JINX-0164 ជនបង្កការគំរាមកំហែង
ភ្នាក់ងារគំរាមកំហែងដែលគ្មានឯកសារដែលធ្លាប់ត្រូវបានគេស្គាល់ថាជា JINX-0164 បានរៀបចំយុទ្ធនាការតាមអ៊ីនធឺណិតដែលមានគោលដៅខ្ពស់ប្រឆាំងនឹងអង្គការរូបិយប័ណ្ណគ្រីបតូ ដោយប្រើប្រាស់វិស្វកម្មសង្គមដែលមានប្រធានបទជ្រើសរើសបុគ្គលិក និងមេរោគ macOS ដែលបង្កើតឡើងតាមតម្រូវការ ដើម្បីលួចទ្រព្យសកម្មឌីជីថល។ ក្រុមដែលមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុនេះ បានសកម្មចាប់តាំងពីយ៉ាងហោចណាស់ពាក់កណ្តាលឆ្នាំ 2025 មក ហើយបានផ្តោតយ៉ាងខ្លាំងទៅលើអ្នកអភិវឌ្ឍន៍ ហើយនៅក្នុងឧប្បត្តិហេតុដែលបានបញ្ជាក់យ៉ាងហោចណាស់មួយ បានអនុវត្តការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។
យុទ្ធនាការនេះបង្ហាញពីការរួមបញ្ចូលគ្នាកម្រិតខ្ពស់នៃយុទ្ធសាស្ត្រជ្រើសរើសបុគ្គលិកបោកប្រាស់ ការដាក់ពង្រាយមេរោគ និងការជ្រៀតចូលជ្រៅទៅក្នុងបរិស្ថាន CI/CD។ តាមរយៈការធ្វើឱ្យខូចស្ថានីយការងាររបស់បុគ្គលិក អ្នកវាយប្រហារបានផ្លាស់ប្តូរទៅចំហៀងចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធអភិវឌ្ឍន៍ និងប្រព័ន្ធចែកចាយកូដដោយជោគជ័យ ដែលបង្កើនវិសាលភាព និងផលប៉ះពាល់នៃការឈ្លានពានយ៉ាងខ្លាំង។
តារាងមាតិកា
ការឆបោកជ្រើសរើសបុគ្គលិកក្លាយជាចំណុចចូល
JINX-0164 ពឹងផ្អែកលើការបញ្ចុះបញ្ចូលបុគ្គល LinkedIn ឱ្យចាប់ផ្តើមទំនាក់ទំនងជាមួយអ្នកអភិវឌ្ឍន៍ និងបុគ្គលិកគោលដៅដែលធ្វើការនៅក្នុងអង្គការដែលទាក់ទងនឹងរូបិយប័ណ្ណគ្រីបតូ។ ជនរងគ្រោះត្រូវបានអញ្ជើញឱ្យចូលរួមក្នុងកិច្ចប្រជុំនិម្មិតដែលរៀបចំនៅលើដែនក្លែងបន្លំដោយក្លែងបន្លំវេទិកាសន្និសីទតាមទូរស័ព្ទស្របច្បាប់។
ក្នុងអំឡុងពេលដំណើរការរៀបចំកិច្ចប្រជុំក្លែងក្លាយ គោលដៅត្រូវបានណែនាំឱ្យទាញយកអ្វីដែលហាក់ដូចជាកម្មវិធីភ្ញៀវកិច្ចប្រជុំ ឬការជួសជុលបច្ចេកទេស។ តាមពិតទៅ ឯកសារដែលបានទាញយកចាប់ផ្តើមខ្សែសង្វាក់នៃការឆ្លងមេរោគដោយទាញយកមេរោគ macOS infostealer ដែលមានមូលដ្ឋានលើ Python និងមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលគេស្គាល់ថាជា AUDIOFIX ពីដែនចែកចាយកម្មវិធីបញ្ជាក្លែងក្លាយ 'apple.driver-store.com'។
ដំណើរការឆ្លងមេរោគត្រូវបានសម្របសម្រួលតាមរយៈស្គ្រីប bash ដែលមានសមត្ថភាពកំណត់អត្តសញ្ញាណស្ថាបត្យកម្មប្រព័ន្ធរបស់ជនរងគ្រោះ ដែលអនុញ្ញាតឱ្យមេរោគដំណើរការយ៉ាងរលូននៅលើឧបករណ៍ Intel និង Apple Silicon macOS។ payload ក្លែងខ្លួនវាជាកម្មវិធីបញ្ជាអូឌីយ៉ូប្រព័ន្ធដែលមានឈ្មោះថា 'coreaudiod' ត្រូវបានរក្សាទុកក្នុងមូលដ្ឋានជា 'ChromeUpdater' ហើយត្រូវបានដាក់ឱ្យដំណើរការដោយប្រើយន្តការ macOS launchctl ដើម្បីរក្សាភាពស្ថិតស្ថេរ។
AUDIOFIX អនុញ្ញាតឱ្យមានការសម្របសម្រួលប្រព័ន្ធយ៉ាងស៊ីជម្រៅ
នៅពេលដែលដាក់ពង្រាយរួច AUDIOFIX អនុវត្តការលួចព័ត៌មានសម្ងាត់ និងប្រតិបត្តិការឈ្លបយកការណ៍យ៉ាងទូលំទូលាយ ខណៈពេលដែលក៏គាំទ្រដល់ចលនាចំហៀងចូលទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធផ្ទៃក្នុងផងដែរ។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញថាមេរោគនេះកំពុងត្រូវបានប្រើប្រាស់ដើម្បីចាក់បញ្ចូលទិន្នន័យដែលមានគំនិតអាក្រក់ទៅក្នុងប្រព័ន្ធអភិវឌ្ឍន៍ និងកែប្រែកូដប្រភពក្នុងការប៉ុនប៉ងធ្វើឱ្យខូចចំណុចបញ្ចប់បន្ថែម និងទាញយកព័ត៌មានសម្ងាត់កាបូបលុយឌីជីថល។
