សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ វ៉ារ្យ៉ង់ JavaScript របស់ PicassoLoader

វ៉ារ្យ៉ង់ JavaScript របស់ PicassoLoader

ដោយ Mezo ក្នុង មេរោគ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

ក្រុមគំរាមកំហែងដែលគេស្គាល់ថា Ghostwriter ត្រូវបានផ្សារភ្ជាប់ទៅនឹងរលកថ្មីនៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលកំណត់គោលដៅលើអង្គការរដ្ឋាភិបាលនៅក្នុងប្រទេសអ៊ុយក្រែន។ ក្រុមនេះសកម្មតាំងពីយ៉ាងហោចណាស់ឆ្នាំ ២០១៦ ហើយបានកសាងកេរ្តិ៍ឈ្មោះសម្រាប់ការធ្វើចារកម្មតាមអ៊ីនធឺណិត និងយុទ្ធនាការជះឥទ្ធិពលនៅទូទាំងអឺរ៉ុបខាងកើត ដោយផ្តោតប្រតិបត្តិការយ៉ាងខ្លាំងលើអ៊ុយក្រែន និងរដ្ឋជិតខាង។

ភ្នាក់ងារគំរាមកំហែងនេះក៏ត្រូវបានតាមដានក្រោមឈ្មោះក្លែងក្លាយជាច្រើនផងដែរ រួមមាន FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 និង White Lynx។ ក្នុងរយៈពេលប៉ុន្មានឆ្នាំមកនេះ ក្រុមនេះបានកែលម្អហេដ្ឋារចនាសម្ព័ន្ធ ខ្សែសង្វាក់វាយប្រហារ និងវិធីសាស្ត្រគេចវេសរបស់ខ្លួនជាបន្តបន្ទាប់ ក្នុងកិច្ចខិតខំប្រឹងប្រែងដើម្បីរំលងការគ្រប់គ្រងសន្តិសុខ និងរក្សាប្រសិទ្ធភាពប្រតិបត្តិការរយៈពេលវែង។

ឃ្លាំងមេរោគដែលវិវឌ្ឍឥតឈប់ឈរ

Ghostwriter បានធ្វើទំនើបកម្មប្រព័ន្ធអេកូឡូស៊ីមេរោគ និងបច្ចេកទេសចែកចាយរបស់ខ្លួនជាប់លាប់។ យុទ្ធនាការមុនៗពឹងផ្អែកយ៉ាងខ្លាំងទៅលើក្រុមគ្រួសារមេរោគ PicassoLoader ដែលដំណើរការជាយន្តការចែកចាយសម្រាប់បន្ទុកបន្ថែមដូចជា Cobalt Strike Beacon និង njRAT។

នៅចុងឆ្នាំ ២០២៣ ក្រុមនេះបានពង្រីកសមត្ថភាពរបស់ខ្លួនដោយកេងប្រវ័ញ្ចចំណុចខ្សោយ WinRAR CVE-2023-38831 ដើម្បីចែកចាយ PicassoLoader និង Cobalt Strike។ នៅឆ្នាំបន្ទាប់ អង្គការប៉ូឡូញបានក្លាយជាគោលដៅនៃយុទ្ធនាការបន្លំដែលបានរំលោភបំពានចំណុចខ្សោយស្គ្រីបឆ្លងគេហទំព័រនៅក្នុង Roundcube ដែលត្រូវបានកំណត់ថាជា CVE-2024-42009។ សកម្មភាពព្យាបាទនេះបានអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិ JavaScript ដែលមានសមត្ថភាពប្រមូលព័ត៌មានសម្ងាត់អ៊ីមែលពីជនរងគ្រោះ។

គណនីដែលរងការលួចចូលត្រូវបានប្រើនៅពេលក្រោយដើម្បីត្រួតពិនិត្យខ្លឹមសារប្រអប់សំបុត្រ លួចបញ្ជីទំនាក់ទំនង និងចែកចាយសារបន្លំបន្ថែមក្នុងអំឡុងខែមិថុនា ឆ្នាំ២០២៥។ នៅចុងឆ្នាំ២០២៥ ក្រុមនេះក៏បានបញ្ចូលបច្ចេកទេសប្រឆាំងការវិភាគកម្រិតខ្ពស់ទៅក្នុងប្រតិបត្តិការរបស់ខ្លួនផងដែរ។ ឯកសារទាក់ទាញមួយចំនួនបានចាប់ផ្តើមប្រើប្រាស់ការផ្ទៀងផ្ទាត់ CAPTCHA ថាមវន្ត ដើម្បីធ្វើឱ្យខ្សែសង្វាក់នៃការឆ្លងមេរោគដែលមានគំនិតអាក្រក់សកម្ម និងធ្វើឱ្យបរិយាកាសវិភាគដោយស្វ័យប្រវត្តិមិនដំណើរការ។

