NSPX30 Spyware
តួអង្គគម្រាមកំហែងដែលមិនស្គាល់អត្តសញ្ញាណដែលជាប់ពាក់ព័ន្ធជាមួយប្រទេសចិនបានលេចចេញមក ដោយបានចូលរួមក្នុងការវាយប្រហាររបស់ Adversary-in-the-Middle (AitM) ជាច្រើន។ ការវាយប្រហារទាំងនេះពាក់ព័ន្ធនឹងការលួចយកសំណើអាប់ដេតពីកម្មវិធីស្របច្បាប់ ដោយមានចេតនាផ្តល់នូវការផ្សាំដ៏ទំនើបដែលគេស្គាល់ថា NSPX30។ អ្នកស្រាវជ្រាវកំពុងតាមដានក្រុមការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដោយកំណត់អត្តសញ្ញាណវាជា 'Blackwood' ។ ការរកឃើញនេះបង្ហាញថា ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតនេះបានដំណើរការតាំងពីយ៉ាងហោចណាស់ឆ្នាំ ២០១៨។
ការផ្សាំ NSPX30 ត្រូវបានរកឃើញនៅក្នុងករណីដែលវាត្រូវបានដាក់ឱ្យប្រើប្រាស់តាមរយៈយន្តការអាប់ដេតនៃកម្មវិធីល្បីៗ រួមមាន Tencent QQ, WPS Office និង Sogou Pinyin ។ គោលដៅនៃការវាយប្រហារទាំងនេះ គឺជាក្រុមហ៊ុនដែលពាក់ព័ន្ធនឹងការផលិត ការជួញដូរ និងវិស្វកម្មនៅក្នុងប្រទេសចិន និងប្រទេសជប៉ុន។ លើសពីនេះ បុគ្គលនៅក្នុងប្រទេសចិន ជប៉ុន និងចក្រភពអង់គ្លេសក៏ត្រូវបានរងផលប៉ះពាល់ដោយការវាយប្រហារ AitM ទាំងនេះផងដែរ។
តារាងមាតិកា
NSPX30 Spyware គឺជាការគំរាមកំហែងពហុសមាសភាគ
NSPX30 តំណាងឱ្យការផ្សាំពហុដំណាក់កាលដ៏ទំនើបដែលមានធាតុផ្សំជាច្រើន រួមទាំងឧបករណ៍ទម្លាក់ អ្នកដំឡើង ឧបករណ៍ផ្ទុក ឧបករណ៍វង់ភ្លេង និងទ្វារខាងក្រោយ។ Backdoor និង Orchestrator នីមួយៗមានសំណុំកម្មវិធីជំនួយផ្សេងៗគ្នា។ ស្ថាបត្យកម្មរបស់ implant ត្រូវបានរចនាឡើងជាយុទ្ធសាស្រ្តដើម្បីប្រើប្រាស់សមត្ថភាពស្ទាក់ចាប់កញ្ចប់ព័ត៌មាន ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករ NSPX30 លាក់ហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេប្រកបដោយប្រសិទ្ធភាព។
ប្រភពដើមនៃ backdoor ដែលមានសមត្ថភាពបន្ថែមក្នុងការជម្លៀសដំណោះស្រាយប្រឆាំងមេរោគរបស់ចិនជាច្រើនតាមរយៈការចុះបញ្ជីការអនុញ្ញាតដោយខ្លួនឯង អាចត្រូវបានតាមដានត្រឡប់ទៅមេរោគមុនគេហៅថា Project Wood ដែលបានណែនាំនៅក្នុងខែមករា ឆ្នាំ 2005។ Project Wood ត្រូវបានបង្កើតឡើងដើម្បីប្រមូលផ្តុំប្រព័ន្ធ និងព័ត៌មានបណ្តាញ ចាប់យកការចុចគ្រាប់ចុច និងថតរូបអេក្រង់នៃប្រព័ន្ធជនរងគ្រោះ។
មូលដ្ឋានកូដរបស់ Project Wood បានបម្រើការជាមូលដ្ឋានគ្រឹះសម្រាប់ការផ្សាំផ្សេងៗ ដែលផ្តល់ការកើនឡើងដល់ឧបករណ៍ចម្លងដូចជា DCM (ត្រូវបានគេស្គាល់ផងដែរថាជា Dark Spectre) ក្នុងឆ្នាំ 2008។ ក្រោយមក មេរោគនេះត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារជាគោលដៅប្រឆាំងនឹងបុគ្គលដែលចាប់អារម្មណ៍នៅក្នុងទីក្រុងហុងកុង និងមហា តំបន់ចិនក្នុងឆ្នាំ ២០១២ និង ២០១៤។
ខ្សែសង្វាក់វាយប្រហារសម្រាប់ការដាក់ពង្រាយ NSPX30 Spyware
