PHANTOMPULSE RAT

យុទ្ធនាការវិស្វកម្មសង្គមដ៏ទំនើបមួយបានលេចចេញឡើង ដោយកេងប្រវ័ញ្ច Obsidian ជាវ៉ិចទ័រចូលប្រើដំបូង ដើម្បីដាក់ពង្រាយមេរោគ Trojan ចូលប្រើពីចម្ងាយ Windows ដែលគ្មានឯកសារពីមុន ដែលគេស្គាល់ថា PHANTOMPULSE។ យុទ្ធនាការនេះផ្តោតជាពិសេសលើបុគ្គលដែលធ្វើការនៅក្នុងវិស័យហិរញ្ញវត្ថុ និងរូបិយប័ណ្ណគ្រីបតូ ដោយទាញយកទំនុកចិត្តលើឧបករណ៍ស្របច្បាប់ ដើម្បីរំលងការរំពឹងទុកសុវត្ថិភាពបែបប្រពៃណី។

ប្រតិបត្តិការ REF6598៖ ការបោកប្រាស់តាមរយៈបណ្តាញវិជ្ជាជីវៈ

យុទ្ធនាការនេះត្រូវបានកំណត់ដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតថាជា REF6598 ប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គមកម្រិតខ្ពស់តាមរយៈ LinkedIn និង Telegram។ ដំបូងឡើយ គោលដៅត្រូវបានទាក់ទងក្រោមលេសនៃកិច្ចសហការជាមួយក្រុមហ៊ុនមូលធនបណ្តាក់ទុន។ បន្ទាប់មក ការសន្ទនាត្រូវបានផ្លាស់ប្តូរទៅជាការជជែកជាក្រុម Telegram ដែលមាន 'ដៃគូ' ក្លែងក្លាយ ដែលបង្កើតបានជារូបរាងនៃភាពស្របច្បាប់ដ៏គួរឱ្យជឿជាក់។

នៅក្នុងក្រុមទាំងនេះ ការពិភាក្សាផ្តោតជុំវិញសេវាកម្មហិរញ្ញវត្ថុ និងយុទ្ធសាស្ត្រសាច់ប្រាក់ងាយស្រួលរូបិយប័ណ្ណគ្រីបតូ ដែលពង្រឹងភាពជឿជាក់។ ជនរងគ្រោះត្រូវបានណែនាំឲ្យចូលប្រើផ្ទាំងគ្រប់គ្រងដែលបានចែករំលែកតាមរយៈឃ្លាំងសម្ងាត់ Obsidian ដែលបង្ហោះលើពពក ដោយប្រើព័ត៌មានសម្ងាត់ដែលបានផ្តល់ជូន។

កត្តា​ដែល​លាក់កំបាំង៖ ការ​ធ្វើ​ឲ្យ​សកម្ម​កម្មវិធី​លាក់​ទិន្នន័យ​ដែល​មាន​បំណង​អាក្រក់

ខ្សែសង្វាក់នៃការឆ្លងមេរោគត្រូវបានធ្វើឱ្យសកម្មនៅពេលដែលជនរងគ្រោះបើកឃ្លាំងសម្ងាត់ដែលបានចែករំលែកនៅក្នុង Obsidian។ នៅដំណាក់កាលនេះ អ្នកប្រើប្រាស់ត្រូវបានជំរុញឱ្យបើកការធ្វើសមកាលកម្មសម្រាប់ 'កម្មវិធីជំនួយសហគមន៍ដែលបានដំឡើង' ដែលជាលក្ខណៈពិសេសដែលត្រូវបានបិទតាមលំនាំដើម។ សកម្មភាពដោយដៃនេះគឺមានសារៈសំខាន់ណាស់ ព្រោះវាអនុញ្ញាតឱ្យការកំណត់រចនាសម្ព័ន្ធព្យាបាទដែលបានបង្កប់អាចប្រតិបត្តិបាន។

