PaperCut ភាពងាយរងគ្រោះត្រូវបានជួសជុល

PaperCut ដែលជាដំណោះស្រាយកម្មវិធីគ្រប់គ្រងការបោះពុម្ពដ៏ពេញនិយម ថ្មីៗនេះបានប្រឈមមុខនឹងភាពងាយរងគ្រោះសំខាន់ពីរដែលក្រុមជនខិលខូច ransomware កេងប្រវ័ញ្ចយ៉ាងសកម្ម។ ភាពងាយរងគ្រោះទាំងនេះឥឡូវនេះត្រូវបានជួសជុលដោយក្រុមហ៊ុនដើម្បីលុបបំបាត់ហានិភ័យដែលអាចកើតមាន។

CVE-2023-27350៖ កំហុសនៃការប្រតិបត្តិលេខកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់

ភាពងាយរងគ្រោះនេះមានពិន្ទុ CVSS v3.1 នៃ 9.8 ដែលបង្ហាញពីកម្រិតហានិភ័យដ៏សំខាន់។ កំហុសនៃការប្រតិបត្តិកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់បានអនុញ្ញាតឲ្យអ្នកវាយប្រហារអាចប្រតិបត្តិកូដតាមអំពើចិត្តលើប្រព័ន្ធដែលងាយរងគ្រោះដោយមិនមានប្រភេទនៃការផ្ទៀងផ្ទាត់ណាមួយ ដោយផ្តល់ឱ្យពួកគេនូវការចូលប្រើប្រាស់ទិន្នន័យរសើបដោយមិនមានកំណត់ និងសមត្ថភាពក្នុងការសម្របសម្រួលបណ្តាញ។ ការបន្ថែមការព្រួយបារម្ភបន្ថែមទៀតចំពោះភាពធ្ងន់ធ្ងរនៃ ភាពងាយរងគ្រោះ នេះគឺជាការពិតដែលថាភស្តុតាងនៃកូដគំនិតត្រូវបានចេញផ្សាយ ដោយផ្តល់នូវគោលការណ៍ណែនាំសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្ថែមទៀតដើម្បីទាញយកគុណវិបត្តិនេះយ៉ាងងាយស្រួល។

CVE-2023-27351៖ កំហុសការបង្ហាញព័ត៌មានដែលមិនបានផ្ទៀងផ្ទាត់

ភាពងាយរងគ្រោះទីពីរ CVE-2023-27351 មានពិន្ទុ CVSS v3.1 នៃ 8.2 ដែលត្រូវបានចាត់ទុកថាមានហានិភ័យខ្ពស់។ គុណវិបត្តិនេះអនុញ្ញាតឱ្យបញ្ចេញព័ត៌មានដែលមិនមានការផ្ទៀងផ្ទាត់ មានន័យថាអ្នកវាយប្រហារអាចចូលប្រើទិន្នន័យរសើបដោយមិនចាំបាច់ត្រូវការព័ត៌មានសម្ងាត់ត្រឹមត្រូវ។ ការទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនេះនឹងធ្វើឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទទួលបានព័ត៌មានដ៏មានតម្លៃ និងអាចប្រើវាសម្រាប់ការវាយប្រហារគោលដៅច្បាស់លាស់ជាងមុន។ ទោះបីជាមិនសំខាន់ដូចកំហុសនៃការប្រតិបត្តិកូដពីចម្ងាយក៏ដោយ ភាពងាយរងគ្រោះនេះនៅតែបង្កការគំរាមកំហែងយ៉ាងខ្លាំងដល់សុវត្ថិភាព និងឯកជនភាពរបស់អ្នកប្រើប្រាស់។