យុទ្ធនាការ Spear-Phishing ដ៏ទំនើបផ្តោតលើប្រទេសអ៊ុយក្រែន

ចាប់តាំងពីខែមីនា ឆ្នាំ២០២៦ មក ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញយុទ្ធនាការថ្មីមួយដែលតម្រង់ទៅស្ថាប័នរដ្ឋាភិបាលអ៊ុយក្រែនតាមរយៈអ៊ីមែលបន្លំលួចយកទិន្នន័យដែលមានឯកសារភ្ជាប់ PDF ព្យាបាទ។ ឯកសារក្លែងក្លាយទាំងនេះក្លែងបន្លំជាអ្នកផ្តល់សេវាទូរគមនាគមន៍អ៊ុយក្រែន Ukrtelecom ក្នុងកិច្ចខិតខំប្រឹងប្រែងដើម្បីមើលទៅហាក់ដូចជាស្របច្បាប់ និងបង្កើនការចូលរួមរបស់ជនរងគ្រោះ។

ខ្សែសង្វាក់វាយប្រហារពឹងផ្អែកលើតំណភ្ជាប់ដែលបានបង្កប់នៅក្នុងឯកសារ PDF ដែលបញ្ជូនជនរងគ្រោះទៅកាន់បណ្ណសារ RAR ដែលមានមេរោគដែលមានមូលដ្ឋានលើ JavaScript។ នៅពេលដែលត្រូវបានប្រតិបត្តិ មេរោគនឹងបង្ហាញឯកសារក្លែងក្លាយដើម្បីរក្សាការបំភាន់នៃភាពស្របច្បាប់ ខណៈពេលដែលបើកដំណើរការ JavaScript របស់ PicassoLoader ដោយស្ងៀមស្ងាត់នៅផ្ទៃខាងក្រោយ។ បន្ទាប់មក loader ដាក់ពង្រាយ Cobalt Strike Beacon លើប្រព័ន្ធដែលរងការសម្របសម្រួល។

Geofencing និង Victim Validation បង្កើនការលាក់ខ្លួន

ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់បំផុតមួយនៃយុទ្ធនាការចុងក្រោយបំផុតគឺការអនុវត្ត geofencing និងយន្តការផ្ទៀងផ្ទាត់ជនរងគ្រោះជាស្រទាប់ៗ។ ប្រព័ន្ធដែលភ្ជាប់ពីអាសយដ្ឋាន IP នៅខាងក្រៅអ៊ុយក្រែនទទួលបានខ្លឹមសារ PDF ដែលគ្មានគ្រោះថ្នាក់ជំនួសឱ្យ payload ដែលមានគំនិតអាក្រក់ ដែលកាត់បន្ថយការប៉ះពាល់យ៉ាងខ្លាំងដល់អ្នកស្រាវជ្រាវ និងប្រព័ន្ធស្កេនដោយស្វ័យប្រវត្តិ។

មេរោគនេះក៏អនុវត្តការស្កេនស្នាមម្រាមដៃយ៉ាងទូលំទូលាយនៃម៉ាស៊ីនដែលរងការសម្របសម្រួលមុនពេលផ្តល់បន្ទុកបន្ថែម។ ព័ត៌មានប្រព័ន្ធដែលប្រមូលបានត្រូវបានបញ្ជូនទៅហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហាររៀងរាល់ដប់នាទីម្តង ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករកំណត់ដោយដៃថាតើជនរងគ្រោះត្រូវការការកេងប្រវ័ញ្ចបន្ថែមទៀតឬអត់។ មានតែបន្ទាប់ពីដំណើរការផ្ទៀងផ្ទាត់នេះត្រូវបានបញ្ចប់ប៉ុណ្ណោះ ទើបហេដ្ឋារចនាសម្ព័ន្ធផ្តល់ដំណក់ JavaScript ដំណាក់កាលទីបីដែលទទួលខុសត្រូវក្នុងការដំឡើង Cobalt Strike Beacon។

ប្រតិបត្តិការនេះរួមបញ្ចូលគ្នានូវវិធីសាស្ត្រច្រោះដោយស្វ័យប្រវត្តិ រួមទាំងការផ្ទៀងផ្ទាត់ភ្នាក់ងារអ្នកប្រើប្រាស់ និងការផ្ទៀងផ្ទាត់ផ្អែកលើ IP ជាមួយនឹងការពិនិត្យឡើងវិញដោយដៃរបស់ប្រតិបត្តិករ ដែលបង្ហាញពីវិធីសាស្ត្រវាយប្រហារដែលមានវិន័យខ្ពស់ និងចាស់ទុំ។

