KTLVdoor Backdoor

ក្រុមគំរាមកំហែងនិយាយភាសាចិនដែលគេស្គាល់ថា Earth Lusca ត្រូវបានគេរកឃើញថាកំពុងដាក់ពង្រាយ backdoor ថ្មីមួយហៅថា KTLVdoor នៅក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតប្រឆាំងនឹងក្រុមហ៊ុនពាណិជ្ជកម្មដែលមិនបានបង្ហាញមុខនៅក្នុងប្រទេសចិន។ មេរោគដែលទើបរកឃើញថ្មីនេះ បង្កើតនៅក្នុង Golang ត្រូវបានរចនាឡើងដើម្បីឆ្លងវេទិកា ដោយផ្តោតលើប្រព័ន្ធ Microsoft Windows និង Linux ។

KTLVdoor បង្ហាញពីភាពច្របូកច្របល់យ៉ាងធ្ងន់ធ្ងរ និងក្លែងខ្លួនជាឧបករណ៍ប្រើប្រាស់ប្រព័ន្ធផ្សេងៗ។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តសកម្មភាពព្យាបាទជាច្រើន រួមទាំងការរៀបចំឯកសារ ការប្រតិបត្តិពាក្យបញ្ជា និងការស្កេនច្រកពីចម្ងាយ។

ការក្លែងបន្លំឧបករណ៍ស្របច្បាប់

KTLVdoor ក្លែងបន្លំជាឧបករណ៍ជាច្រើន រួមទាំង sshd, Java, SQLite, bash និង edr-agent ក្នុងចំណោមឧបករណ៍ផ្សេងទៀត។ មេរោគត្រូវបានចែកចាយជា dynamic-link library (.dll) ឬវត្ថុដែលបានចែករំលែក (.so)។

ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់នៃសកម្មភាពនេះគឺការកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេជាង 50 Command-and-Control (C&C) ដែលទាំងអស់រៀបចំដោយក្រុមហ៊ុនចិន Alibaba ។ ម៉ាស៊ីនមេទាំងនេះត្រូវបានភ្ជាប់ទៅនឹងវ៉ារ្យ៉ង់មេរោគផ្សេងៗ ដែលបង្ហាញពីសក្តានុពលសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធចែករំលែកជាមួយតួអង្គគំរាមកំហែងរបស់ចិនផ្សេងទៀត។

តួអង្គគំរាមកំហែងមានសកម្មភាពជាច្រើនឆ្នាំមកហើយ

Earth Lusca មានសកម្មភាពតាំងពីឆ្នាំ 2021 មកម្ល៉េះ ដោយបានធ្វើការវាយលុកតាមប្រព័ន្ធអ៊ីនធឺណែត សំដៅទាំងស្ថាប័នសាធារណៈ និងឯកជននៅទូទាំងអាស៊ី អូស្ត្រាលី អឺរ៉ុប និងអាមេរិកខាងជើង។ ក្រុម​នេះ​ត្រូវ​បាន​គេ​ជឿ​ថា​មាន​ភាព​ស្រដៀង​គ្នា​នៃ​កលល្បិច​មួយ​ចំនួន​ជាមួយ​នឹង​ឈុត​ឈ្លានពាន​ផ្សេង​ទៀត​ដែល​គេ​ស្គាល់​ថា​ជា RedHotel និង APT27 (ហៅ​ម្យ៉ាង​ទៀត​ថា Budworm, Emissary Panda និង Iron Tiger)។

មេរោគចុងក្រោយបំផុតរបស់ក្រុម KTLVdoor មានភាពច្របូកច្របល់យ៉ាងខ្លាំង។ វាទាញយកឈ្មោះរបស់វាពីសញ្ញាសម្គាល់ដែលមានស្លាក 'KTLV' ដែលបានរកឃើញនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធរបស់វា ដែលរួមបញ្ចូលប៉ារ៉ាម៉ែត្រផ្សេងៗដែលចាំបាច់សម្រាប់ប្រតិបត្តិការរបស់វា ដូចជា Command-and-Control (C&C) servers ដែលវាភ្ជាប់ទៅ។

