រីបខ្សែអក្សរ និងមានសមត្ថភាពក្នុងការផ្លាស់ប្តូរទៅជាស្ថានភាពទំនេរនៅពេលចាំបាច់។ មុខងារនេះជួយក្នុងការលុបបំបាត់ការវិភាគ និងការរកឃើញ។ JanelaRAT តំណាងឱ្យកំណែដែលបានកែប្រែយ៉ាងសំខាន់នៃ BX RAT ដែលជាការគំរាមកំហែងដ៏គ្រោះថ្នាក់ដែលត្រូវបានកំណត់អត្តសញ្ញាណដំបូងក្នុងឆ្នាំ 2014 ។

JanelaRAT មានបញ្ជីឯកទេសនៃសមត្ថភាពឈ្លានពាន

ក្នុងចំណោមមុខងារគម្រាមកំហែងថ្មីដែលបានបញ្ចូលទៅក្នុង Trojan គឺសមត្ថភាពរបស់វាក្នុងការចាប់យកចំណងជើងវិនដូ ហើយបញ្ជូនវាទៅកាន់អ្នកគំរាមកំហែង។ ទោះជាយ៉ាងណាក៏ដោយ JanelaRAT ដំបូងបង្កើតទំនាក់ទំនងរវាងម៉ាស៊ីនដែលបានសម្របសម្រួលថ្មី និងម៉ាស៊ីនមេ Command-and-Control (C2) នៃប្រតិបត្តិការវាយប្រហារ។ JanelaRAT ក៏មានមុខងារបន្ថែម រួមទាំងសមត្ថភាពក្នុងការត្រួតពិនិត្យការបញ្ចូលកណ្តុរ កត់ត្រាការចុចគ្រាប់ចុច ចាប់យករូបថតអេក្រង់ និងប្រមូលទិន្នន័យមេតារបស់ប្រព័ន្ធ។

ទោះជាយ៉ាងណាក៏ដោយយោងទៅតាមអ្នកស្រាវជ្រាវអារេនៃលក្ខណៈពិសេសដែលបានសង្កេតនៅក្នុង JanelaRAT គឺគ្រាន់តែជាសំណុំរងនៃអ្វីដែល BX RAT ផ្តល់ជូនប៉ុណ្ណោះ។ ជាក់ស្តែង អ្នកអភិវឌ្ឍន៍ JanelaRAT បានជ្រើសរើសមិនរួមបញ្ចូលមុខងារណាមួយសម្រាប់ប្រតិបត្តិពាក្យបញ្ជាសែល រៀបចំឯកសារ ឬគ្រប់គ្រងដំណើរការ។

ការពិនិត្យហ្មត់ចត់នៃកូដប្រភពបានបង្ហាញវត្តមានរបស់ខ្សែអក្សរជាច្រើនជាភាសាព័រទុយហ្គាល់ ដែលបង្ហាញពីលទ្ធភាពដែលអ្នកបង្កើតការគំរាមកំហែងស្គាល់ភាសាជាក់លាក់នេះ។ លើសពីនេះទៀត ការតភ្ជាប់ទៅកាន់តំបន់អាមេរិកឡាទីន (LATAM) ត្រូវបានរកឃើញនៅក្នុងឯកសារយោងទៅកាន់អង្គភាពសកម្មនៅក្នុងវិស័យធនាគារ និងហិរញ្ញវត្ថុវិមជ្ឈការ។ វាក៏មានការពិតដែលថា VBScript ដែលភ្ជាប់ជាមួយ JanelaRAT អាចត្រូវបានតាមដានទៅប្រទេសឈីលី កូឡុំប៊ី និងម៉ិកស៊ិក។