មេរោគ OneClik

យុទ្ធនាការតាមអ៊ីនធឺណិតដ៏ទំនើបមួយដែលមានឈ្មោះថា OneClik កំពុងកំណត់គោលដៅលើវិស័យថាមពល ប្រេង និងឧស្ម័ន ដោយប្រើការបញ្ចូលគ្នានៃវិធីសាស្ត្រដាក់ពង្រាយបញ្ឆោត និងមេរោគដែលបង្កើតឡើងតាមបំណង។ ចំណុចសំខាន់នៃប្រតិបត្តិការនេះគឺការបំពានលើបច្ចេកវិទ្យា ClickOnce របស់ Microsoft និង Backdoor ដែលមានមូលដ្ឋានលើ Golang ដ៏មានឥទ្ធិពលដែលមានឈ្មោះថា RunnerBeacon ។ ទោះបីជាសូចនាករបង្ហាញពីទំនាក់ទំនងដែលអាចកើតមានចំពោះអ្នកគំរាមកំហែងរបស់ចិនក៏ដោយ គុណលក្ខណៈនៅតែស្ថិតក្នុងការរំពឹងទុក។

ClickOnce៖ ឧបករណ៍ដាក់ពង្រាយទ្វេរដង

ClickOnce របស់ Microsoft ត្រូវបានរចនាឡើងដើម្បីសម្រួលដល់ដំណើរការដាក់ពង្រាយ និងធ្វើបច្ចុប្បន្នភាពនៃកម្មវិធី Windows ដោយអនុញ្ញាតឱ្យដំឡើងជាមួយនឹងអន្តរកម្មអ្នកប្រើប្រាស់តិចតួចបំផុត។ បានណែនាំនៅក្នុង .NET Framework 2.0 មុខងារនេះអនុញ្ញាតឱ្យកម្មវិធីដំណើរការដោយមានការអនុញ្ញាតមានកំណត់ ដោយមិនចាំបាច់ទាមទារសិទ្ធិគ្រប់គ្រង។

ជាអកុសល ភាពងាយស្រួលនេះក៏បានធ្វើឱ្យ ClickOnce ក្លាយជាទ្រព្យសម្បត្តិដ៏មានតម្លៃសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផងដែរ។ កម្មវិធីព្យាបាទអាចត្រូវបានដាក់ឱ្យប្រើប្រាស់ដោយប្រើប្រព័ន្ធគោលពីររបស់ Windows ដែលជឿទុកចិត្ត (dfsvc.exe) ដែលគ្រប់គ្រងកម្មវិធី ClickOnce ។ កម្មវិធីទាំងនេះត្រូវបានប្រតិបត្តិជាដំណើរការកូនរបស់ dfsvc.exe ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារលួចដំណើរការកូដព្យាបាទ ដោយមិនចាំបាច់បង្កើនការជូនដំណឹងសុវត្ថិភាព ឬត្រូវការសិទ្ធិខ្ពស់។

យុទ្ធសាស្ត្រជ្រៀតចូល៖ ការបន្លំ និងការបោកប្រាស់

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលបង្កើតយ៉ាងល្អ ដែលទាក់ទាញជនរងគ្រោះទៅកាន់គេហទំព័រវិភាគផ្នែករឹងក្លែងក្លាយ។ នៅពេលដែលជនរងគ្រោះចូលទៅកាន់គេហទំព័រនោះ កម្មវិធី ClickOnce ដ៏អាក្រក់មួយត្រូវបានចែកចាយ និងដំណើរការដោយប្រើ dfsvc.exe ។

កម្មវិធីផ្ទុកទិន្នន័យនេះចាក់បញ្ចូលកូដព្យាបាទទៅក្នុងអង្គចងចាំដោយប្រើវិធីសាស្ត្រដែលគេស្គាល់ថាជាការចាក់ AppDomainManager ដែលបណ្តាលឱ្យមានការប្រតិបត្តិនៃកូដសែលដែលបានអ៊ិនគ្រីប។ បន្ទុកចុងក្រោយគឺ RunnerBeacon ដែលជា Backdoor Golang ដ៏ទំនើប។