ការមិនស្គាល់ជាច្រើននៅតែមាន

នៅពេលដែលបានដំណើរការ មេរោគនឹងទាក់ទងទៅម៉ាស៊ីនមេ Command-and-Control (C&C) ម្តងហើយម្តងទៀត ដោយរង់ចាំការណែនាំបន្ថែមដើម្បីប្រតិបត្តិលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ វាគាំទ្រពាក្យបញ្ជាផ្សេងៗ រួមទាំងការទាញយក និងផ្ទុកឡើងឯកសារ ការរាប់បញ្ចូលប្រព័ន្ធឯកសារ បើកដំណើរការសែលអន្តរកម្ម ដំណើរការសែលកូដ និងធ្វើការស្កេនដោយប្រើឧបករណ៍ដូចជា ScanTCP, ScanRDP, DialTLS, ScanPing និង ScanWeb ក្នុងចំណោមឧបករណ៍ផ្សេងទៀត។

ទោះជាយ៉ាងណាក៏ដោយ ព័ត៌មានលម្អិតអំពីរបៀបដែលមេរោគត្រូវបានចែកចាយ និងថាតើវាត្រូវបានគេប្រើប្រឆាំងនឹងគោលដៅផ្សេងទៀតនៅទូទាំងពិភពលោកនៅមិនទាន់ច្បាស់នៅឡើយ។

ខណៈពេលដែល Earth Lusca ប្រើប្រាស់ឧបករណ៍ថ្មីនេះ វាមានលទ្ធភាពដែលវាក៏អាចត្រូវបានប្រើប្រាស់ដោយតួអង្គគំរាមកំហែងនិយាយភាសាចិនផ្សេងទៀតផងដែរ។ ការពិតដែលថាម៉ាស៊ីនមេ C&C ទាំងអស់ត្រូវបានបង្ហោះនៅលើអាសយដ្ឋាន IP ពីក្រុមហ៊ុន Alibaba ដែលជាក្រុមហ៊ុនផ្តល់សេវាចិន បាននាំឱ្យអ្នកស្រាវជ្រាវសន្មតថាមេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធ C&C របស់វាអាចជាផ្នែកមួយនៃដំណាក់កាលសាកល្បងដំបូងសម្រាប់ឧបករណ៍ថ្មី។

ការគម្រាមកំហែង Backdoor ធ្វើឱ្យជនរងគ្រោះមានផលវិបាកធ្ងន់ធ្ងរ

មេរោគ Backdoor បង្កគ្រោះថ្នាក់យ៉ាងធ្ងន់ធ្ងរ ព្រោះវាផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលប្រើដោយគ្មានការអនុញ្ញាត លាក់បាំងទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដោយឆ្លងកាត់វិធានការសុវត្ថិភាពធម្មតា។ ការគំរាមកំហែងដ៏សំខាន់បំផុតមួយចំនួនដែលទាក់ទងនឹងមេរោគ backdoor រួមមាន:

