មេរោគ OXLOADER

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការមេរោគថ្មីមួយ ដែលមានឈ្មោះថា REF8372 ដែលប្រើប្រាស់កម្មវិធីផ្ទុកមេរោគដែលគ្មានឯកសារពីមុន ដែលគេស្គាល់ថា OXLOADER ដើម្បីដាក់ពង្រាយមេរោគលួចព័ត៌មាន CastleStealer។

ប្រតិបត្តិការនេះចាប់ផ្តើមជាមួយនឹងការផ្សាយពាណិជ្ជកម្ម Google ដែលមានគំនិតអាក្រក់ ដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទាញជនរងគ្រោះដែលកំពុងស្វែងរកកម្មវិធីពេញនិយម។ ការវិភាគបង្ហាញថា អ្នកគំរាមកំហែងនៅពីក្រោយយុទ្ធនាការនេះទំនងជាអ្នកនិយាយភាសារុស្ស៊ី និងមានហេតុផលផ្នែកហិរញ្ញវត្ថុ។ ការវាយតម្លៃនេះគឺផ្អែកលើការដកចេញដោយចេតនារបស់មេរោគលើប្រព័ន្ធដែលមានទីតាំងនៅក្នុង Commonwealth of Independent States (CIS) ដែលជាយុទ្ធសាស្ត្រដែលត្រូវបានប្រើជាញឹកញាប់ដោយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលកំពុងប្រតិបត្តិការនៅក្នុងតំបន់។

ទោះបីជាការផ្សាយពាណិជ្ជកម្មរបស់យុទ្ធនាការនេះត្រូវបានបោះពុម្ពផ្សាយក្រោមឈ្មោះដែលបានផ្ទៀងផ្ទាត់ 'ВОЛОДИМИР ТЕРЕЩЕНКО' ដែលត្រូវបានគេចោទប្រកាន់ថាមានមូលដ្ឋាននៅប្រទេសអ៊ុយក្រែនក៏ដោយ ក៏វានៅតែមិនច្បាស់ថាតើអត្តសញ្ញាណនេះជារបស់ប្រតិបត្តិករខ្លួនឯង ឬតំណាងឱ្យគណនីដែលរងការសម្របសម្រួល ទិញ ឬប្រឌិតនោះទេ។ Google បានលុបគណនីអ្នកផ្សាយពាណិជ្ជកម្ម និងយុទ្ធនាការពាក់ព័ន្ធនៅថ្ងៃទី 14 ខែឧសភា ឆ្នាំ 2026។

ការរៀបចំម៉ាស៊ីនស្វែងរកនាំជនរងគ្រោះទៅកាន់គេហទំព័រកម្មវិធីក្លែងក្លាយ

ខ្សែសង្វាក់នៃការឆ្លងមេរោគត្រូវបានបង្កឡើងនៅពេលដែលអ្នកប្រើប្រាស់ស្វែងរកពាក្យដូចជា 'lts version of node.js' តាមរយៈម៉ាស៊ីនស្វែងរកដូចជា Google។ ជនរងគ្រោះត្រូវបានបញ្ជូនបន្តតាមរយៈលទ្ធផលឧបត្ថម្ភទៅកាន់គេហទំព័រក្លែងក្លាយ node-js.prentiva99.info ដោយក្លែងបន្លំជាធនធានកម្មវិធីស្របច្បាប់។

អ្នកប្រើប្រាស់ដែលធ្វើអន្តរកម្មជាមួយគេហទំព័រក្លែងបន្លំត្រូវបានជំរុញឱ្យទាញយកស្គ្រីបជាបាច់ដែលបង្ហោះនៅលើ Storj ដែលជាវេទិកាផ្ទុកទិន្នន័យលើ cloud ដែលមិនមានវិមជ្ឈការ និងជាប្រភពបើកចំហ។ ការរំលោភបំពានសេវាកម្មស្របច្បាប់ដូចជា Storj បង្ហាញពីនិន្នាការកើនឡើងក្នុងចំណោមអ្នកគំរាមកំហែង ដែលពឹងផ្អែកកាន់តែខ្លាំងឡើងលើវេទិកាដែលគួរឱ្យទុកចិត្តដើម្បីរំលងកេរ្តិ៍ឈ្មោះដែន និងយន្តការច្រោះសុវត្ថិភាព។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគច្រើនដំណាក់កាលលាក់បាំងសកម្មភាពព្យាបាទ

ការប្រតិបត្តិឯកសារបាច់ដែលបានទាញយកបង្ហាញអ្នកជំនួយការដំឡើងក្លែងក្លាយ ដែលបង្កើតការបំភាន់នៃការដំឡើងកម្មវិធីស្របច្បាប់ ខណៈពេលកំពុងទាញយក payload ដំណាក់កាលបន្ទាប់ដោយសម្ងាត់គឺ OXLOADER ពី Storj។ មេរោគនេះត្រូវបានទាញយកតាមរយៈពាក្យបញ្ជា PowerShell ហើយបើកដំណើរការជាមួយប៉ារ៉ាម៉ែត្រ -Verb RunAs ដោយបង្កើតប្រអប់បញ្ចូល Windows User Account Control (UAC)។

