Ousaban Banking Trojan

អ្នកជំនាញផ្នែកសន្តិសុខព្រមានថាពួក Hacker កំពុងកេងប្រវ័ញ្ចសេវាកម្ម Google Cloud Run ដើម្បីផ្សព្វផ្សាយចំនួនដ៏ច្រើននៃ Trojan ធនាគារ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើប្រាស់ការគំរាមកំហែងមេរោគតាមទូរស័ព្ទជាច្រើនដូចជា Ousaban រួមជាមួយ Trojans ធនាគារផ្សេងទៀតដូចជា Astaroth និង Mekotio ។

Google Cloud Run ផ្តល់អំណាចដល់អ្នកប្រើប្រាស់ក្នុងការដាក់ពង្រាយសេវាកម្មផ្នែកខាងមុខ និងផ្នែកខាងក្រោយ គេហទំព័រ ឬកម្មវិធី គ្រប់គ្រងបន្ទុកការងារដោយមិនមានភាពស្មុគស្មាញនៃការគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ ឬការធ្វើមាត្រដ្ឋាន។ ការប្រើប្រាស់សេវាកម្មរបស់ Google មិនត្រឹមត្រូវសម្រាប់ការចែកចាយមេរោគត្រូវបានសង្កេតឃើញជាលើកដំបូងនៅក្នុងខែកញ្ញា ឆ្នាំ 2023 នៅពេលដែលតួអង្គប្រេស៊ីលបានផ្តួចផ្តើមយុទ្ធនាការដែលប្រើប្រាស់ឯកសារកម្មវិធីដំឡើង MSI ដើម្បីដាក់ពង្រាយកម្មវិធីផ្ទុកមេរោគ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត កេងប្រវ័ញ្ចយុទ្ធសាស្ត្របន្លំ ដើម្បីចែកចាយការគំរាមកំហែង Trojan របស់ធនាគារ

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលសំដៅទៅលើជនរងគ្រោះដែលអាចកើតមាន ដែលត្រូវបានរចនាឡើងយ៉ាងប៉ិនប្រសប់ដើម្បីធ្វើត្រាប់តាមទំនាក់ទំនងពិតប្រាកដដែលទាក់ទងនឹងវិក្កយបត្រ របាយការណ៍ហិរញ្ញវត្ថុ ឬសារដែលបង្ហាញដោយរដ្ឋាភិបាលក្នុងតំបន់ និងភ្នាក់ងារពន្ធ។ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា អ៊ីមែលភាគច្រើននៅក្នុងយុទ្ធនាការនេះ ជាភាសាអេស្ប៉ាញ ដែលកំណត់គោលដៅប្រទេសនៅអាមេរិកឡាទីន ប៉ុន្តែមានករណីដែលប្រើភាសាអ៊ីតាលី។ អ៊ីមែលបោកបញ្ឆោតទាំងនេះមានតំណភ្ជាប់ដែលបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់សេវាកម្មគេហទំព័រដែលមានគំនិតអាក្រក់បង្ហោះនៅលើ Google Cloud Run។

នៅក្នុងសេណារីយ៉ូជាក់លាក់ បន្ទុកត្រូវបានបញ្ជូនតាមរយៈឯកសារ MSI ។ ម៉្យាងទៀត សេវាកម្មនេះប្រើការបញ្ជូនបន្ត 302 ទៅកាន់ទីតាំង Google Cloud Storage ដែលបណ្ណសារហ្ស៊ីបដែលមានឯកសារ MSI ដែលគំរាមកំហែងត្រូវបានរក្សាទុក។ នៅពេលប្រតិបត្តិឯកសារ MSI ព្យាបាទដោយជនរងគ្រោះ សមាសធាតុបន្ថែម និងបន្ទុកត្រូវបានទាញយក និងប្រតិបត្តិនៅលើប្រព័ន្ធរបស់ពួកគេ។ ក្នុងករណីដែលបានសង្កេត ការចែកចាយបន្ទុកដំណាក់កាលទីពីរទាញយកឧបករណ៍ Windows ស្របច្បាប់ 'BITSAdmin'។

ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរ និងរស់រានមានជីវិតពីការចាប់ផ្ដើមឡើងវិញ មេរោគបង្កើតដោយខ្លួនឯងនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះដោយបន្ថែមឯកសារ LNK ('sysupdates.setup.lnk') នៅក្នុងថតឯកសារចាប់ផ្ដើម។ ឯកសារ LNK ទាំងនេះត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលដំណើរការស្គ្រីបឆ្លងមេរោគ ('AutoIT') ។

ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលត្រូវបានឆ្លងមេរោគទូរស័ព្ទចល័តដែលកំណត់ទិន្នន័យហិរញ្ញវត្ថុរបស់ជនរងគ្រោះ

យុទ្ធនាការដែលទាញយក Google Cloud Run មាន Trojan ធនាគារចំនួនបី៖ Ousaban, Astaroth និង Mekotio ។ Trojan នីមួយៗត្រូវបានបង្កើតឡើងដើម្បីលួចលាក់ប្រព័ន្ធជ្រៀតចូល បង្កើតការតស៊ូ និងទទួលបានទិន្នន័យហិរញ្ញវត្ថុរសើបដោយខុសច្បាប់សម្រាប់ការចូលប្រើគណនីធនាគារដោយគ្មានការអនុញ្ញាត។

Ousaban ដែលជា Trojan របស់ធនាគារ មានសមត្ថភាពដូចជាការចាក់សោរ ចាប់យករូបថតអេក្រង់ និងការបន្លំសម្រាប់ព័ត៌មានសម្ងាត់ធនាគារតាមរយៈវិបផតថលធនាគារក្លែងក្លាយ (ក្លូន)។ អ្នកស្រាវជ្រាវសង្កេតឃើញថា Ousaban ត្រូវបានណែនាំនៅដំណាក់កាលក្រោយនៅក្នុងខ្សែសង្វាក់ការឆ្លងមេរោគ Astaroth ដែលបង្ហាញពីកិច្ចសហការដ៏មានសក្តានុពលរវាងប្រតិបត្តិករនៃគ្រួសារមេរោគទាំងពីរ ឬការចូលរួមរបស់តួអង្គគំរាមកំហែងតែមួយដែលគ្រប់គ្រងទាំងពីរ។

Astaroth ប្រើបច្ចេកទេសគេចវេសកម្រិតខ្ពស់ ហើយដំបូងផ្តោតលើគោលដៅរបស់ប្រេស៊ីល ប៉ុន្តែបានពង្រីកវិសាលភាពរបស់ខ្លួនដល់ស្ថាប័នហិរញ្ញវត្ថុជាង 300 នៅទូទាំង 15 ប្រទេសនៅអាមេរិកឡាទីន។ ថ្មីៗនេះ មេរោគនេះបានចាប់ផ្តើមប្រមូលព័ត៌មានសម្ងាត់សម្រាប់សេវាកម្មប្តូររូបិយប័ណ្ណគ្រីបតូ។ ដោយប្រើប្រាស់ការចាក់សោរ ការចាប់យកអេក្រង់ និងការត្រួតពិនិត្យក្ដារតម្បៀតខ្ទាស់ Astaroth មិនត្រឹមតែលួចទិន្នន័យរសើបប៉ុណ្ណោះទេ ថែមទាំងស្ទាក់ចាប់ និងរៀបចំចរាចរអ៊ីនធឺណិត ដើម្បីចាប់យកព័ត៌មានសម្ងាត់ធនាគារផងដែរ។

Mekotio ដែលសកម្មអស់រយៈពេលជាច្រើនឆ្នាំ ផ្តោតលើតំបន់អាមេរិកឡាទីន។ ត្រូវបានគេស្គាល់ថាសម្រាប់ការលួចលាក់ព័ត៌មានសម្ងាត់ធនាគារ និងព័ត៌មានផ្ទាល់ខ្លួន និងការប្រតិបត្តិប្រតិបត្តិការក្លែងបន្លំ Mekotio អាចរៀបចំកម្មវិធីរុករកតាមអ៊ីនធឺណិតដើម្បីបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័របន្លំ។