ទ្វារក្រោយ MiniFast
ក្រុមគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋអ៊ីរ៉ង់ ដែលគេស្គាល់ថាជា Nimbus Manticore ដែលមានទំនាក់ទំនងជាមួយកងឆ្មាំបដិវត្តន៍អ៊ីស្លាម ដែលត្រូវបានតាមដានថាជា Screening Serpens និង UNC1549 បានបង្កើនយុទ្ធនាការតាមអ៊ីនធឺណិតរបស់ខ្លួនប្រឆាំងនឹងអង្គការនានានៅសហរដ្ឋអាមេរិក អឺរ៉ុប និងមជ្ឈិមបូព៌ា បន្ទាប់ពីការវាយប្រហាររួមគ្នារវាងសហរដ្ឋអាមេរិក និងអ៊ីស្រាអែលលើប្រទេសអ៊ីរ៉ង់ក្នុងខែកុម្ភៈ ឆ្នាំ២០២៦។ ក្រុមនេះបានកំណត់គោលដៅលើក្រុមហ៊ុននានាក្នុងឧស្សាហកម្មអាកាសចរណ៍ និងផ្នែកទន់ ដោយប្រើបច្ចេកទេសឈ្លានពានដ៏ទំនើប និងវិធីសាស្ត្រចែកចាយមេរោគ។
អ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណការផ្លាស់ប្តូរប្រតិបត្តិការជាច្រើនដែលសម្គាល់យុទ្ធនាការចុងក្រោយបំផុតពីសកម្មភាពមុនៗ។ ទាំងនេះរួមមានការណែនាំនៃ Backdoor ថ្មីមួយហៅថា MiniFast ការប្រើប្រាស់ AppDomain hijacking ដែលបានពង្រីក និងចំណុចកណ្តាលយុទ្ធសាស្ត្រឆ្ពោះទៅរកការបំពុល SEO ដើម្បីឆ្លងដល់ជនរងគ្រោះតាមរយៈវិបផតថលទាញយកកម្មវិធីក្លែងក្លាយ។ អ្នកវិភាគក៏បានរកឃើញសូចនាករដែលបង្ហាញថាការអភិវឌ្ឍដែលមានជំនួយពីបញ្ញាសិប្បនិម្មិតអាចបានបង្កើនល្បឿននៃការបង្កើតមេរោគ។
តារាងមាតិកា
ពីការផ្តល់ជូនការងារក្លែងក្លាយរហូតដល់ការរៀបចំម៉ាស៊ីនស្វែងរក
Nimbus Manticore ជាប្រវត្តិសាស្ត្រផ្តោតលើគោលដៅការពារជាតិ អាកាសចរណ៍ និងទូរគមនាគមន៍ តាមរយៈយុទ្ធនាការបន្លំតាមប្រធានបទអាជីព ដែលត្រូវបានគេសំដៅជាទូទៅថាជាប្រតិបត្តិការ 'ការងារក្នុងក្តីស្រមៃរបស់អ៊ីរ៉ង់'។ យុទ្ធសាស្ត្រទាំងនេះមានលក្ខណៈស្រដៀងគ្នាទៅនឹងប្រតិបត្តិការក្នុងក្តីស្រមៃ ដែលជាយុទ្ធនាការវិស្វកម្មសង្គមដែលមានរយៈពេលយូរ ដែលជាប់ទាក់ទងនឹងអ្នកគំរាមកំហែងរបស់កូរ៉េខាងជើង។
ចន្លោះខែកុម្ភៈ និងខែមេសា ឆ្នាំ២០២៦ ក្រុមនេះបានធ្វើយុទ្ធនាការបីផ្សេងគ្នាដោយគ្មានការរំខាន ដែលបង្ហាញពីល្បឿនប្រតិបត្តិការដ៏ខ្លាំងក្លាក្នុងអំឡុងពេលជម្លោះក្នុងតំបន់។
នៅក្នុងខែកុម្ភៈ ឆ្នាំ២០២៦ បុគ្គលិកនៅក្នុងអង្គការអាកាសចរណ៍ និងកម្មវិធីនៅក្នុងប្រទេសអារ៉ាប៊ីសាអូឌីត និងអូស្ត្រាលី បានទទួលការផ្តល់ជូនការងារក្លែងក្លាយដែលមានបណ្ណសារ ZIP ដែលបង្ហោះនៅលើ OnlyOffice។ ការបើកឯកសារដែលអាចប្រតិបត្តិបានដែលមិនបង្កគ្រោះថ្នាក់នៅក្នុងបណ្ណសារបានបង្កឱ្យមានការលួចចូល AppDomain ដែលនៅទីបំផុតបានដាក់ពង្រាយមេរោគ MiniJunk DLL។
