Nerbian RAT
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងបន្តប្រើប្រាស់ COVID-19 ជាការទាក់ទាញនៅក្នុងយុទ្ធនាការគំរាមកំហែងរបស់ពួកគេ។ ប្រតិបត្តិការមួយបែបនេះពាក់ព័ន្ធនឹងការផ្សព្វផ្សាយអ៊ីមែលបោកបញ្ឆោតដែលផ្ទុកឯកសារភ្ជាប់មេរោគដែលមានមេរោគ។ បន្ទុកចុងក្រោយនៅក្នុងខ្សែសង្វាក់ឆ្លងនៃការវាយប្រហារគឺជាការគំរាមកំហែងដែលមិនស្គាល់ពីមុនដែលមានឈ្មោះថា Nerbian RAT ។ ព័ត៌មានលម្អិតអំពីប្រតិបត្តិការទាំងមូល និងឧបករណ៍មេរោគដែលពាក់ព័ន្ធត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដោយក្រុមហ៊ុនសន្តិសុខសហគ្រាស។
យោងតាមការរកឃើញរបស់អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិត យុទ្ធនាការវាយប្រហារហាក់ដូចជាមានគោលដៅខ្ពស់ ដោយគោលដៅភាគច្រើនគឺមកពីប្រទេសអ៊ីតាលី អេស្ប៉ាញ និងចក្រភពអង់គ្លេស។ អ៊ីមែលដែលទាក់ទាញបានអះអាងថាមកពីអង្គការសុខភាពពិភពលោក (WHO) និងមានការណែនាំ និងវិធានការសុវត្ថិភាពទាក់ទងនឹង COVID-19។ ជនរងគ្រោះត្រូវបានជំរុញឱ្យបើកឯកសារ Microsoft Word ដែលភ្ជាប់មកជាមួយ ដើម្បីមើល 'ដំបូន្មានសុខភាពចុងក្រោយបង្អស់' ។
ដើម្បីមើលមាតិកានៃឯកសារឱ្យបានត្រឹមត្រូវ ជនរងគ្រោះត្រូវតែបើកម៉ាក្រូនៅលើប្រព័ន្ធរបស់ពួកគេ។ បន្ទាប់មក ពួកគេនឹងត្រូវបានបង្ហាញជាមួយនឹងឯកសារដែលមានជំហានទូទៅទាក់ទងនឹងការដាក់ឱ្យនៅដាច់ដោយឡែកពីគេ និងការថែទាំអ្នកដែលឆ្លងមេរោគកូវីដ។ នេះគ្រាន់តែជាការបោកបញ្ឆោតដើម្បីទាក់ទាញចំណាប់អារម្មណ៍របស់ជនរងគ្រោះខណៈពេលដែលនៅក្នុងផ្ទៃខាងក្រោយនៃប្រព័ន្ធ ម៉ាក្រូដែលបានបង្កប់នៅក្នុងឯកសារនឹងផ្តល់ឯកសារ payload មួយដែលមានឈ្មោះថា 'UpdateUAV.exe'។ វាមាន dropper ដែលផ្តល់ភារកិច្ចក្នុងការទៅយក និងប្រតិបត្តិ Nerbian RAT ពីម៉ាស៊ីនមេពីចម្ងាយ។
មុខងារគំរាមកំហែង និងទំនាក់ទំនង C2
Nerbian RAT ត្រូវបានសរសេរជាភាសាសរសេរកម្មវិធី GO របស់ប្រព័ន្ធមិនជឿ។ វាត្រូវបានចងក្រងសម្រាប់ប្រព័ន្ធ 64 ប៊ីត និងបង្ហាញពីការផ្តោតសំខាន់លើការគេចពីការរកឃើញ។ អ្នកជំនាញបានកំណត់សមាសធាតុប្រឆាំងការវិភាគជាច្រើនដែលត្រូវបានរីករាលដាលនៅទូទាំងដំណាក់កាលប្រតិបត្តិការផ្សេងៗគ្នា។ ការគំរាមកំហែងនេះក៏មានឥទ្ធិពលលើបណ្ណាល័យប្រភពបើកចំហជាច្រើនផងដែរ។
នៅពេលដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់ពេញលេញ Nerbian RAT អាចផ្តួចផ្តើមទម្លាប់នៃការចាក់សោរគន្លឹះ ថតអេក្រង់តាមអំពើចិត្ត ប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធ និងស្រង់ចេញលទ្ធផលដែលសម្រេចបានទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2, C&C) នៃប្រតិបត្តិការ។ អ្នកវាយប្រហារអាចកែប្រែទិដ្ឋភាពផ្សេងៗនៃការគំរាមកំហែង រួមទាំងម៉ាស៊ីនដែលវាព្យាយាមទាក់ទងជាមួយ ភាពញឹកញាប់នៃការត្រួតពិនិត្យសម្រាប់ដែន C2 និងអាសយដ្ឋាន IP តាមរយៈសាររក្សាជីវិត ថតការងារដែលពេញចិត្ត ស៊ុមពេលវេលាសម្រាប់ពេលដែល RAT គឺ សកម្ម និងអ្នកផ្សេងទៀតជាច្រើន។
Nerbian RAT ត្រូវបានគេសង្កេតឃើញដោយប្រើចរាចរណ៍បណ្តាញពីរប្រភេទ។ ទីមួយគឺជាសារចង្វាក់បេះដូងធម្មតា / រក្សាជីវិតទៅកាន់ C2 ។ ការទំនាក់ទំនងបន្ថែមណាមួយត្រូវបានអនុវត្តលើសំណើ POST ទៅកាន់ដែន C2 និងអាសយដ្ឋាន IP ដែលបានកំណត់រចនាសម្ព័ន្ធ។ សំណើទាំងនេះផ្ទុកទិន្នន័យទម្រង់ HTTP យ៉ាងច្រើន។