RunnerBeacon: ការដាក់បញ្ចូលដ៏មានឥទ្ធិពល និងអាចប្រើប្រាស់បាន

Backdoor RunnerBeacon ត្រូវបានបង្កើតឡើងដើម្បីគាំទ្រដល់សមត្ថភាពជាច្រើន រួមទាំង៖

• ការប្រាស្រ័យទាក់ទងលើពិធីការច្រើន៖ HTTP(S), WebSockets, TCP ឆៅ និង SMB បានដាក់ឈ្មោះបំពង់
• ការប្រតិបត្តិពាក្យបញ្ជាសែល និងប្រតិបត្តិការប្រព័ន្ធឯកសារ
• ដំណើរការបូកសរុប និងការបញ្ចប់
• ការកើនឡើងឯកសិទ្ធិតាមរយៈការលួចសញ្ញាសម្ងាត់ និងការក្លែងបន្លំ
• ចលនាចំហៀងនៅក្នុងបណ្តាញមួយ។

វាក៏មានលក្ខណៈពិសេសផងដែរ នូវបច្ចេកទេសប្រឆាំងការវិភាគ និងការគេចវេសន៍កម្រិតខ្ពស់ រួមជាមួយនឹងការគាំទ្រសម្រាប់ប្រតិបត្តិការដែលផ្តោតលើបណ្តាញដូចជាការស្កេនច្រក ការបញ្ជូនបន្តច្រក និង SOCKS5 ប្រូកស៊ី។

ក្លូននៃ Geacon?

RunnerBeacon បង្ហាញភាពស្រដៀងគ្នាខ្លាំងទៅនឹងវ៉ារ្យ៉ង់ Go-based Cobalt Strike ដូចជា Geacon, Geacon Plus និង Geacon Pro ។ វាឆ្លុះបញ្ចាំងពីរចនាសម្ព័ន្ធពាក្យបញ្ជារបស់ពួកគេ លក្ខណៈពិសេសទំនាក់ទំនងឆ្លងពិធីការ និងភាពបត់បែននៃប្រតិបត្តិការ។ លក្ខណៈទាំងនេះបង្ហាញថា RunnerBeacon អាចជាផ្លូវបំបែកតាមតម្រូវការ ឬវិវឌ្ឍន៍នៃ Geacon ដែលចម្រាញ់ដើម្បីបញ្ចូលគ្នាយ៉ាងរលូនទៅក្នុងបរិស្ថានពពក។

ការគំរាមកំហែងវិវត្តន៍៖ បានរកឃើញវ៉ារ្យ៉ង់ជាច្រើន

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណប្រភេទ OneClik បីផ្សេងគ្នានៅក្នុងខែមីនា ឆ្នាំ 2025 តែម្នាក់ឯង៖

• v1a
• BPI-MDM
• v1d

កំណែនីមួយៗរួមបញ្ចូលការចម្រាញ់ដែលបង្កើនប្រព័ន្ធរកឃើញការបំបាំងកាយ និងឆ្លងកាត់។ ទោះជាយ៉ាងណាក៏ដោយ ដាននៃ RunnerBeacon ត្រូវបានគេរកឃើញរួចហើយនៅក្នុងខែកញ្ញា ឆ្នាំ 2023 នៅក្រុមហ៊ុនមួយនៅក្នុងវិស័យប្រេង និងឧស្ម័ននៅមជ្ឈិមបូព៌ា ដែលបង្ហាញពីការអភិវឌ្ឍន៍ និងការធ្វើតេស្តដែលកំពុងបន្ត។

