មេរោគ LightlessCan
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានអនុវត្តការវាយប្រហារចារកម្មប្រឆាំងនឹងក្រុមហ៊ុនអាកាសចរណ៍ដែលមិនបានបង្ហាញមុខនៅក្នុងប្រទេសអេស្ប៉ាញ។ នៅក្នុងឧប្បត្តិហេតុនេះ តួអង្គគំរាមកំហែងបានសន្មត់ថាជាអ្នកជ្រើសរើសបុគ្គលិកដែលមានទំនាក់ទំនងជាមួយ Meta (អតីត Facebook) ដើម្បីកំណត់គោលដៅបុគ្គលិករបស់ក្រុមហ៊ុន។ បុគ្គលិកទាំងនេះត្រូវបានទាក់ទងតាមរយៈ LinkedIn ដោយអ្នកជ្រើសរើសបុគ្គលិកក្លែងបន្លំ ហើយក្រោយមកត្រូវបានបញ្ឆោតឱ្យទាញយក និងបើកឯកសារដែលអាចប្រតិបត្តិបានដែលអាចគំរាមកំហែងបាន។ ឯកសារបោកបញ្ឆោតត្រូវបានបង្ហាញជាសំណួរសរសេរកូដ ឬសំណួរ។ ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលត្រូវបានឆ្លងមេរោគជាបន្តបន្ទាប់ជាមួយនឹងការគំរាមកំហែង backdoor ដែលមិនស្គាល់ពីមុនដែលត្រូវបានតាមដានជា LightlessCan ។
ការវាយប្រហារតាមអ៊ីនធឺណិតនេះគឺជាផ្នែកមួយនៃយុទ្ធនាការ spear-phishing ដែលត្រូវបានបង្កើតឡើងយ៉ាងល្អដែលគេស្គាល់ថាជា "Operation Dream Job"។ វាត្រូវបានរៀបចំឡើងដោយ Lazarus Group ដែលជាតារាសម្តែង APT (Advanced Persistent Threat) ដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើង។ គោលបំណងចម្បងនៃប្រតិបត្តិការ Dream Job គឺដើម្បីទាក់ទាញបុគ្គលិកដែលកំពុងធ្វើការនៅក្នុងស្ថាប័នដែលមានចំណាប់អារម្មណ៍ជាយុទ្ធសាស្ត្រ។ អ្នកវាយប្រហារប្រើការសន្យានៃឱកាសការងារដ៏គួរឱ្យទាក់ទាញជានុយ ដើម្បីផ្តួចផ្តើមខ្សែសង្វាក់ឆ្លងមេរោគ ជាមួយនឹងគោលដៅចុងក្រោយនៃការសម្របសម្រួលប្រព័ន្ធ និងទិន្នន័យគោលដៅរបស់ពួកគេ។
ខ្សែសង្វាក់វាយប្រហារពហុដំណាក់កាលផ្តល់មេរោគ LightlessCan Malware
ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមនៅពេលដែលបុគ្គលគោលដៅត្រូវបានផ្ញើសារតាមរយៈ LinkedIn ពីអ្នកជ្រើសរើសក្លែងក្លាយដែលអះអាងថាតំណាងឱ្យ Meta Platforms ។ បន្ទាប់មកអ្នកជ្រើសរើសក្លែងក្លាយនេះបន្តបញ្ជូនបញ្ហាប្រឈមការសរសេរកូដចំនួនពីរ ដែលហាក់ដូចជាជាផ្នែកមួយនៃដំណើរការជ្រើសរើសបុគ្គលិក។ ពួកគេបានបញ្ចុះបញ្ចូលជនរងគ្រោះដោយជោគជ័យឱ្យប្រតិបត្តិឯកសារសាកល្បងទាំងនេះ ដែលត្រូវបានរៀបចំនៅលើវេទិកាផ្ទុកពពកភាគីទីបី ហើយដាក់ឈ្មោះថា Quiz1.iso និង Quiz2.iso ។
ដូចដែលអ្នកជំនាញសន្តិសុខអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណ ឯកសារ ISO ទាំងនេះផ្ទុកឯកសារគោលពីរដែលមានគំនិតអាក្រក់ដែលគេស្គាល់ថា Quiz1.exe និង Quiz2.exe ។ ជនរងគ្រោះត្រូវបានគេរំពឹងថានឹងទាញយក និងប្រតិបត្តិឯកសារនៅលើឧបករណ៍ដែលផ្តល់ដោយក្រុមហ៊ុនគោលដៅ។ ការធ្វើដូច្នេះនឹងនាំឱ្យប្រព័ន្ធត្រូវបានគេសម្របសម្រួលដែលនាំឱ្យមានការបំពានបណ្តាញសាជីវកម្ម។
