កម្មវិធីទាញយក PeakLIGHT

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញឧបករណ៍ទម្លាក់លេខប្រលោមលោកដែលត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយដំណាក់កាលមេរោគជាបន្តបន្ទាប់ ដែលទីបំផុតកំណត់គោលដៅប្រព័ន្ធវីនដូជាមួយអ្នកលួចព័ត៌មាន និងអ្នកផ្ទុកព័ត៌មាន។

ឧបករណ៍ទម្លាក់លេខសម្រាប់តែអង្គចងចាំនេះ ឌិគ្រីប និងដំណើរការកម្មវិធីទាញយកដែលមានមូលដ្ឋានលើ PowerShell ដែលត្រូវបានកំណត់ថាជា PEAKLIGHT។ ប្រភេទមេរោគដែលត្រូវបានចែកចាយតាមរយៈវិធីសាស្រ្តនេះរួមមាន Lumma Stealer , Hijack Loader (ត្រូវបានគេស្គាល់ផងដែរថាជា DOILoader, IDAT Loader, ឬ SHADOWLADDER) និង CryptBot ដែលត្រូវបានផ្តល់ជូនជាផ្នែកនៃ malware-as-a-service (MaaS) model ។

វ៉ិចទ័រវាយប្រហារដំបូង និងខ្សែសង្វាក់វាយប្រហារ

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយឯកសារផ្លូវកាត់វីនដូ (LNK) ដែលត្រូវបានទាញយកតាមរយៈវិធីទាញយកដោយដ្រាយវ៍ ដូចជានៅពេលដែលអ្នកប្រើប្រាស់ស្វែងរកភាពយន្តតាមអ៊ីនធឺណិត។ ឯកសារ LNK ទាំងនេះត្រូវបានខ្ចប់នៅក្នុងបណ្ណសារហ្ស៊ីប ដែលក្លែងបន្លំជាខ្សែភាពយន្តលួចចម្លង។

នៅពេលទាញយករួច ឯកសារ LNK ភ្ជាប់ទៅបណ្តាញចែកចាយមាតិកា (CDN) ដែលផ្ទុកនូវឧបករណ៍ទម្លាក់ JavaScript ដែលបំភាន់ អង្គចងចាំតែប៉ុណ្ណោះ។ ឧបករណ៍ទម្លាក់នេះ ប្រតិបត្តិស្គ្រីបកម្មវិធីទាញយក PEAKLIGHT PowerShell នៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ដែលទាក់ទងទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទាញយកបន្ទុកបន្ថែម។

អ្នកស្រាវជ្រាវបានសង្កេតឃើញការប្រែប្រួលឯកសារ LNK ជាច្រើន ដោយខ្លះប្រើសញ្ញាផ្កាយ (*) ជាអក្សរជំនួសដើម្បីហៅប្រព័ន្ធគោលពីរ mshta.exe ស្របច្បាប់ ដែលអនុញ្ញាតឱ្យកូដព្យាបាទ (ឧ. តំណក់ទ័រ) ដំណើរការដោយសម្ងាត់ពីម៉ាស៊ីនមេពីចម្ងាយ។

PEAKLIGHT លាក់សកម្មភាពគំរាមកំហែងរបស់វានៅពីក្រោយភាពយន្តស្របច្បាប់

ស្រដៀងគ្នានេះដែរ droppers ត្រូវបានគេរកឃើញថាមានផ្ទុកទាំង PowerShell ដែលបានអ៊ិនកូដ hex និង Base64-encoded ។ បន្ទុកទាំងនេះត្រូវបានខ្ចប់ដើម្បីដំណើរការ PEAKLIGHT ដែលជាឧបករណ៍ដែលត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយមេរោគជាបន្តបន្ទាប់នៅលើប្រព័ន្ធដែលមានមេរោគ ខណៈពេលដែលកំពុងទាញយកឈុតភាពយន្តស្របច្បាប់ផងដែរ ដែលទំនងជាការបញ្ឆោត។

PEAKLIGHT ដំណើរការជាកម្មវិធីទាញយកដែលមានមូលដ្ឋានលើ PowerShell ដែលមិនច្បាស់លាស់នៅក្នុងខ្សែសង្វាក់ប្រតិបត្តិពហុដំណាក់កាល។ វាស្វែងរកបណ្ណសារហ្ស៊ីបនៅក្នុងផ្លូវឯកសារដែលមានកូដរឹងជាក់លាក់។ ប្រសិនបើបណ្ណសារទាំងនេះរកមិនឃើញ អ្នកទាញយកទាក់ទងគេហទំព័រ CDN ដើម្បីទាញយកឯកសារបណ្ណសារ ហើយរក្សាទុកវាទៅក្នុងថាស។

នេះមិនមែនជាករណីដំបូងនៃមេរោគដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ដែលកំពុងស្វែងរកភាពយន្តលួចចម្លងនោះទេ។ នៅដើមខែមិថុនា ឆ្នាំ 2024 អ្នកស្រាវជ្រាវបានរកឃើញខ្សែសង្វាក់ឆ្លងមេរោគដ៏ស្មុគ្រស្មាញ ដែលបណ្តាលឱ្យមានការដាក់ពង្រាយ Hijack Loader បន្ទាប់ពីការប៉ុនប៉ងទាញយកឯកសារវីដេអូពីគេហទំព័រទាញយកភាពយន្ត។

