មេរោគ Latrodectus

អ្នកវិភាគសុវត្ថិភាពបានរកឃើញមេរោគប្រលោមលោកមួយដែលមានឈ្មោះថា Latrodectus ដែលត្រូវបានផ្សព្វផ្សាយតាមរយៈការព្យាយាមបន្លំតាមអ៊ីមែលចាប់តាំងពីចុងខែវិច្ឆិកា ឆ្នាំ 2023។ Latrodectus លេចធ្លោជាអ្នកទាញយកដែលកំពុងរីកចម្រើនដែលបំពាក់ដោយសមត្ថភាពគេចពីប្រអប់ខ្សាច់ចម្រុះ ដែលត្រូវបានរៀបចំយ៉ាងល្អិតល្អន់ដើម្បីទាញយកបន្ទុក និងប្រតិបត្តិតាមអំពើចិត្ត។

មាន​ការ​ចង្អុល​បង្ហាញ​ថា​អ្នក​បង្កើត​មេរោគ IcedID ដែល​ល្បី​ឈ្មោះ​ទំនង​ជា​នៅ​ពី​ក្រោយ​ការ​បង្កើត Latrodectus។ កម្មវិធីទាញយកនេះត្រូវបានជួលដោយឈ្មួញកណ្តាលចូលប្រើដំបូង (IABs) ដើម្បីសម្រួលដល់ការដាក់ឱ្យប្រើប្រាស់កម្មវិធីព្យាបាទផ្សេងទៀត។

Latrodectus ត្រូវបានភ្ជាប់ជាចម្បងជាមួយ IABs ពីរផ្សេងគ្នា ដែលត្រូវបានកំណត់ថាជា TA577 (ត្រូវបានគេស្គាល់ផងដែរថាជា Water Curupira) និង TA578។ ជាការកត់សម្គាល់ TA577 ត្រូវបានជាប់ពាក់ព័ន្ធក្នុងការផ្សព្វផ្សាយ QakBot និង PikaBot ផងដែរ។

Latrodectus អាចក្លាយជាការគំរាមកំហែងមេរោគដែលមានវ័យចំណាស់

នៅពាក់កណ្តាលខែមករាឆ្នាំ 2024 Latrodectus ត្រូវបានប្រើប្រាស់ជាចម្បងដោយ TA578 នៅក្នុងយុទ្ធនាការគំរាមកំហែងតាមអ៊ីមែល ដែលជារឿយៗត្រូវបានផ្សព្វផ្សាយតាមរយៈការឆ្លងមេរោគ DanaBot ។ TA578 ដែលជាតួសម្តែងដែលគេស្គាល់ចាប់តាំងពីយ៉ាងហោចណាស់ខែឧសភាឆ្នាំ 2020 ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការអ៊ីមែលផ្សេងៗដែលចែកចាយ Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike , និង Bumblebee ។

លំដាប់នៃការវាយប្រហារពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ចទម្រង់ទំនាក់ទំនងគេហទំព័រ ដើម្បីផ្ញើការគំរាមកំហែងផ្នែកច្បាប់ទាក់ទងនឹងការរំលោភសិទ្ធិអ្នកនិពន្ធទៅកាន់អង្គការគោលដៅ។ តំណភ្ជាប់ដែលបានបង្កប់នៅក្នុងសារទាំងនេះបង្វែរអ្នកទទួលទៅកាន់គេហទំព័របោកបញ្ឆោត ដោយជំរុញឱ្យពួកគេទាញយកឯកសារ JavaScript ដែលទទួលខុសត្រូវក្នុងការផ្តួចផ្តើមបន្ទុកបឋមតាមរយៈ msiexec ។

Latrodectus អ៊ិនគ្រីបទិន្នន័យប្រព័ន្ធ ហើយបញ្ជូនវាទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដោយចាប់ផ្តើមសំណើសម្រាប់ការទាញយក bot ។ នៅពេលដែល bot បង្កើតទំនាក់ទំនងជាមួយ C2 វាបន្តទៅទាមទារពាក្យបញ្ជាពីវា។

មេរោគ Latrodectus អាចអនុវត្តពាក្យបញ្ជាឈ្លានពានជាច្រើន។

មេរោគមានសមត្ថភាពក្នុងការរកឃើញបរិស្ថាន sandbox ដោយផ្ទៀងផ្ទាត់វត្តមាននៃអាសយដ្ឋាន MAC ត្រឹមត្រូវ និងដំណើរការដំណើរការយ៉ាងតិច 75 នៅលើប្រព័ន្ធដែលដំណើរការ Windows 10 ឬថ្មីជាងនេះ។

ស្រដៀងទៅនឹង IcedID ដែរ Latrodectus ត្រូវបានកម្មវិធីដើម្បីបញ្ជូនព័ត៌មានលម្អិតនៃការចុះឈ្មោះតាមរយៈសំណើ POST ទៅកាន់ម៉ាស៊ីនមេ C2 ដែលវាលត្រូវបានបញ្ចូលទៅក្នុងប៉ារ៉ាម៉ែត្រ HTTP និងអ៊ិនគ្រីប។ ក្រោយមក វារង់ចាំការណែនាំបន្ថែមពីម៉ាស៊ីនមេ។ ពាក្យបញ្ជាទាំងនេះផ្តល់អំណាចដល់មេរោគក្នុងការរាប់បញ្ចូលឯកសារ និងដំណើរការ ប្រតិបត្តិប្រព័ន្ធគោលពីរ និងឯកសារ DLL ចេញសេចក្តីណែនាំតាមអំពើចិត្តតាមរយៈ cmd.exe ធ្វើបច្ចុប្បន្នភាព bot និងសូម្បីតែបញ្ចប់ដំណើរការដែលកំពុងដំណើរការ។

ការត្រួតពិនិត្យបន្ថែមទៀតនៃហេដ្ឋារចនាសម្ព័ន្ធអ្នកវាយប្រហារបង្ហាញថាម៉ាស៊ីនមេ C2 ដំបូងបានដំណើរការនៅថ្ងៃទី 18 ខែកញ្ញា ឆ្នាំ 2023។ ម៉ាស៊ីនមេទាំងនេះត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនមេលំដាប់ថ្នាក់ 2 ដែលត្រូវបានបង្កើតឡើងនៅជុំវិញខែសីហា ឆ្នាំ 2023។

ការផ្សារភ្ជាប់គ្នារវាង Latrodectus និង IcedID គឺបង្ហាញឱ្យឃើញពីការតភ្ជាប់របស់ម៉ាស៊ីនមេ T2 ជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធ backend ដែលភ្ជាប់ទៅ IcedID រួមជាមួយនឹងការប្រើប្រាស់ប្រអប់លោតដែលបានភ្ជាប់ពីមុនទៅនឹងប្រតិបត្តិការ IcedID ។

អ្នកស្រាវជ្រាវរំពឹងថានឹងមានការកើនឡើងនៃការប្រើប្រាស់ Latrodectus ដោយតួអង្គគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុនៅក្នុងអាណាចក្រឧក្រិដ្ឋជន ជាពិសេសអ្នកដែលបានផ្សព្វផ្សាយ IcedID ពីមុន។