• ការគ្រប់គ្រងជាប់លាប់ ៖ Backdoors អនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការចូលប្រើប្រាស់ប្រព័ន្ធរយៈពេលវែង ដែលជារឿយៗមិនអាចរកឃើញ។ ការចូលប្រើប្រាស់ជាប់លាប់នេះ អាចឱ្យអ្នកវាយប្រហារបន្តត្រួតពិនិត្យ និងរៀបចំប្រព័ន្ធតាមពេលវេលា ដែលធ្វើឱ្យវាពិបាកក្នុងការដកចេញការគំរាមកំហែង។
• ការលួចទិន្នន័យ ៖ អ្នកវាយប្រហារអាចប្រមូលព័ត៌មានរសើបដូចជាទិន្នន័យហិរញ្ញវត្ថុ កម្មសិទ្ធិបញ្ញា លិខិតបញ្ជាក់ការចូល និងទំនាក់ទំនងសម្ងាត់។ ទិន្នន័យដែលប្រមូលបាននេះអាចត្រូវបានលក់ ប្រើប្រាស់សម្រាប់ការក្លែងបន្លំ ឬនាំឱ្យមានការវាយប្រហារបន្ថែមទៀត រួមទាំងការលួចអត្តសញ្ញាណ ឬចារកម្មផងដែរ។
• ការកេងប្រវ័ញ្ចបណ្តាញ ៖ នៅពេលដែលនៅខាងក្នុង មេរោគ backdoor អាចរីករាលដាលនៅពេលក្រោយឆ្លងកាត់បណ្តាញ ឆ្លងទៅឧបករណ៍ផ្សេងទៀត និងពង្រីកវិសាលភាពនៃការវាយប្រហារ។ នេះអាចនាំឱ្យមានការសម្របសម្រួលបណ្តាញពេញលេញ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងប្រព័ន្ធជាច្រើនក្នុងពេលដំណាលគ្នា។
• ការចែកចាយ Malware ផ្សេងទៀត ៖ Backdoors អាចត្រូវបានប្រើជាយន្តការចែកចាយសម្រាប់មេរោគបន្ថែម ដូចជា ransomware, spyware ឬ keyloggers ដែលអាចបង្កឱ្យមានការខូចខាត និងការរំខានបន្ថែមទៀត។
• ការរៀបចំប្រព័ន្ធ និងការបំផ្លិចបំផ្លាញ ៖ អ្នកវាយប្រហារអាចប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធដែលមានមេរោគ ផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ ការលុប ឬខូចឯកសារ បិទឧបករណ៍សុវត្ថិភាព និងការរំខានដល់សេវាកម្មសំខាន់ៗ។ ក្នុងករណីប្រព័ន្ធឧស្សាហកម្ម ឬរដ្ឋាភិបាល នេះអាចនាំឱ្យខូចខាតដល់ប្រតិបត្តិការ ឬហេដ្ឋារចនាសម្ព័ន្ធធ្ងន់ធ្ងរ។
• ការត្រួតពិនិត្យ និងត្រួតពិនិត្យពីចម្ងាយ ៖ មេរោគ Backdoor អនុញ្ញាតឱ្យអ្នកវាយប្រហារត្រួតពិនិត្យសកម្មភាពដោយស្ងៀមស្ងាត់ កត់ត្រាការចុចគ្រាប់ចុច ចាប់យករូបថតអេក្រង់ និងកត់ត្រាសកម្មភាពអ្នកប្រើប្រាស់។ កម្រិតនៃការឃ្លាំមើលនេះអាចសម្របសម្រួលគោលនយោបាយសន្តិសុខ និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារទាញយកភាពងាយរងគ្រោះដោយមិនមានការរកឃើញ។
• ការកើនឡើងនៃសិទ្ធិ ៖ អ្នកវាយប្រហារតែងតែប្រើ backdoors ដើម្បីបង្កើនសិទ្ធិរបស់ពួកគេនៅលើប្រព័ន្ធមួយ ដោយផ្តល់ឱ្យពួកគេនូវការគ្រប់គ្រងរដ្ឋបាលពេញលេញ។ នេះអនុញ្ញាតឱ្យពួកគេឆ្លងកាត់ពិធីការសុវត្ថិភាព ដែលធ្វើឱ្យវាស្ទើរតែមិនអាចទៅរួចទេសម្រាប់អ្នកប្រើប្រាស់ស្របច្បាប់ ឬក្រុមសន្តិសុខដើម្បីគ្រប់គ្រងឡើងវិញ។

សរុបមក មេរោគ backdoor គឺជាការគំរាមកំហែងដ៏ធ្ងន់ធ្ងរ ព្រោះវាផ្តល់ឱ្យអ្នកវាយប្រហាររយៈពេលវែង លាក់ការចូលប្រើប្រព័ន្ធ អនុញ្ញាតឱ្យពួកគេលួចទិន្នន័យ ផ្សព្វផ្សាយមេរោគ គ្រប់គ្រងប្រតិបត្តិការ និងសម្របសម្រួលបណ្តាញទាំងមូល ខណៈពេលដែលនៅសល់ការលំបាកក្នុងការស្វែងរក និងលុបបំបាត់។