ការវាយប្រហារនេះប្រើប្រាស់បច្ចេកទេសផ្ទុក DLL ចំហៀងដើម្បីប្រតិបត្តិបណ្ណាល័យតំណភ្ជាប់ថាមវន្តដែលមានគំនិតអាក្រក់ ដែលឌិគ្រីប និងបើកដំណើរការ payload ចុងក្រោយគឺ CastleStealer។

បច្ចេកទេសគេចវេសកម្រិតខ្ពស់បង្កើនបញ្ហាប្រឈមនៃការរកឃើញ

OXLOADER រួមបញ្ចូលបច្ចេកទេសទំនើបៗជាច្រើនដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីរារាំងការវិភាគ និងគេចវេះការរកឃើញ៖

  • ស្រទាប់បិទបាំងច្រើន រួមទាំងការធ្វើឱ្យរាបស្មើនៃលំហូរត្រួតពិនិត្យ បុព្វបទស្រអាប់ និងបច្ចេកទេសប៊ូលីន-អារីទីមិចចម្រុះ។
  • នីតិវិធីឌិគ្រីបដែលកែប្រែដោយខ្លួនឯង ការរំលោភបំពានផ្នែក Windows .reloc សម្រាប់ការរៀបចំ shellcode និងយន្តការប្រឆាំងនឹង sandbox ដែលការពារការប្រតិបត្តិនៅក្នុងបរិស្ថានវិភាគនិម្មិត។
  • សមត្ថភាពទាំងនេះបង្ហាញពីវិធីសាស្រ្តដោយចេតនា និងត្រូវបានរចនាឡើងយ៉ាងល្អ ដើម្បីជៀសវាងយន្តការរកឃើញទាំងឋិតិវន្ត និងថាមវន្ត។

    វត្តមាន​កាន់តែ​កើនឡើង​របស់ CastleStealer ក្នុង​ប្រតិបត្តិការ​ឧក្រិដ្ឋកម្ម​តាម​អ៊ីនធឺណិត

    CastleStealer គឺជាក្រុមគ្រួសារមេរោគលួចព័ត៌មានដែលមានមូលដ្ឋានលើ .NET ដែលទើបតែលេចឡើងក្នុងយុទ្ធនាការបន្ថែម។ ពីមុនវាត្រូវបានចែកចាយរួមជាមួយ CastleLoader តាមរយៈល្បិចវិស្វកម្មសង្គមបែប ClickFix ដែលបានបង្ហាញខ្លួនជាកម្មវិធីកែរូបភាពឥតគិតថ្លៃនៅក្នុងប្រតិបត្តិការដែលគេស្គាល់ថាជា BackgroundFix។ CastleLoader ត្រូវបានភ្ជាប់ទៅនឹងចង្កោមសកម្មភាពគំរាមកំហែងដែលត្រូវបានតាមដានថាជា GrayBravo។

    ការគំរាមកំហែងដំណាក់កាលដំបូងដែលមានសក្តានុពលគួរឱ្យកត់សម្គាល់

    ទោះបីជា OXLOADER ហាក់ដូចជាស្ថិតនៅក្នុងដំណាក់កាលដំបូងនៃការដាក់ពង្រាយប្រតិបត្តិការក៏ដោយ ភាពទំនើបខាងបច្ចេកទេសរបស់វាទាមទារការយកចិត្តទុកដាក់យ៉ាងដិតដល់ពីអ្នកការពារ។ លក្ខណៈមួយចំនួនបង្ហាញពីការវិនិយោគយ៉ាងច្រើនដោយអ្នកអភិវឌ្ឍន៍របស់វា៖

    • ការបិទបាំងកូដយ៉ាងទូលំទូលាយ និងការការពារប្រឆាំងនឹងម៉ាស៊ីននិម្មិត។
    • ការប្រើប្រាស់កូដដែលមើលទៅមិនបង្កគ្រោះថ្នាក់ ដើម្បីក្លែងបន្លំប្រព័ន្ធគោលពីរដែលមានគំនិតអាក្រក់ និងបច្ចេកទេសរៀបចំ payload តែមួយគត់។

    ជម្រើសការរចនាទាំងនេះបានបង្ហាញឱ្យឃើញពីប្រសិទ្ធភាពរួចហើយ ដែលអនុញ្ញាតឱ្យ OXLOADER សម្រេចបានអត្រារកឃើញទាបនៅទូទាំងម៉ាស៊ីនស្កេនឋិតិវន្ត និងបរិស្ថានបំផ្ទុះដោយស្វ័យប្រវត្តិ។ ជាលទ្ធផល មេរោគបច្ចុប្បន្នទទួលបានអត្ថប្រយោជន៍ពីបង្អួចប្រតិបត្តិការដ៏មានតម្លៃមុនពេលហត្ថលេខារកឃើញ និងវិធានការទប់ទល់យ៉ាងទូលំទូលាយត្រូវបានបង្កើតឡើង។

    កំពុង​ផ្ទុក...