ភស្តុតាងនៃក្រមគំនិតត្រូវបានចេញផ្សាយ

កូដភស្តុតាងនៃគំនិត (PoC) ដែលដាក់ឱ្យប្រើប្រាស់ជាសាធារណៈបានបង្កើនហានិភ័យដែលទាក់ទងនឹងភាពងាយរងគ្រោះទាំងនេះ។ លេខកូដ PoC នេះបានផ្តល់ផែនទីបង្ហាញផ្លូវសម្រាប់អ្នកវាយប្រហារដែលមានសក្តានុពលក្នុងការទាញយកគុណវិបត្តិទាំងនេះ ទោះបីជាមិនមានចំណេះដឹងបច្ចេកទេសទូលំទូលាយក៏ដោយ។ ការចេញផ្សាយលេខកូដ PoC គឺជាដាវមុខពីរ។ ខណៈពេលដែលវាជួយក្នុងការផ្សព្វផ្សាយការយល់ដឹងអំពីគុណវិបត្តិសុវត្ថិភាព និងជួយអ្នកស្រាវជ្រាវសុវត្ថិភាពបង្កើតបំណះ វាក៏ផ្តល់ឱ្យអ្នកវាយប្រហារដែលនឹងក្លាយជាអ្នកវាយប្រហារជាមួយនឹងប្លង់មេដើម្បីធ្វើការវាយប្រហារផងដែរ។ បំណះដែលបានចេញផ្សាយសម្រាប់ភាពងាយរងគ្រោះទាំងនេះគឺមានសារៈសំខាន់ដើម្បីធានាសុវត្ថិភាពរបស់អ្នកប្រើប្រាស់ PaperCut និងបណ្តាញរបស់ពួកគេ។

តួអង្គព្យាបាទកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ PaperCut

នៅពេលដែលភាពងាយរងគ្រោះរបស់ PaperCut ត្រូវបានគេស្គាល់ ក្រុម ជនពាល ransomware ជាច្រើនបានចាប់ផ្តើមកេងប្រវ័ញ្ចពួកវាយ៉ាងសកម្ម។ ក្នុងចំណោមតួអង្គព្យាបាទទាំងនេះមាន Lace Tempest និង LockBit ransomware strains ទាំងការកំណត់គោលដៅលើម៉ាស៊ីនមេ PaperCut ដែលងាយរងគ្រោះដើម្បីជ្រៀតចូលបណ្តាញ និងដាក់ពង្រាយបន្ទុក ransomware របស់ពួកគេ។

Lace Tempest (Clop Ransomware Affiliate) កំណត់គោលដៅម៉ាស៊ីនមេដែលងាយរងគ្រោះ

Lace Tempest ដែលជាសាខានៃក្រុម ransomware Clop ដ៏ល្បីល្បាញ គឺជាអ្នកប្រព្រឹត្តអាក្រក់ដំបូងគេដែលទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះ PaperCut ។ ដោយប្រើការប្រតិបត្តិកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ និងកំហុសក្នុងការបង្ហាញព័ត៌មាន Lace Tempest បានគ្រប់គ្រងដើម្បីសម្របសម្រួលម៉ាស៊ីនមេដែលងាយរងគ្រោះ ដោយទទួលបានសិទ្ធិចូលប្រើប្រាស់ទិន្នន័យ និងបណ្តាញរសើបដោយមិនមានការរឹតបន្តឹង។ នៅពេលដែលនៅខាងក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលទាំងនេះ Lace Tempest បានដាក់ពង្រាយ Clop ransomware អ៊ិនគ្រីបឯកសារ និងទាមទារតម្លៃលោះដើម្បីបញ្ចេញសោរឌិគ្រីប។

LockBit Ransomware ប៉ះពាល់ផងដែរដែលកំណត់គោលដៅម៉ាស៊ីនមេ PaperCut

LockBit ដែលជាមេរោគ ransomware ដ៏ល្បីមួយទៀត ក៏កំពុងប្រើប្រាស់យ៉ាងសកម្មនូវភាពងាយរងគ្រោះរបស់ម៉ាស៊ីនមេ PaperCut ផងដែរ។ ស្រដៀងទៅនឹងយុទ្ធសាស្រ្តរបស់ Lace Tempest ដែរ LockBit បានកេងប្រវ័ញ្ចលើការប្រតិបត្តិលេខកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ និងកំហុសនៃការបង្ហាញព័ត៌មានដើម្បីជ្រៀតចូលប្រព័ន្ធដែលងាយរងគ្រោះ។ ជាមួយនឹងការចូលប្រើទិន្នន័យរសើប និងបណ្តាញខាងក្នុង LockBit បានដាក់ពង្រាយ ransomware payload របស់វា ដែលនាំឱ្យមានឯកសារដែលបានអ៊ិនគ្រីប និងការទាមទារតម្លៃលោះ។ ការទទួលយកយ៉ាងឆាប់រហ័សនូវភាពងាយរងគ្រោះទាំងនេះដោយតួអង្គព្យាបាទដូចជា LockBit និង Lace Tempest បញ្ជាក់ពីភាពធ្ងន់ធ្ងរនៃកំហុស PaperCut ទាំងនេះ ហើយសង្កត់ធ្ងន់លើសារៈសំខាន់នៃការធ្វើបច្ចុប្បន្នភាព និងជួសជុលកម្មវិធីជាប្រចាំដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិត។