អ្នកវាយប្រហារទាញយកប្រយោជន៍ពីកម្មវិធីជំនួយស្របច្បាប់ ជាពិសេស Shell Commands និង Hider ដើម្បីដំណើរការកូដដែលគ្មានការអនុញ្ញាត។ ខណៈពេលដែល Shell Commands ជួយសម្រួលដល់ការប្រតិបត្តិ Hider លាក់ធាតុចំណុចប្រទាក់ដូចជារបារស្ថានភាព និងគន្លឹះ ដែលកាត់បន្ថយលទ្ធភាពនៃការរកឃើញ។ ការវាយប្រហារនេះពឹងផ្អែកទាំងស្រុងលើការបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យបើកការធ្វើសមកាលកម្មកម្មវិធីជំនួយ ដោយហេតុនេះរំលងការការពារដែលភ្ជាប់មកជាមួយ។

ការគេចវេសដោយការរចនា៖ រស់នៅដោយអនុលោមតាមលក្ខណៈពិសេសស្របច្បាប់

យុទ្ធនាការនេះលេចធ្លោដោយសារការរំលោភបំពានជាយុទ្ធសាស្ត្ររបស់ខ្លួនលើមុខងារកម្មវិធីដែលគួរឱ្យទុកចិត្តជាជាងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរបស់កម្មវិធី។ លក្ខណៈសំខាន់ៗរួមមាន៖

• បន្ទុកផ្ទុកមេរោគត្រូវបានបង្កប់នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ JSON ដែលធ្វើឱ្យពួកវាមិនសូវបង្កឱ្យមានការរកឃើញកំចាត់មេរោគបែបប្រពៃណី។
• ការប្រតិបត្តិត្រូវបានអនុវត្តតាមរយៈកម្មវិធីដែលមានមូលដ្ឋានលើអេឡិចត្រុងដែលបានចុះហត្ថលេខា ដែលធ្វើឱ្យការរកឃើញដែលមានមូលដ្ឋានលើដំណើរការមេមានភាពស្មុគស្មាញ។
• ភាពស្ថិតស្ថេរ និងការប្រតិបត្តិពាក្យបញ្ជាពឹងផ្អែកទាំងស្រុងលើយន្តការកម្មវិធីជំនួយស្របច្បាប់នៅក្នុងកម្មវិធី។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគ Windows៖ ពី Loader ទៅ Backdoor ដែលស្ថិតនៅក្នុង Memory-Resident

នៅលើប្រព័ន្ធ Windows ការវាយប្រហារនេះចាប់ផ្តើមខ្សែសង្វាក់ប្រតិបត្តិដែលមានមូលដ្ឋានលើ PowerShell ដែលដាក់ពង្រាយកម្មវិធីផ្ទុកកម្រិតមធ្យមមួយដែលមានឈ្មោះថា PHANTOMPULL។ កម្មវិធីផ្ទុកនេះឌិគ្រីប និងដាក់ឱ្យដំណើរការ PHANTOMPULSE ដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ដោយជៀសវាងការរកឃើញដែលមានមូលដ្ឋានលើថាស។

PHANTOMPULSE បញ្ចូលដំណោះស្រាយ Command-and-Control (C2) ដែលមានមូលដ្ឋានលើ blockchain ដោយការសាកសួរបណ្តាញ Ethereum។ វាទាញយកប្រតិបត្តិការចុងក្រោយបំផុតដែលភ្ជាប់ទៅនឹងអាសយដ្ឋានកាបូបដែលបានអ៊ិនកូដយ៉ាងរឹងមាំ ដើម្បីកំណត់ម៉ាស៊ីនមេ C2 របស់វាដោយថាមវន្ត។ ការទំនាក់ទំនងត្រូវបានធ្វើឡើងតាមរយៈ WinHTTP ដែលអាចឱ្យមានការលួចទិន្នន័យ ការទាញយកពាក្យបញ្ជា និងការរាយការណ៍ប្រតិបត្តិការ។