ការបំពាននេះបើកទ្វារសម្រាប់ការដាក់ពង្រាយកម្មវិធីទាញយក HTTP(S) ដែលគេស្គាល់ថាជា NickelLoader។ ជាមួយនឹងឧបករណ៍នេះ អ្នកវាយប្រហារទទួលបានសមត្ថភាពក្នុងការបញ្ចូលកម្មវិធីណាមួយដែលចង់បានដោយផ្ទាល់ទៅក្នុងអង្គចងចាំរបស់កុំព្យូទ័ររបស់ជនរងគ្រោះ។ ក្នុងចំណោមកម្មវិធីដែលត្រូវបានគេដាក់ពង្រាយមាន LightlessCan ចូលពីចម្ងាយ Trojan និងបំរែបំរួលនៃ BLINDINGCAN ដែលគេស្គាល់ថាជា miniBlindingCan (ហៅម្យ៉ាងទៀតថា AIRDRY.V2)។ ឧបករណ៍គំរាមកំហែងទាំងនេះអាចផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើពីចម្ងាយ និងគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
LightlessCan តំណាងឱ្យការវិវត្តនៃក្រុម Arsenal ដ៏មានឥទ្ធិពលរបស់ Lazarus
ទិដ្ឋភាពដែលពាក់ព័ន្ធបំផុតនៃការវាយប្រហារគឺទាក់ទងនឹងការដាក់បញ្ចូលបន្ទុកប្រលោមលោកដែលមានឈ្មោះថា LightlessCan ។ ឧបករណ៍ស្មុគ្រស្មាញនេះបង្ហាញពីការជឿនលឿនគួរឱ្យកត់សម្គាល់នៅក្នុងសមត្ថភាពដែលបង្កគ្រោះថ្នាក់បើប្រៀបធៀបទៅនឹងជំនាន់មុនរបស់វា BLINDINGCAN (ត្រូវបានគេស្គាល់ផងដែរថាជា AIDRY ឬ ZetaNile) ។ BLINDINGCAN គឺជាមេរោគដែលសំបូរទៅដោយមុខងាររួចហើយ ដែលមានសមត្ថភាពទាញយកព័ត៌មានរសើបចេញពីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។
LightlessCan ត្រូវបានបំពាក់ដោយការគាំទ្ររហូតដល់ 68 ពាក្យបញ្ជាផ្សេងគ្នា ទោះបីជាកំណែបច្ចុប្បន្នរបស់វារួមបញ្ចូលតែ 43 នៃពាក្យបញ្ជាទាំងនេះជាមួយនឹងមុខងារយ៉ាងហោចណាស់មួយចំនួន។ សម្រាប់ miniBlindingCan វាជាចម្បងគ្រប់គ្រងភារកិច្ចដូចជាការបញ្ជូនព័ត៌មានប្រព័ន្ធ និងការទាញយកឯកសារដែលបានទាញយកពីម៉ាស៊ីនមេពីចម្ងាយ។
លក្ខណៈគួរឱ្យកត់សម្គាល់នៃយុទ្ធនាការនេះគឺការអនុវត្តផ្លូវការពារ។ វិធានការទាំងនេះរារាំងបន្ទុកពីការឌិគ្រីប និងដំណើរការលើម៉ាស៊ីនណាមួយក្រៅពីជនរងគ្រោះដែលមានបំណង។
LightlessCan ត្រូវបានរចនាឡើងដើម្បីដំណើរការតាមរបៀបដែលត្រាប់តាមមុខងារនៃពាក្យបញ្ជាវីនដូដើមជាច្រើន។ នេះអនុញ្ញាតឱ្យ RAT អនុវត្តការប្រតិបត្តិដោយសម្ងាត់នៅក្នុងខ្លួនវា ជៀសវាងតម្រូវការសម្រាប់ប្រតិបត្តិការកុងសូលដែលមានសំលេងរំខាន។ ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រនេះជួយបង្កើនភាពបំបាំងកាយ ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការស្វែងរក និងវិភាគសកម្មភាពរបស់អ្នកវាយប្រហារ។