ល្បិចវាយប្រហារខ្យល់ព្យុះ

Lace Tempest ដែលជាសាខារបស់ Clop ransomware បានបង្កើតយុទ្ធសាស្ត្រវាយប្រហារតែមួយគត់របស់ខ្លួន ដើម្បីទាញយកភាពងាយរងគ្រោះរបស់ម៉ាស៊ីនមេ PaperCut ប្រកបដោយប្រសិទ្ធភាព។ ដោយប្រើប្រាស់វិធីសាស្រ្តទំនើបៗដូចជាពាក្យបញ្ជា PowerShell ពាក្យបញ្ជា និងការគ្រប់គ្រងការភ្ជាប់ម៉ាស៊ីនមេ និង Cobalt Strike Beacon, Lace Tempest បានជ្រៀតចូលប្រព័ន្ធដោយជោគជ័យ និងបានចែកចាយបន្ទុក ransomware របស់វា។

ការប្រើប្រាស់ពាក្យបញ្ជា PowerShell ដើម្បីចែកចាយ TrueBot DLL

ការវាយប្រហាររបស់ Lace Tempest ជារឿយៗចាប់ផ្តើមជាមួយនឹងការប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលពួកគេប្រើដើម្បីបញ្ជូន ឯកសារ TrueBot DLL (Dynamic Link Library) ដ៏អាក្រក់ ទៅកាន់ប្រព័ន្ធគោលដៅ។ បន្ទាប់មកឯកសារ DLL នេះត្រូវបានផ្ទុកនៅលើប្រព័ន្ធ ហើយបម្រើជាប្លុកអគារសម្រាប់សកម្មភាពព្យាបាទបន្ថែមទៀត ដូចជាការបង្កើតការតភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង និងការទាញយកសមាសធាតុមេរោគបន្ថែម។

ភ្ជាប់ទៅម៉ាស៊ីនមេបញ្ជា និងបញ្ជា

នៅពេលដែល TrueBot DLL ត្រូវបានដាក់ឱ្យដំណើរការ មេរោគរបស់ Lace Tempest ភ្ជាប់ទៅម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C2) ។ ការតភ្ជាប់នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្ញើពាក្យបញ្ជា និងទទួលទិន្នន័យពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល សម្របសម្រួលការដកយកទិន្នន័យ និងអនុញ្ញាតឱ្យដាក់ពង្រាយសមាសធាតុ ឬឧបករណ៍មេរោគបន្ថែម ដូចជា Cobalt Strike Beacon ជាដើម។

ការប្រើប្រាស់ Cobalt Strike Beacon សម្រាប់ការដឹកជញ្ជូន Ransomware

Lace Tempest ជារឿយៗប្រើ Cobalt Strike Beacon ដែលជាផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហាររបស់វា។ Cobalt Strike គឺជាឧបករណ៍សាកល្បងការជ្រៀតចូលស្របច្បាប់ ដែលរួមមានភ្នាក់ងារក្រោយការកេងប្រវ័ញ្ចហៅថា "Beacon" ។ ជាអកុសល ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដូចជា Lace Tempest បានបង្កើតឧបករណ៍នេះឡើងវិញសម្រាប់គោលបំណងព្យាបាទរបស់ពួកគេ។ ក្នុងករណីនេះពួកគេប្រើ Cobalt Strike Beacon ដើម្បីបញ្ជូន Clop ransomware ទៅកាន់ប្រព័ន្ធគោលដៅ។ នៅពេលដែល ransomware ត្រូវបានដាក់ឱ្យប្រើប្រាស់ វាធ្វើការអ៊ិនគ្រីបឯកសារនៅលើប្រព័ន្ធ ហើយទាមទារតម្លៃលោះសម្រាប់សោរឌិគ្រីប ដោយមានប្រសិទ្ធភាពរក្សាចំណាប់ខ្មាំងទិន្នន័យរបស់ជនរងគ្រោះ។