យុទ្ធសាស្ត្រកំណត់គោលដៅក្នុងតំបន់ពង្រីកនៅទូទាំងអឺរ៉ុបខាងកើត

សកម្មភាពបច្ចុប្បន្នហាក់ដូចជាផ្តោតជាចម្បងលើអង្គភាពយោធា ការពារជាតិ និងរដ្ឋាភិបាលនៅក្នុងប្រទេសអ៊ុយក្រែន។ ទោះជាយ៉ាងណាក៏ដោយ ប្រតិបត្តិការដែលសន្មតថាជារបស់ Ghostwriter នៅក្នុងប្រទេសប៉ូឡូញ និងលីទុយអានី បង្ហាញពីយុទ្ធសាស្ត្រកំណត់គោលដៅកាន់តែទូលំទូលាយ ដែលពង្រីកទៅក្នុងវិស័យសំខាន់ៗជាច្រើន៖

  • អង្គការឧស្សាហកម្ម និងផលិតកម្ម
  • ស្ថាប័នថែទាំសុខភាព និងឱសថស្ថាន
  • អ្នកផ្តល់សេវាដឹកជញ្ជូន
  • ភ្នាក់ងាររដ្ឋាភិបាល

ការវិវត្តជាបន្តបន្ទាប់នៃឧបករណ៍របស់ Ghostwriter យន្តការចែកចាយ និងការអនុវត្តសុវត្ថិភាពប្រតិបត្តិការ គូសបញ្ជាក់ពីភាពធន់ និងភាពបត់បែនរបស់ក្រុម។ សមត្ថភាពរបស់វាក្នុងការផ្សំឯកសារល្បួងផ្ទាល់ខ្លួន ការដឹកជញ្ជូនបន្ទុកជ្រើសរើស បច្ចេកទេសប្រឆាំងការវិភាគ និងការផ្ទៀងផ្ទាត់ជនរងគ្រោះដោយដៃ បង្ហាញពីសមត្ថភាពចារកម្មតាមអ៊ីនធឺណិតដ៏ទំនើប ដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញ ខណៈពេលដែលបង្កើនផលប៉ះពាល់ប្រតិបត្តិការឱ្យបានអតិបរមា។

និន្នាការ

Isafe-net.com

គេហទំព័រក្លែងក្លាយ
ការការពារឧបករណ៍ពីកម្មវិធីរំខាន និងមិនគួរឱ្យទុកចិត្តគឺមានសារៈសំខាន់សម្រាប់ការរក្សាភាពឯកជន សុវត្ថិភាព និងដំណើរការកម្មវិធីរុករកដែលមានស្ថេរភាព។ កម្មវិធីដែលអាចមិនចង់បាន (PUPs)...

ការជូនដំណឹងអំពីលទ្ធភាពនៃការផ្ញើអ៊ីមែល...

ការបន្លំ, សារឥតបានការ
អ៊ីមែលដែលមិននឹកស្មានដល់គួរតែត្រូវបានប្រុងប្រយ័ត្នជានិច្ច ជាពិសេសនៅពេលដែលវាបង្កើតអារម្មណ៍បន្ទាន់ ឬស្នើសុំព័ត៌មានរសើប។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតច្រើនតែក្លែងបន្លំសារបន្លំជាការជូនដំណឹងស្របច្បាប់ពីអ្នកផ្តល់សេវាដែលគួរឱ្យទុកចិត្ត ក្នុងការប៉ុនប៉ងបញ្ឆោតអ្នកទទួលឱ្យបង្ហាញទិន្នន័យផ្ទាល់ខ្លួន។ អ៊ីមែលដែលហៅថា 'ការជូនដំណឹងអំពីលទ្ធភាពទទួលបានអ៊ីមែល' គឺជាឧទាហរណ៍ច្បាស់លាស់នៃយុទ្ធសាស្ត្រនេះ។...

មើលច្រើនបំផុត

Eporner.com

បញ្ហា
21,107
អ៊ីនធឺណិត​ជា​កន្លែង​ដ៏​ធំ​មួយ​ដែល​ពោរពេញ​ទៅ​ដោយ​មាតិកា​ដែល​មាន​ប្រយោជន៍ ការ​កម្សាន្ត និង​ព័ត៌មាន ប៉ុន្តែ​វា​ក៏​មាន​ជ្រុង​ងងឹត​ដែរ។ មិនថាអ្នកកំពុងចាក់ផ្សាយកម្មវិធី ទាញយកកម្មវិធី...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
21,046
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...