នៅក្នុងខែមីនា ឆ្នាំ២០២៦ ភ្នាក់ងារគំរាមកំហែងបានទទួលយកខ្សែសង្វាក់នៃការឆ្លងមេរោគស្រដៀងគ្នា ប៉ុន្តែបានបញ្ចូលកម្មវិធីដំឡើង Zoom ដែលមានមេរោគ trojan ទៅក្នុងដំណើរការនេះ។ មេរោគនេះទំនងជាត្រូវបានចែកចាយតាមរយៈការអញ្ជើញចូលរួមកិច្ចប្រជុំក្លែងក្លាយ ហើយនៅទីបំផុតបានដំឡើងទ្វារក្រោយ MiniFast ដែលទើបកំណត់អត្តសញ្ញាណថ្មី។
នៅក្នុងខែមេសា ឆ្នាំ២០២៦ ក្រុមហ៊ុន Nimbus Manticore បានណែនាំយុទ្ធសាស្ត្រខុសគ្នាទាំងស្រុងដោយដាក់ពង្រាយបច្ចេកទេសបំពុល SEO។ ប្រតិបត្តិករបានបង្កើតទំព័រទាញយកក្លែងក្លាយដែលក្លែងបន្លំជា Oracle SQL Developer និងរៀបចំចំណាត់ថ្នាក់ម៉ាស៊ីនស្វែងរកនៅលើ Bing និង DuckDuckGo ដោយចុះឈ្មោះដែនគាំទ្រជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនភាពមើលឃើញរបស់គេហទំព័រ។
នេះបានសម្គាល់ឧទាហរណ៍ដំបូងគេដែលគេស្គាល់ ដែលក្រុមនេះបានបោះបង់ចោលការបន្លំបែបប្រពៃណី ដើម្បីងាកមកប្រើប្រាស់ការចែកចាយមេរោគដែលជំរុញដោយម៉ាស៊ីនស្វែងរកវិញ។ ជំនួសឱ្យការកំណត់គោលដៅជនរងគ្រោះដោយផ្ទាល់តាមរយៈការល្បួងតាមអ៊ីមែល អ្នកវាយប្រហារបានរង់ចាំអ្នកអភិវឌ្ឍន៍ និងបុគ្គលិក IT ស្វែងរកកម្មវិធីដែលប្រើជាទូទៅតាមអ៊ីនធឺណិត មុនពេលបញ្ជូនកម្មវិធីដំឡើងដែលឆ្លងមេរោគ។
MiniFast Backdoor បង្ហាញពីការពង្រីកសមត្ថភាពបច្ចេកទេស
MiniFast ដែលត្រូវបានគេស្គាល់ផងដែរថា MiniUpdate តំណាងឱ្យការរីកចម្រើនដ៏សំខាន់មួយនៅក្នុងឃ្លាំងមេរោគរបស់ Nimbus Manticore។ ក្រុមអ្នកស្រាវជ្រាវពិពណ៌នាអំពីមេរោគនេះថាជា Backdoor ដែលមានលក្ខណៈពិសេសពេញលេញដែលត្រូវបានរចនាឡើងសម្រាប់ការចូលប្រើជាប់លាប់ ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ និងប្រតិបត្តិការចារកម្មរយៈពេលវែង។
មុនពេលចូលទៅក្នុងរង្វិលជុំពាក្យបញ្ជារបស់វា មេរោគនេះបញ្ជូនព័ត៌មានប្រព័ន្ធមូលដ្ឋានទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យរបស់វាតាមរយៈ HTTP។ បន្ទាប់មកវាទាញយកការណែនាំជាបន្តបន្ទាប់ ផ្ទុកឡើងលទ្ធផលនៃការប្រតិបត្តិ លួចចូលឯកសារ និងទាញយកបន្ទុកបន្ថែម។