មេរោគនេះអាចលួចយកព័ត៌មានរសើបជាច្រើនប្រភេទ រួមមាន៖
- លិខិតសម្គាល់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ ទិន្នន័យកម្មវិធីរុករក ឯកសារ iCloud Keychain សោ SSH លិខិតសម្គាល់អ្នកគ្រប់គ្រង កំណត់ត្រាប្រវត្តិកុងសូល និងឯកសារកំណត់រចនាសម្ព័ន្ធ
- អាសយដ្ឋានកាបូបលុយឌីជីថល ទិន្នន័យផ្នែកបន្ថែមកម្មវិធីរុករកដែលភ្ជាប់ទៅនឹងសេវាកម្មឌីជីថល និងវគ្គសកម្មពី Discord, Slack និង Telegram
ក្រៅពីការលួចព័ត៌មាន AUDIOFIX ក៏គាំទ្រដល់ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ ការលុបឯកសារ ការចែកចាយបន្ទុក សកម្មភាពឈ្លបយកការណ៍ និងការលួចយកទិន្នន័យពីប្រព័ន្ធដែលឆ្លងមេរោគផងដែរ។
MiniRAT ពង្រីកការគំរាមកំហែងតាមរយៈការរំលោភបំពានខ្សែសង្វាក់ផ្គត់ផ្គង់
សមាសធាតុសំខាន់មួយទៀតនៃប្រតិបត្តិការគឺ MiniRAT ដែលជាច្រកខាងក្រោយដែលមានមូលដ្ឋានលើ Go ដែលភ្ជាប់ទៅនឹងកញ្ចប់ npm ដែលរងការសម្របសម្រួលដែលមានឈ្មោះថា '@velora-dex/sdk'។ កញ្ចប់នេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងឧបករណ៍ហិរញ្ញវត្ថុវិមជ្ឈការស្របច្បាប់ដែលប្រើសម្រាប់ការផ្លាស់ប្តូរសញ្ញាសម្ងាត់ ការជួញដូរ delta និងការបញ្ជាទិញកំណត់នៅលើវេទិកា VeloraDEX។
កំណែព្យាបាទនៃកញ្ចប់នេះបានទាញយកស្គ្រីបសែលពីម៉ាស៊ីនមេពីចម្ងាយ ហើយនៅទីបំផុតបានដាក់ពង្រាយប្រព័ន្ធគោលពីរ MiniRAT ជាក់លាក់ macOS។ នៅពេលដែលដំឡើងរួច មេរោគនេះបានអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្ទុកឡើងឯកសារ ប្រតិបត្តិពាក្យបញ្ជាសែលតាមអំពើចិត្ត និងទាញយក payload បន្ថែមពីហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។
JINX-0164 បានប្រើប្រាស់យុទ្ធសាស្ត្រវិស្វកម្មសង្គមឡើងវិញម្តងហើយម្តងទៀត ដែលពាក់ព័ន្ធនឹងឱកាសជ្រើសរើសបុគ្គលិកក្លែងក្លាយ និងបញ្ហាបច្ចេកទេសប្រឌិត ដែលតម្រូវឱ្យជនរងគ្រោះដំឡើងការជួសជុលកម្មវិធីក្លែងបន្លំ។ វិធីសាស្រ្តស្របគ្នានេះបង្ហាញពីការសង្កត់ធ្ងន់យ៉ាងខ្លាំងរបស់ក្រុមលើការរៀបចំរបស់មនុស្សជាវ៉ិចទ័រឈ្លានពានចម្បង។
តំណភ្ជាប់ដែលអាចកើតមានទៅកាន់ប្រតិបត្តិការតាមអ៊ីនធឺណិតរបស់កូរ៉េខាងជើង
លក្ខណៈមួយចំនួននៃយុទ្ធនាការនេះស្រដៀងនឹងសកម្មភាពដែលធ្លាប់ជាប់ទាក់ទងនឹងក្រុមគំរាមកំហែងតាមអ៊ីនធឺណិតរបស់កូរ៉េខាងជើងដូចជា BlueNoroff, Contagious Interview និង UNC1069។ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ឃើញភាពស្រដៀងគ្នានៅក្នុងគំរូកំណត់គោលដៅ ដែនក្លែងក្លាយ និងការប្រើប្រាស់សេវាកម្ម VPN ដូចជា Astrill VPN។
បើទោះបីជាមានការត្រួតស៊ីគ្នាទាំងនេះក៏ដោយ ក្រុមអ្នកស៊ើបអង្កេតមិនទាន់បានកំណត់អត្តសញ្ញាណការតភ្ជាប់ហេដ្ឋារចនាសម្ព័ន្ធណាមួយដែលបានបញ្ជាក់ដែលភ្ជាប់ JINX-0164 ដោយផ្ទាល់ទៅនឹងប្រតិបត្តិការដែលឧបត្ថម្ភដោយរដ្ឋកូរ៉េខាងជើងនោះទេ។ ភស្តុតាងបច្ចុប្បន្នបង្ហាញពីភាពស្រដៀងគ្នានៃប្រតិបត្តិការជាជាងការបញ្ជាក់ច្បាស់លាស់។
