ទ្វារក្រោយ Mistic

ច្រកចូលខាងក្រោយដ៏ទំនើបមួយ ដែលគេស្គាល់ថា Mistic ដែលត្រូវបានតាមដានថាជា MLTBackdoor បានលេចចេញជារលកនៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលសង្ស័យថាមានហេតុផលហិរញ្ញវត្ថុ ដែលបានសកម្មចាប់តាំងពីខែមេសា ឆ្នាំ 2026។ មេរោគនេះត្រូវបានរកឃើញនៅក្នុងការវាយប្រហារប្រឆាំងនឹងអង្គការដែលធ្វើប្រតិបត្តិការក្នុងវិស័យធានារ៉ាប់រង អប់រំ បច្ចេកវិទ្យាព័ត៌មាន និងសេវាកម្មវិជ្ជាជីវៈ។

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានភ្ជាប់ប្រតិបត្តិការនេះទៅនឹងអ្នកសម្របសម្រួលការចូលប្រើដំបូង (IAB) KongTuke ដែលត្រូវបានគេស្គាល់ដោយឈ្មោះក្លែងក្លាយជាច្រើន រួមទាំង 404 TDS, Chaya_002, LandUpdate808, TAG-124 និង Woodgnat។ ក្នុងអំឡុងពេលនៃការឈ្លានពានទាំងនេះ Mistic ត្រូវបានដាក់ពង្រាយរួមជាមួយ ModeloRAT ដែលជាមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលមានមូលដ្ឋានលើ Python ដែលពីមុនត្រូវបានសន្មតថាជាកត្តាគំរាមកំហែងដូចគ្នា។

រចនាឡើងសម្រាប់ការលួចលាក់ និងការចូលប្រើរយៈពេលវែង

Mistic លេចធ្លោដោយសារតែសមត្ថភាពរបស់វាក្នុងការដំណើរការទាំងស្រុងនៅក្នុងអង្គចងចាំដោយមិនចាំបាច់សរសេរឯកសារទៅកាន់ថាស ដែលកាត់បន្ថយឱកាសនៃការរកឃើញយ៉ាងច្រើន។ មេរោគនេះក៏រួមបញ្ចូលកុងតាក់សម្លាប់ដែលភ្ជាប់មកជាមួយផងដែរ ដែលអនុញ្ញាតឱ្យវាលុបវាចោលនៅពេលចាំបាច់។ លក្ខណៈទាំងនេះបង្ហាញថាប្រតិបត្តិករផ្តោតលើការរក្សាការចូលប្រើជាអចិន្ត្រៃយ៍ និងសម្ងាត់ទៅកាន់បរិស្ថានដែលរងការគំរាមកំហែង។

ដើម្បីជៀសវាងការទាក់ទាញចំណាប់អារម្មណ៍ មេរោគនេះពឹងផ្អែកលើបច្ចេកទេសផ្ទុក DLL ចំហៀង ដោយរំលោភលើឧបករណ៍ប្រើប្រាស់សុវត្ថិភាពចំណុចបញ្ចប់ស្របច្បាប់របស់ Microsoft MpExtMs.exe ដើម្បីលាយបញ្ចូលគ្នាទៅក្នុងសកម្មភាពប្រព័ន្ធធម្មតា។

ការវិវត្តនៃយុទ្ធនាការចែកចាយ ClickFix

ModeloRAT ទទួលបានការចាប់អារម្មណ៍ជាលើកដំបូងនៅក្នុងខែមករា ឆ្នាំ២០២៦ ក្នុងអំឡុងពេលស៊ើបអង្កេតលើយុទ្ធនាការ ClickFix ដែលគេស្គាល់ថា CrashFix។ នៅក្នុងប្រតិបត្តិការនេះ តួអង្គ KongTuke បានចែកចាយផ្នែកបន្ថែម Google Chrome ដ៏គ្រោះថ្នាក់មួយដែលក្លែងបន្លំជាកម្មវិធីទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្ម។ ផ្នែកបន្ថែមនេះចេតនាធ្វើឱ្យកម្មវិធីរុករករបស់ជនរងគ្រោះគាំង ហើយបន្ទាប់មកបញ្ឆោតពួកគេឱ្យប្រតិបត្តិពាក្យបញ្ជាព្យាបាទក្រោមរូបភាពនៃការស្កេនសុវត្ថិភាព។

យុទ្ធនាការ ClickFix មួយផ្សេងទៀតបានប្រើវិធីសាស្រ្តផ្សេងដោយណែនាំជនរងគ្រោះឱ្យប្រតិបត្តិពាក្យបញ្ជាដែលអនុវត្តការស្វែងរកប្រព័ន្ធឈ្មោះដែន (DNS)។ សំណើ DNS ត្រូវបានប្រើដើម្បីទាញយកបន្ទុកដំណាក់កាលបន្ទាប់ ដោយប្រែក្លាយ DNS ទៅជាយន្តការរៀបចំ និងផ្តល់សញ្ញាស្រាលសម្រាប់អ្នកវាយប្រហារ។