បច្ចេកទេស និងគុណលក្ខណៈ៖ ធ្លាប់ស្គាល់ ប៉ុន្តែមិនទាន់បញ្ជាក់

ការប្រើប្រាស់ការចាក់ AppDomainManager គឺជាយុទ្ធសាស្ត្រដែលបានចងក្រងយ៉ាងល្អ ហើយត្រូវបានគេសង្កេតឃើញពីមុននៅក្នុងយុទ្ធនាការតាមអ៊ីនធឺណិតដែលទាក់ទងនឹងតួអង្គគំរាមកំហែងរបស់ចិន និងកូរ៉េខាងជើង។ ទោះបីជាយ៉ាងណាក៏ដោយ ទោះបីជាមានភាពស្រដៀងគ្នានៅក្នុងបច្ចេកទេស និងវិធីសាស្រ្តក៏ដោយ អ្នកស្រាវជ្រាវមិនអាចសន្និដ្ឋានបានថា យុទ្ធនាការ OneClik ទៅក្រុមណាមួយដែលគេស្គាល់នោះទេ។

នៅក្នុងលក្ខខណ្ឌនៃការកំណត់អត្តសញ្ញាណសញ្ញានៃការសម្របសម្រួល អង្គការគួរតែប្រុងប្រយ័ត្នចំពោះអ៊ីមែលបន្លំដែលដឹកនាំអ្នកទទួលទៅកាន់គេហទំព័រវិភាគផ្នែករឹងដែលក្លែងបន្លំ ព្រោះជារឿយៗទាំងនេះគឺជាចំណុចចាប់ផ្តើមដំបូងសម្រាប់ការវាយប្រហារ។ ទង់ក្រហមមួយទៀតគឺការប្រើប្រាស់កម្មវិធី ClickOnce ដែលត្រូវបានបើកដំណើរការតាមរយៈដំណើរការ dfsvc.exe ដែលអាចបង្ហាញពីវត្តមាននៃបន្ទុកព្យាបាទ។ ការដាក់ពង្រាយបច្ចេកទេសចាក់ AppDomainManager គួរឱ្យសង្ស័យ និងការតភ្ជាប់ខាងក្រៅទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារបង្ហោះនៅលើ Amazon Web Services (AWS) ក៏ជាសូចនាករដ៏រឹងមាំនៃការសម្របសម្រួលផងដែរ។

ដើម្បីការពារប្រឆាំងនឹងការគម្រាមកំហែងបែបនេះ សហគ្រាសគួរតែពិចារណាពីការបិទ ឬតាមដានយ៉ាងដិតដល់នូវការដាក់ឱ្យប្រើប្រាស់ ClickOnce ជាពិសេសនៅក្នុងបរិយាកាសដែលមានហានិភ័យខ្ពស់។ ក្រុមសន្តិសុខគួរតែមើលសម្រាប់ដំណើរការខុសប្រក្រតីរបស់កុមារដែលកើតចេញពី dfsvc.exe ដែលអាចបង្ហាញពីសកម្មភាពព្យាបាទ។ ការដាក់ពង្រាយដំណោះស្រាយការរកឃើញចំណុចបញ្ចប់ និងការឆ្លើយតប (EDR) អាចជួយក្នុងការកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយអាកប្បកិរិយាចាក់ថ្នាំ AppDomain ។ លើសពីនេះទៀត ការពិនិត្យមើលចរាចរណ៍បណ្តាញសម្រាប់ការប្រើប្រាស់ពិធីការមិនធម្មតា ដូចជាអាកប្បកិរិយាប្រូកស៊ីដែលមិនរំពឹងទុក ឬការព្យាយាមបញ្ជូនបន្តច្រក អាចជួយក្នុងការស្វែងរកបណ្តាញទំនាក់ទំនងសម្ងាត់។

សេចក្តីសន្និដ្ឋាន

យុទ្ធនាការ OneClik គូសបញ្ជាក់ពីរបៀបដែលសត្រូវកំពុងបន្តកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេ ដើម្បីទាញយកបច្ចេកវិទ្យាស្របច្បាប់។ សម្រាប់អង្គការនៅក្នុងវិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ការរក្សាឥរិយាបថប្រុងប្រយ័ត្ន និងការអនុវត្តការការពារសន្តិសុខពហុស្រទាប់នៅតែមានសារៈសំខាន់ក្នុងការកាត់បន្ថយផលប៉ះពាល់នៃការគំរាមកំហែងកម្រិតខ្ពស់បែបនេះ។