អ្នកទាញយកបើកទ្វារសម្រាប់មេរោគពិសេសបន្ថែមទៀត

មេរោគ​កម្មវិធី​ទាញយក​បង្ក​ឱ្យ​មាន​គ្រោះថ្នាក់​ជា​ច្រើន​ចំពោះ​បុគ្គល​ និង​ស្ថាប័ន​៖

• Initial Compromise ៖ មេរោគ​កម្មវិធី​ទាញ​យក​ច្រើន​តែ​ជា​ដំណាក់​កាល​ដំបូង​នៃ​ការ​វាយ​ប្រហារ​ធំ​ជាង។ នៅពេលដំឡើងរួច វាអាចទាញយកដោយស្ងៀមស្ងាត់ និងដំឡើងកម្មវិធីព្យាបាទបន្ថែម រួមទាំងមេរោគកម្រិតខ្ពស់បន្ថែមទៀត។
• ការលួចទិន្នន័យ ៖ បន្ទុកបន្ថែមដែលផ្តល់ដោយមេរោគកម្មវិធីទាញយកអាចរាប់បញ្ចូលទាំងអ្នកលួចព័ត៌មានដែលចាប់យកទិន្នន័យឯកជន ដូចជាលិខិតសម្គាល់ការចូល ព័ត៌មានហិរញ្ញវត្ថុ និងព័ត៌មានលម្អិតផ្ទាល់ខ្លួន ដែលនាំទៅដល់ការលួចអត្តសញ្ញាណ និងការបាត់បង់ហិរញ្ញវត្ថុ។
• ការលួចប្រព័ន្ធ ៖ មេរោគកម្មវិធីទាញយកមួយចំនួនត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយឧបករណ៍ចូលប្រើពីចម្ងាយ ឬ backdoors ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងលើប្រព័ន្ធមេរោគ។ នេះអាចនាំឱ្យមានការចូលប្រើបណ្តាញសាជីវកម្មដោយគ្មានការអនុញ្ញាត ការបំពានទិន្នន័យ និងការសម្របសម្រួលប្រព័ន្ធបន្ថែមទៀត។
• ការដាក់ពង្រាយ Ransomware ៖ មេរោគកម្មវិធីទាញយកអាចត្រូវបានគេប្រើដើម្បីដំឡើង ransomware ដែលអាចអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះ និងទាមទារការទូទាត់ថ្លៃលោះសម្រាប់ការចេញផ្សាយរបស់ពួកគេ។ នេះអាចបណ្តាលឱ្យបាត់បង់ទិន្នន័យសំខាន់ៗ និងការរំខានដល់ប្រតិបត្តិការ។
• បង្កើនភាពងាយរងគ្រោះ ៖ នៅពេលដំឡើងរួច មេរោគកម្មវិធីទាញយកអាចចុះខ្សោយការការពារប្រព័ន្ធ និងបង្កើតភាពងាយរងគ្រោះដែលប្រភេទមេរោគផ្សេងទៀតអាចទាញយកប្រយោជន៍បាន។ នេះធ្វើឱ្យវាកាន់តែងាយស្រួលសម្រាប់អ្នកវាយប្រហារក្នុងការដាក់ពង្រាយការគំរាមកំហែងដ៏គ្រោះថ្នាក់ ឬជាប់លាប់។
• ការផ្សព្វផ្សាយបណ្តាញ ៖ មេរោគកម្មវិធីទាញយកអាចរីករាលដាលពាសពេញបណ្តាញ ដោយឆ្លងឧបករណ៍ និងប្រព័ន្ធផ្សេងទៀតនៅក្នុងបរិយាកាសដូចគ្នា។ នេះអាចបណ្តាលឱ្យខូចខាតយ៉ាងទូលំទូលាយ និងបង្កើនភាពស្មុគស្មាញនៃកិច្ចខិតខំប្រឹងប្រែងជួសជុល។
• Resource Drain ៖ មេរោគអាចប្រើប្រាស់ធនធានប្រព័ន្ធដូចជា CPU និង Bandwidth ដែលនាំឱ្យដំណើរការធ្លាក់ចុះ និងការដាច់សេវាដែលអាចកើតមាន។ នេះអាចប៉ះពាល់ដល់ផលិតភាព និងបង្កើនការចំណាយប្រតិបត្តិការ។
• ហានិភ័យផ្នែកច្បាប់ និងអនុលោមភាព ៖ អង្គការដែលឆ្លងមេរោគអាចប្រឈមមុខនឹងបញ្ហាផ្លូវច្បាប់ និងការអនុលោមភាព ជាពិសេសប្រសិនបើការបំពានទិន្នន័យពាក់ព័ន្ធនឹងព័ត៌មានរសើប ឬគ្រប់គ្រង។ នេះអាចបណ្តាលឱ្យមានការផាកពិន័យ សកម្មភាពផ្លូវច្បាប់ និងការខូចខាតកេរ្តិ៍ឈ្មោះ។

សរុបមក មេរោគកម្មវិធីទាញយកគឺជាការគំរាមកំហែងដ៏ធ្ងន់ធ្ងរដោយសារតែតួនាទីរបស់វាក្នុងការសម្របសម្រួលការវាយប្រហារបន្ថែមទៀត និងប៉ះពាល់ដល់សុវត្ថិភាព និងសុចរិតភាពនៃប្រព័ន្ធ និងបណ្តាញដែលរងផលប៉ះពាល់។