នៅក្នុងខែមិថុនា ឆ្នាំ២០២៦ ក្រុមអ្នកស្រាវជ្រាវក៏បានគូសបញ្ជាក់ពីការប្រើប្រាស់ ClickFix ជាយន្តការចែកចាយសម្រាប់ Mistic ដោយសន្មតសកម្មភាពនេះទៅនឹងអ្នកគំរាមកំហែងដែលពាក់ព័ន្ធនឹង ransomware ដែលព្យាយាមទទួលបានទីតាំងដំបូង និងសម្រួលដល់ចលនាចំហៀងឆ្លងកាត់បណ្តាញ។

សមត្ថភាពដែលធ្វើឱ្យ Mistic មានគ្រោះថ្នាក់ខ្លាំង

ទ្វារក្រោយ (Backdoor) ផ្តល់នូវមុខងារជាច្រើនដែលជាទូទៅត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងមេរោគចូលប្រើប្រាស់ពីចម្ងាយកម្រិតខ្ពស់ រួមមាន៖

ការផ្ទុកឡើង និងការទាញយកឯកសារ ការបង្កើតថតឯកសារ និងការផ្លាស់ទី ការប្តូរឈ្មោះ ឬការលុបឯកសារ។
ការប្រតិបត្តិកូដព្យាបាទដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ការផ្ទុកឯកសារវត្ថុ Beacon ដើម្បីពង្រីកមុខងារ ការកែប្រែចន្លោះពេលស្ទង់មតិពាក្យបញ្ជា និងការបញ្ចប់ និងលុបខ្លួនវាដើម្បីលុបបំបាត់ភស្តុតាង។

ការកំណត់គោលដៅឱកាសនិយម និងការតភ្ជាប់ Ransomware

យុទ្ធនាការនេះហាក់ដូចជាធ្វើតាមគំរូឱកាសនិយមជាជាងផ្តោតលើឧស្សាហកម្មតែមួយ។ អ្នកវាយប្រហារត្រូវបានគេរាយការណ៍ថាកំពុងធ្វើឱ្យប៉ះពាល់ដល់អង្គការជាច្រើន ហើយបន្ទាប់មកវាយតម្លៃថាតើជនរងគ្រោះណាដែលអាចផ្តល់ឱកាសចូលប្រើប្រាស់ដែលរកប្រាក់ចំណេញសម្រាប់លក់ទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀត។

ក្រុមអ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញ ModeloRAT នៅក្នុងការវាយប្រហារដែលនៅទីបំផុតបាននាំឱ្យមានការដាក់ពង្រាយ Qilin ransomware ដែលពង្រឹងទំនាក់ទំនងរវាងឈ្មួញកណ្តាលចូលប្រើដំបូង និងប្រតិបត្តិករ ransomware។

ឃ្លាំង​បច្ចេកទេស​វិស្វកម្ម​សង្គម​ដែល​កំពុង​ពង្រីក​របស់ KongTuke

KongTuke ដំណើរការប្រព័ន្ធចែកចាយចរាចរណ៍ដ៏ទំនើប (TDS) ដែលបង្កើតឡើងនៅលើគេហទំព័រ WordPress ដែលរងការគំរាមកំហែង។ ហេដ្ឋារចនាសម្ព័ន្ធនេះត្រូវបានប្រើដើម្បីបង្ហាញល្បិចកលដែលផ្លាស់ប្តូរជាបន្តបន្ទាប់ ដែលប្តូរទិសអ្នកទស្សនាដែលមិនបានដឹងខ្លួនទៅកាន់ខ្សែសង្វាក់ចែកចាយមេរោគ។

ថ្មីៗនេះ ក្រុមហ៊ុនសន្តិសុខ Rapid7 និង ReliaQuest បានរាយការណ៍ថា ជនល្មើសគំរាមកំហែងបានផ្លាស់ប្តូរយុទ្ធសាស្ត្រដោយផ្ញើសារ Microsoft Teams ពីគណនី 'IT Support' ក្លែងក្លាយ។ សារទាំងនេះចាប់ផ្តើមខ្សែសង្វាក់វាយប្រហារដែលឈានដល់ការដាក់ពង្រាយ ModeloRAT។

និន្នាការកើនឡើងក្នុងការអភិវឌ្ឍមេរោគតាមបំណង

ភាពទំនើបរបស់ Mistic និងការចូលរួមដែលសង្ស័យថា Woodgnat ក្នុងការអភិវឌ្ឍ ModeloRAT ចង្អុលបង្ហាញពីក្រុមដែលមានជំនាញខ្ពស់ដែលមានឯកទេសខាងឧបករណ៍ចូលប្រើពីចម្ងាយដោយលួចលាក់។ ការលេចចេញនូវ Backdoor.Mistic ក៏ឆ្លុះបញ្ចាំងពីនិន្នាការឧស្សាហកម្មកាន់តែទូលំទូលាយផងដែរ ដែលប្រតិបត្តិការ ransomware ពឹងផ្អែកកាន់តែខ្លាំងឡើងលើមេរោគដែលបង្កើតឡើងតាមតម្រូវការ ឧបករណ៍ប្រើប្រាស់ exfiltration និងឧបករណ៍ចូលប្រើឯកទេស។

ភស្តុតាងបច្ចុប្បន្នបង្ហាញថា Mistic ទំនងជាផលិតផលរបស់ឈ្មួញកណ្តាលចូលប្រើដែលសហការជាមួយសាខា ransomware ជាជាងឧបករណ៍ដែលត្រូវបានបង្កើតឡើងដោយផ្ទាល់ដោយក្រុម ransomware ខ្លួនឯង។