ទ្វារខាងក្រោយគាំទ្រសមត្ថភាពជាច្រើន រួមមាន៖
- ការរៀបចំឯកសារ និងការរាប់បញ្ជីឈ្មោះ
- ការចុះបញ្ជីដំណើរការ និងការបញ្ចប់ដំណើរការដោយបង្ខំតាមរយៈ PID
- ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមរយៈ cmd.exe
- ការផ្ទុក DLL និងការបង្កើតប័ណ្ណសារ ZIP
- ភាពអត់ធ្មត់តាមរយៈកិច្ចការដែលបានកំណត់ពេល
- ការកើនឡើងសិទ្ធិដោយប្រើពាក្យបញ្ជា 'runas'
- ចន្លោះពេល beacon ដែលអាចលៃតម្រូវបានជាមួយនឹង jitter ដែលអាចកំណត់រចនាសម្ព័ន្ធបានដើម្បីធ្វើអន្តរកម្មចៃដន្យ
ក្រុមអ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញសញ្ញាដែលបង្ហាញថាឧបករណ៍សរសេរកូដដែលមានជំនួយពី AI អាចបានរួមចំណែកដល់ការវិវត្តរបស់មេរោគ។ ភស្តុតាងរួមមានការដោះស្រាយកំហុសដែលនិយាយច្រើនហួសហេតុ តក្កវិជ្ជាសរសេរកម្មវិធីការពារហួសហេតុ អនុសញ្ញាដាក់ឈ្មោះដដែលៗ សារស្ថានភាពរចនាប័ទ្មបំបាត់កំហុសលម្អិតខ្ពស់ និងរចនាសម្ព័ន្ធកូដម៉ូឌុលដែលមិនធម្មតាសម្រាប់មេរោគដែលមានទំហំ និងភាពស្មុគស្មាញបែបនេះ។
ជម្លោះបានជំរុញប្រតិបត្តិការតាមអ៊ីនធឺណិតឱ្យលឿន និងទូលំទូលាយជាងមុន
អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតជឿជាក់ថា យុទ្ធនាការទាំងនេះបង្ហាញពីការវិវត្តន៍ប្រតិបត្តិការដ៏សំខាន់សម្រាប់ Nimbus Manticore។ ជំនួសឱ្យការថយចុះល្បឿនក្នុងអំឡុងពេលជម្លោះភូមិសាស្ត្រនយោបាយសកម្ម ក្រុមនេះបានពង្រីកទាំងល្បឿន និងភាពទំនើបនៃសកម្មភាពរបស់ខ្លួន។
ការដាក់ពង្រាយយ៉ាងឆាប់រហ័សនៃ Backdoor ដែលទើបនឹងបង្កើតថ្មីនៅចំកណ្តាលប្រតិបត្តិការដែលកំពុងដំណើរការបង្ហាញពីវដ្តអភិវឌ្ឍន៍មេរោគដែលបង្កើនល្បឿន ដែលអាចគាំទ្រដោយឧបករណ៍បញ្ញាសិប្បនិម្មិត។ ក្នុងពេលជាមួយគ្នានេះ ការផ្លាស់ប្តូរពីការបន្លំតាមគោលដៅទៅជាការបំពុល SEO ឆ្លុះបញ្ចាំងពីមហិច្ឆតាទូលំទូលាយដែលលាតសន្ធឹងហួសពីការឈ្លានពានដែលផ្តោតលើចារកម្មបែបប្រពៃណីនៅមជ្ឈិមបូព៌ា។
តាមរយៈការរួមបញ្ចូលគ្នានូវប្រតិបត្តិការបន្លំ (phishing) ការលួចចូល AppDomain ការអភិវឌ្ឍមេរោគដែលមានជំនួយពី AI និងការរៀបចំម៉ាស៊ីនស្វែងរកនៅទូទាំងរលកយុទ្ធនាការជាច្រើន Nimbus Manticore បានបង្ហាញគំរូគំរាមកំហែងដែលអាចសម្របខ្លួនបានខ្ពស់ ដែលមានសមត្ថភាពវិវត្តយ៉ាងឆាប់រហ័សក្នុងអំឡុងពេលនៃអស្ថិរភាពភូមិសាស្ត្រនយោបាយ។