NSPX30 ត្រូវបានណែនាំតាមរយៈការសម្របសម្រួលនៃប្រព័ន្ធដែលព្យាយាមទាញយកបច្ចុប្បន្នភាពកម្មវិធីតាមរយៈពិធីការ HTTP (មិនបានអ៊ិនគ្រីប) ពីម៉ាស៊ីនមេស្របច្បាប់។ ការសម្របសម្រួលនេះជួយសម្រួលដល់ការដាក់ពង្រាយឯកសារ DLL ដែលទម្លាក់ចុះ។
ដំណក់ទឹកដ៏ឈឺចាប់ ដែលផ្តួចផ្តើមឡើងកំឡុងពេលដំណើរការអាប់ដេតដែលត្រូវបានសម្របសម្រួល បង្កើតឯកសារជាច្រើននៅលើឌីស ហើយចាប់ផ្តើមដំណើរការ 'RsStub.exe' ដែលជាប្រព័ន្ធគោលពីរដែលជាប់ទាក់ទងនឹងកម្មវិធីកំចាត់មេរោគ។ ជំហាននេះទាញយកភាពងាយរងគ្រោះរបស់អតីតទៅ DLL side-loading ដោយបើកដំណើរការ 'comx3.dll' ។
ក្រោយមក 'comx3.dll' ដើរតួជាអ្នកផ្ទុក ដោយដំណើរការឯកសារទីបីដែលមានឈ្មោះថា 'comx3.dll.txt ។ ឯកសារនេះមានមុខងារជាបណ្ណាល័យកម្មវិធីដំឡើង ដែលបង្កឱ្យមានដំណាក់កាលបន្ទាប់នៃខ្សែសង្វាក់វាយប្រហារ ដែលទីបំផុតនាំទៅដល់ការប្រតិបត្តិនៃសមាសភាគ orchestrator ('WIN.cfg')។
វិធីសាស្រ្តជាក់លាក់ដែលតួអង្គគំរាមកំហែងផ្តល់ដំណក់ទឹកក្នុងទម្រង់នៃការអាប់ដេតក្លែងក្លាយនៅតែមិនស្គាល់។ ទោះជាយ៉ាងណាក៏ដោយ គំរូប្រវត្តិសាស្ត្របង្ហាញថា តួអង្គគំរាមកំហែងរបស់ចិន ដូចជា BlackTech , Evasive Panda, Judgment Panda និង Mustang Panda បានប្រើប្រាស់រ៉ោតទ័រដែលត្រូវបានសម្របសម្រួលជាបណ្តាញចែកចាយមេរោគ។ អ្នកស្រាវជ្រាវណែនាំពីលទ្ធភាពដែលអ្នកវាយប្រហារកំពុងដាក់ពង្រាយបណ្តាញ implant នៅក្នុងបណ្តាញរបស់ជនរងគ្រោះ ដែលអាចកំណត់គោលដៅឧបករណ៍បណ្តាញដែលងាយរងគ្រោះដូចជា រ៉ោតទ័រ ឬច្រកផ្លូវជាដើម។
NSPX30 Spyware អាចអនុវត្តសកម្មភាពជាក់លាក់ដោយផ្អែកលើពាក្យបញ្ជា C2
Orchestrator ផ្តួចផ្តើមបង្កើតខ្សែស្រឡាយពីរ៖ មួយដែលឧទ្ទិសដល់ការទទួលបាន backdoor ('msfmtkl.dat') និងមួយទៀតផ្តោតលើការផ្ទុកកម្មវិធីជំនួយរបស់វា និងរួមបញ្ចូលការលើកលែង ដើម្បីបើកដំណើរការឆ្លងកាត់ដំណោះស្រាយប្រឆាំងមេរោគរបស់ចិនដោយ DLLs កម្មវិធីផ្ទុក។
ដើម្បីទាញយក backdoor សំណើ HTTP ត្រូវបានធ្វើឡើងទៅកាន់ www.baidu[.]com ដែលជាម៉ាស៊ីនស្វែងរកចិនស្របច្បាប់ដែលគ្រប់គ្រងដោយ Baidu ។ សំណើនេះប្រើខ្សែអក្សរ User-Agent មិនធម្មតា ដោយធ្វើត្រាប់តាម Internet Explorer នៅលើ Windows 98 ដើម្បីក្លែងបន្លំប្រភពដើមរបស់វា។ ការឆ្លើយតបរបស់ម៉ាស៊ីនមេត្រូវបានរក្សាទុកទៅក្នុងឯកសារមួយ ហើយសមាសធាតុ backdoor ត្រូវបានស្រង់ចេញ និងផ្ទុកទៅក្នុងអង្គចងចាំរបស់ប្រព័ន្ធ។
ជាផ្នែកមួយនៃដំណើរការចាប់ផ្តើមរបស់វា NSPX30 បង្កើតរន្ធស្តាប់ UDP អកម្មដែលត្រូវបានរចនាឡើងដើម្បីទទួលពាក្យបញ្ជាពីឧបករណ៍បញ្ជា និងជួយសម្រួលដល់ការស្រង់ទិន្នន័យ។ វាពាក់ព័ន្ធនឹងការស្ទាក់ចាប់កញ្ចប់សំណួរ DNS ដើម្បីធ្វើអនាមិកនូវហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់វា។
ការណែនាំដែលបានផ្តល់ទៅ backdoor បើកដំណើរការមុខងារផ្សេងៗ រួមទាំងការបង្កើតសែលបញ្ច្រាស ការប្រមូលព័ត៌មានឯកសារ ការបញ្ចប់ដំណើរការជាក់លាក់ ការចាប់យករូបថតអេក្រង់ ការកត់ត្រាការចុចគ្រាប់ចុច និងសូម្បីតែការលុបវាចេញពីម៉ាស៊ីនដែលមានមេរោគ។
