មេរោគ M2RAT

ដោយ Mezo ក្នុង Malware, Advanced Persistent Threat (APT), Backdoors, Remote Administration Tools, Stealers

បកប្រែទៅ៖

ក្រុមគំរាមកំហែង APT37 ត្រូវបានគេស្គាល់ថាសម្រាប់ការប្រើប្រាស់យុទ្ធសាស្ត្រ និងបច្ចេកទេសទំនើបដើម្បីធ្វើប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតក្នុងនាមរដ្ឋាភិបាលកូរ៉េខាងជើង។ ក្រុមនេះត្រូវបានគេស្គាល់ដោយឈ្មោះក្លែងក្លាយ 'RedEyes' ឬ 'ScarCruft' ។

ក្រុម APT37 ត្រូវបានគេសង្កេតឃើញដោយប្រើមេរោគគេចចេញថ្មីមួយឈ្មោះ 'M2RAT' ដើម្បីកំណត់គោលដៅបុគ្គលសម្រាប់ការប្រមូលព័ត៌មានស៊ើបការណ៍។ មេរោគនេះប្រើ steganography ដែលជាការអនុវត្តនៃការលាក់ព័ត៌មាននៅក្នុងរូបភាពឌីជីថល ដើម្បីជៀសវាងការរកឃើញដោយកម្មវិធីសុវត្ថិភាព។ ការប្រើប្រាស់ steganography របស់ APT37 ធ្វើឱ្យវាកាន់តែលំបាកសម្រាប់អ្នកវិភាគសុវត្ថិភាពក្នុងការស្វែងរក និងវិភាគមេរោគរបស់ពួកគេ ដែលធ្វើឱ្យវាកាន់តែប្រឈមក្នុងការការពារ ឬកាត់បន្ថយការវាយប្រហាររបស់ពួកគេ។ ព័ត៌មានលម្អិតអំពី M2RAT និងយុទ្ធនាការគម្រាមកំហែងរបស់វាត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតនៅ AhnLab Security Emergency Response Center (ASEC)។

តារាងមាតិកា

ខ្សែសង្វាក់ឆ្លងមេរោគរបស់ M2RAT

យោងតាម ASEC យុទ្ធនាការ APT37 ដែលកំពុងគំរាមកំហែងបានចាប់ផ្តើមនៅក្នុងខែមករា ឆ្នាំ 2023 ដោយពួក Hacker បានចាប់ផ្តើមការវាយប្រហារតាមអ៊ីនធឺណិតជាបន្តបន្ទាប់ ដែលបានប្រើប្រាស់ឯកសារភ្ជាប់ដែលខូចទៅកាន់ជនរងគ្រោះជាគោលដៅ។ នៅពេលដែលឯកសារភ្ជាប់អាវុធត្រូវបានប្រតិបត្តិ ពួកវាទាញយកភាពងាយរងគ្រោះ EPS ចាស់ (CVE-2017-8291) ដែលបានរកឃើញនៅក្នុងកម្មវិធីដំណើរការពាក្យ Hangul ដែលត្រូវបានគេប្រើយ៉ាងទូលំទូលាយនៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ ការកេងប្រវ័ញ្ចនេះបង្ករឱ្យមានកូដសែលដើម្បីដំណើរការនៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះ ដែលបន្ទាប់មកទាញយកកម្មវិធីប្រតិបត្តិមិនល្អដែលរក្សាទុកក្នុងរូបភាព JPEG ។ ឯកសារ JPG នេះត្រូវបានកែប្រែដោយតួអង្គគំរាមកំហែងដោយប្រើ steganography ដែលអនុញ្ញាតឱ្យ M2RAT អាចប្រតិបត្តិបាន ('lskdjfei.exe') ត្រូវបានបញ្ចូលទៅក្នុង 'explorer.exe' ។ ចំពោះការជាប់លាប់នៅលើប្រព័ន្ធ មេរោគនឹងបន្ថែមតម្លៃថ្មី ('RyPO') ទៅ 'Run' Registry key ដែលដំណើរការស្គ្រីប PowerShell តាមរយៈ 'cmd.exe'។

សមត្ថភាពគំរាមកំហែងនៃមេរោគ M2RAT

M2RAT Malware ដើរតួជា Trojan ពីចម្ងាយ ដែលមានមុខងារបង្កគ្រោះថ្នាក់ជាច្រើន ដូចជាការចាក់សោរ ការលួចទិន្នន័យ ការប្រតិបត្តិពាក្យបញ្ជា និងការថតអេក្រង់តាមកាលកំណត់។ វាមានសមត្ថភាពក្នុងការស្កេនរកឧបករណ៍ចល័តដែលភ្ជាប់ទៅកុំព្យូទ័រ Windows ដូចជាស្មាតហ្វូន ឬថេប្លេត ហើយវានឹងចម្លងឯកសារ ឬឯកសារថតសំឡេងដែលរកឃើញនៅលើឧបករណ៍នោះដាក់លើកុំព្យូទ័រដែលមានមេរោគ ដើម្បីឱ្យអ្នកវាយប្រហារពិនិត្យមើល។

ទិន្នន័យដែលប្រមូលបានទាំងអស់ត្រូវបានបង្ហាប់ទៅក្នុងបណ្ណសារ RAR ដែលការពារដោយពាក្យសម្ងាត់ មុនពេលត្រូវបានបណ្តេញចេញ ហើយច្បាប់ចម្លងទិន្នន័យមូលដ្ឋានត្រូវបានលុបចោលពីអង្គចងចាំ ដើម្បីធានាថាមិនមានដានដែលបន្សល់ទុកឡើយ។ លក្ខណៈពិសេសគួរឱ្យចាប់អារម្មណ៍របស់ M2RAT គឺថាវាប្រើផ្នែកអង្គចងចាំដែលបានចែករំលែកសម្រាប់ការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ការបន្សុទ្ធទិន្នន័យ និងការផ្ទេរទិន្នន័យដែលប្រមូលបានដោយផ្ទាល់ទៅកាន់ម៉ាស៊ីនមេ C2 ដែលធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់សុវត្ថិភាព។ អ្នកស្រាវជ្រាវដើម្បីវិភាគការចងចាំនៃឧបករណ៍ដែលមានមេរោគ។

តាមរយៈការប្រើប្រាស់មុខងារទាំងនេះ M2RAT ធ្វើឱ្យវាកាន់តែងាយស្រួលសម្រាប់អ្នកវាយប្រហារក្នុងការចូលប្រើ និងផ្តល់ពាក្យបញ្ជាទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ក៏ដូចជាប្រមូលផ្តុំទិន្នន័យពីឧបករណ៍ផងដែរ។ នេះធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងដ៏ខ្លាំងក្លាដែលអ្នកប្រើប្រាស់ទាំងអស់គួរតែដឹង។