មេរោគ​នេះ​គាំទ្រ​សមត្ថភាព​បញ្ជា​ពីចម្ងាយ​ជាច្រើន​ប្រភេទ៖

• ចាក់៖ ចាក់បញ្ចូល shellcode, DLLs ឬឯកសារដែលអាចប្រតិបត្តិបានទៅក្នុងដំណើរការ
• ទម្លាក់៖ សរសេរ និងប្រតិបត្តិឯកសារនៅលើថាស
• រូបថតអេក្រង់៖ ចាប់យក និងផ្ទុកឡើងទិន្នន័យអេក្រង់
• keylog: បើក ឬបិទការកត់ត្រាការវាយអក្សរ
• លុបការដំឡើង៖ លុបយន្តការរក្សាភាពស្ថិតស្ថេរ និងសម្អាតវត្ថុបុរាណ
• elevate: បង្កើនសិទ្ធិទៅ SYSTEM ដោយប្រើ COM elevation
• downgrade: កាត់បន្ថយសិទ្ធិពីកម្រិត SYSTEM ទៅកម្រិតអ្នកគ្រប់គ្រង

វ៉ារ្យ៉ង់ macOS៖ ការបិទបាំង និងហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលអាចបត់បែនបាន

នៅលើ macOS ការវាយប្រហារនេះទាញយកអត្ថប្រយោជន៍ពី AppleScript ដែលត្រូវបានបញ្ជូនតាមរយៈយន្តការកម្មវិធីជំនួយដូចគ្នា។ ស្គ្រីបនេះធ្វើវដ្តតាមរយៈបញ្ជីដែនដែលបានកំណត់ជាមុន ហើយប្រើ Telegram ជាឧបករណ៍ដោះស្រាយ dead-drop បម្រុងសម្រាប់ការរកឃើញ C2។ ការរចនានេះអាចឱ្យមានការបង្វិលហេដ្ឋារចនាសម្ព័ន្ធយ៉ាងឆាប់រហ័ស ដែលធ្វើឱ្យយុទ្ធសាស្ត្ររារាំងដែនបែបប្រពៃណីគ្មានប្រសិទ្ធភាព។

ដំណាក់កាលចុងក្រោយពាក់ព័ន្ធនឹងការទាញយក និងការប្រតិបត្តិ payload បន្ទាប់បន្សំតាមរយៈ osascript។ ទោះជាយ៉ាងណាក៏ដោយ ដោយសារតែម៉ាស៊ីនមេ C2 អសកម្មនៅពេលវិភាគ សមត្ថភាពពេញលេញនៃ payload នេះនៅតែមិនទាន់ត្រូវបានកំណត់។

លទ្ធផលនៃការវាយប្រហារ និងផលវិបាកជាយុទ្ធសាស្ត្រ

ការឈ្លានពានដែលសង្កេតឃើញនៅទីបំផុតមិនបានជោគជ័យទេ ដោយសារវិធានការការពារបានរកឃើញ និងរារាំងការវាយប្រហារមុនពេលគោលបំណងត្រូវបានសម្រេច។ យ៉ាងណាក៏ដោយ REF6598 បង្ហាញពីការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងវិធីសាស្រ្តរបស់ភ្នាក់ងារគំរាមកំហែង។

តាមរយៈការកេងប្រវ័ញ្ចកម្មវិធីដែលគួរឱ្យទុកចិត្ត និងពឹងផ្អែកលើការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធដែលជំរុញដោយអ្នកប្រើប្រាស់ សត្រូវអាចរំលងការគ្រប់គ្រងសុវត្ថិភាពធម្មតាបានយ៉ាងមានប្រសិទ្ធភាព។ វិធីសាស្រ្តនេះគូសបញ្ជាក់ពីនិន្នាការកំពុងកើនឡើង៖ ការប្រើប្រាស់មុខងារកម្មវិធីស្របច្បាប់ជាអាវុធជាបណ្តាញប្រតិបត្តិសម្ងាត់ ដោយសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់ការយល់ដឹងរបស់អ្នកប្រើប្រាស់ និងការត្រួតពិនិត្យអាកប្បកិរិយាកាន់តែខ្ពស់នៅក្នុងការការពារសន្តិសុខតាមអ៊ីនធឺណិត។