Menorah Malware
ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតកម្រិតខ្ពស់ដែលមានទំនាក់ទំនងជាមួយប្រទេសអ៊ីរ៉ង់ ដែលត្រូវបានតាមដានក្រោមឈ្មោះហៅក្រៅថា 'OilRig' បាននិងកំពុងអនុវត្តប្រតិបត្តិការបន្លំលំពែងគោលដៅដែលដាក់ពង្រាយកំណែថ្មីនៃកម្មវិធីគំរាមកំហែងដែលគេស្គាល់ថាជា Menorah ។ មេរោគពិសេសនេះត្រូវបានបង្កើតឡើងសម្រាប់គោលបំណងច្បាស់លាស់នៃចារកម្មតាមអ៊ីនធឺណិត។ វាមានសមត្ថភាពក្នុងការបញ្ជាក់ពីលក្ខណៈពិសេសរបស់កុំព្យូទ័រដែលរងការសម្រុះសម្រួល ចូលប្រើប្រាស់ និងបញ្ជូនឯកសារពីប្រព័ន្ធនោះ ហើយទាញយកឯកសារបន្ថែម ឬមេរោគ។
ប្រជាសាស្រ្តច្បាស់លាស់នៃជនរងគ្រោះនៅតែមិនច្បាស់លាស់នៅដំណាក់កាលនេះ។ យ៉ាងណាក៏ដោយ វត្តមាននៃកលល្បិចបោកបញ្ឆោតបង្ហាញយ៉ាងខ្លាំងថា យ៉ាងហោចណាស់គោលដៅចម្បងមួយបានមកពីអង្គការដែលស្ថិតនៅក្នុងព្រំដែននៃប្រទេសអារ៉ាប៊ីសាអូឌីត។
មេរោគ Menorah ត្រូវបានចែកចាយតាមរយៈឯកសារ Lure Documents
ការវាយប្រហារបន្លំ OilRig បណ្តាលឱ្យមានការដាក់ពង្រាយកំណែអាប់ដេតនៃមេរោគ SideTwist malware ដែលបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងអភិវឌ្ឍន៍ដែលកំពុងបន្ត។ នៅក្នុងលំដាប់នៃការឆ្លងថ្មីៗបំផុត ឯកសារនុយមួយត្រូវបានប្រើប្រាស់ដើម្បីបង្កើតការងារដែលបានកំណត់ពេលសម្រាប់ការតស៊ូរយៈពេលវែង ក្នុងពេលដំណាលគ្នាទម្លាក់ឯកសារដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា 'Menorah.exe'។ ជាវេនដែលអាចប្រតិបត្តិបាននេះ បង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេពីចម្ងាយ ដោយរង់ចាំការណែនាំបន្ថែម។ វាគួរឱ្យកត់សម្គាល់ថាម៉ាស៊ីនមេបញ្ជានិងបញ្ជាគឺអសកម្ម។
ត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយដូចជា APT34 , Cobalt Gypsy, Hazel Sandstorm, និង Helix Kitten, OilRig ឈរឈ្មោះជាអង្គភាពការគំរាមកំហែងកម្រិតខ្ពស់របស់អ៊ីរ៉ង់ (APT) ដោយផ្តោតលើឯកទេសលើកិច្ចខិតខំប្រឹងប្រែងប្រមូលផ្តុំស៊ើបការណ៍សម្ងាត់ ជ្រៀតចូលយ៉ាងល្អិតល្អន់ និងទ្រទ្រង់ការចូលប្រើប្រាស់ក្នុងបណ្តាញដែលបានកំណត់។
ព័ត៌មានលម្អិតសំខាន់ៗអំពីមេរោគ Menorah បង្ហាញភាពស្រដៀងគ្នារបស់វាជាមួយនឹងការគំរាមកំហែងមេរោគមួយផ្សេងទៀត
មេរោគដែលសរសេរក្នុង .NET និងបញ្ជូនតាមរយៈឯកសារគំរាមកំហែង បម្រើគោលបំណងចម្បងនៃចារកម្មតាមអ៊ីនធឺណិត ហើយមានលទ្ធភាពច្រើនយ៉ាង។ កម្មវិធីដែលមិនមានសុវត្ថិភាពនេះមានសមត្ថភាពកំណត់លក្ខណៈជាក់លាក់នៃកុំព្យូទ័រគោលដៅ រាយបញ្ជីបញ្ជីឈ្មោះ និងឯកសារ ជ្រើសរើសផ្ទុកឡើងឯកសារពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ប្រតិបត្តិពាក្យបញ្ជាសែល និងទាញយកឯកសារទៅម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។
នៅពេលធ្វើការវិភាគហ្មត់ចត់ដោយប្រៀបធៀបមេរោគ SideTwist ជាមួយ Menorah អ្នកស្រាវជ្រាវបានស្វែងយល់ពីភាពស្រដៀងគ្នាយ៉ាងសំខាន់រវាងអ្នកទាំងពីរ ជាពិសេសទាក់ទងនឹងមុខងារ។ វ៉ារ្យ៉ង់មេរោគទាំងនេះបង្ហាញមុខងារ backdoor ស្រដៀងគ្នាសម្រាប់ការប្រតិបត្តិពាក្យបញ្ជាសែល និងសម្របសម្រួលការបង្ហោះ និងការទាញយកឯកសារ។
ទោះបីជាយ៉ាងណាក៏ដោយ ផ្ទុយទៅនឹងកំណែមុនរបស់ SideTwist ការគំរាមកំហែងថ្មីនេះរួមបញ្ចូលនូវមុខងារបន្ថែមដើម្បីរំខានចរាចរណ៍ទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង (C&C) ដោយបង្កើនភាពសម្ងាត់របស់វាដើម្បីគេចពីការរកឃើញ។ ដំបូង មេរោគពិនិត្យរកអាគុយម៉ង់ជាក់លាក់មួយកំឡុងពេលប្រតិបត្តិ ដើម្បីធានាបាននូវលំហូរប្រតិបត្តិត្រឹមត្រូវ។ អវត្ដមាននៃអាគុយម៉ង់ដែលបានបញ្ជាក់ មេរោគនឹងបិទ ដោយបញ្ឈប់ប្រតិបត្តិការរបស់វា។ ការត្រួតពិនិត្យទម្លាប់នេះបម្រើដើម្បីរក្សាឥរិយាបថលាក់កំបាំងរបស់មេរោគ និងកំណត់ថាតើវាដំណើរការនៅក្នុងបរិយាកាសវិភាគ ដូចជាប្រអប់ខ្សាច់ដែរឬទេ។ ប្រសិនបើអាគុយម៉ង់បង្ហាញថាវាដំណើរការនៅក្នុងប្រអប់ខ្សាច់ នោះមេរោគនឹងដំណើរការដោយគ្មានអំណះអំណាង ប៉ុន្តែទីបំផុតការបញ្ចប់ដោយខ្លួនឯង។
ក្រោយមក មេរោគដំណើរការទៅស្នាមម្រាមដៃម៉ាស៊ីនដែលឆ្លងមេរោគដោយប្រមូលព័ត៌មានដូចជាឈ្មោះម៉ាស៊ីន និងឈ្មោះអ្នកប្រើប្រាស់។ បន្ទាប់មកស្នាមម្រាមដៃនេះត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ C&C ក្នុងទម្រង់នៃមាតិកានៅក្នុងសំណើ HTTP ។