ការផ្លាស់ប្តូរនៅក្នុងប្រតិបត្តិការ Ransomware

មានការផ្លាស់ប្តូរគួរឱ្យកត់សម្គាល់នៅក្នុងប្រតិបត្តិការនៃក្រុម ransomware ដូចជា Clop ក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ។ ជំនួសឱ្យការពឹងផ្អែកទាំងស្រុងលើការអ៊ិនគ្រីបទិន្នន័យ និងទាមទារតម្លៃលោះសម្រាប់សោឌិគ្រីប ឥឡូវនេះអ្នកវាយប្រហារកំពុងផ្តល់អាទិភាពដល់ការលួចទិន្នន័យរសើបសម្រាប់គោលបំណងជំរិតទារប្រាក់។ ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រនេះបានធ្វើឱ្យការវាយប្រហារតាមអ៊ីនធឺណិតកាន់តែមានការគំរាមកំហែង ដោយសារតែអ្នកប្រព្រឹត្តអាក្រក់ឥឡូវនេះអាចប្រើទិន្នន័យដែលលួចបាន ដើម្បីបង្ខំជនរងគ្រោះឱ្យបង់ប្រាក់លោះ បើទោះបីជាពួកគេមានយុទ្ធសាស្រ្តបម្រុងត្រឹមត្រូវក៏ដោយ។

ផ្តោតលើការលួចទិន្នន័យសម្រាប់ការជំរិត

ក្រុមជនពាល Ransomware បានដឹងថាការលួចទិន្នន័យសម្រាប់គោលបំណងជំរិតទារប្រាក់អាចផ្តល់ផលចំណេញច្រើនជាងការពឹងផ្អែកលើការអ៊ិនគ្រីបដើម្បីចាប់ជនរងគ្រោះជាចំណាប់ខ្មាំង។ តាមរយៈការទាញយកព័ត៌មានរសើប ពេលនេះអ្នកវាយប្រហារអាចគំរាមបោះផ្សាយ ឬលក់ទិន្នន័យដែលត្រូវបានលួចនៅលើគេហទំព័រងងឹត ដែលអាចធ្វើឱ្យខូចខាតផ្នែកហិរញ្ញវត្ថុ និងកេរ្តិ៍ឈ្មោះយ៉ាងសំខាន់ដល់ស្ថាប័ន។ សម្ពាធបន្ថែមនេះបង្កើនលទ្ធភាពនៃជនរងគ្រោះក្នុងការបង់ប្រាក់លោះដែលទាមទារ។

ផ្តល់អាទិភាពដល់ការលួចទិន្នន័យក្នុងការវាយប្រហារ

ស្របតាមការផ្លាស់ប្តូរនេះ ក្រុមជនពាល ransomware ដូចជា Lace Tempest បានចាប់ផ្តើមផ្តល់អាទិភាពដល់ការលួចទិន្នន័យក្នុងការវាយប្រហាររបស់ពួកគេ។ តាមរយៈការបង្កើតយុទ្ធសាស្ត្រវាយប្រហារដ៏ទំនើបដូចជាការប្រើពាក្យបញ្ជា PowerShell, TrueBot DLL និង Cobalt Strike Beacon តួអង្គព្យាបាទទាំងនេះអាចជ្រៀតចូលប្រព័ន្ធដែលងាយរងគ្រោះ និងបណ្តេញទិន្នន័យមុនពេលអ៊ិនគ្រីបវា បង្កើនឱកាសនៃការជំរិតទារដោយជោគជ័យ។

ប្រវត្តិរបស់ Clop Gang ជាមួយការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះសម្រាប់ការបន្សុទ្ធទិន្នន័យ

ក្រុម Clop មានប្រវត្តិនៃការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះសម្រាប់គោលបំណងនៃការទាញយកទិន្នន័យ។ ជាឧទាហរណ៍ ក្នុងឆ្នាំ 2020 ប្រតិបត្តិករ Clop បានជោគជ័យក្នុងការ hack Global Accellion និងលួចទិន្នន័យពីក្រុមហ៊ុនប្រហែល 100 ដោយប្រើភាពងាយរងគ្រោះដែលបានបង្ហាញនៅក្នុងកម្មវិធី File Transfer Appliance របស់ក្រុមហ៊ុន។ ថ្មីៗនេះ ក្រុមជនខិលខូច Clop បានប្រើប្រាស់ភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុងវេទិកាចែករំលែកឯកសារដែលមានសុវត្ថិភាព GoAnywhere MFT ដើម្បីលួចទិន្នន័យពីក្រុមហ៊ុនចំនួន 130 ។ គំរូនៃការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះសម្រាប់ការលួចទិន្នន័យ រួមជាមួយនឹងទិដ្ឋភាព ransomware ដែលកំពុងវិវឌ្ឍន៍ បង្ហាញពីតម្រូវការសម្រាប់អង្គការនានាក្នុងការទទួលយកវិធានការសុវត្ថិភាពដ៏រឹងមាំ និងរក្សាកម្មវិធីទាន់សម័យដើម្បីការពារទ្រព្យសម្បត្តិសំខាន់ៗរបស់ពួកគេ។