មេរោគ PicassoLoader
អ្នកជំនាញ Infosec បានកំណត់អត្តសញ្ញាណជាបន្តបន្ទាប់នៃយុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណិតប្រឆាំងនឹងគោលដៅនៅអ៊ុយក្រែន និងប៉ូឡូញ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតគឺផ្តោតលើការសម្របសម្រួលអង្គភាពរដ្ឋាភិបាល អង្គការយោធា និងអ្នកប្រើប្រាស់ស៊ីវិល។ យុទ្ធនាការទាំងនេះមានគោលបំណងដើម្បីទទួលបានទិន្នន័យរសើបដោយខុសច្បាប់ និងបង្កើតការចូលប្រើប្រាស់ពីចម្ងាយជាបន្តបន្ទាប់ទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ក្នុងរយៈពេលពីខែមេសា ឆ្នាំ 2022 ដល់ខែកក្កដា ឆ្នាំ 2023 យុទ្ធនាការឈ្លានពាននេះប្រើប្រាស់យុទ្ធសាស្ត្រផ្សេងៗ។ ឯកសារបោកបញ្ឆោត និងឯកសារបោកបញ្ឆោតត្រូវបានប្រើប្រាស់ដើម្បីបញ្ឆោតជនរងគ្រោះ និងសម្រួលដល់ការដាក់ពង្រាយមេរោគកម្មវិធីទាញយកដែលគេស្គាល់ថាជា PicassoLoader ។ កម្មវិធីគំរាមកំហែងនេះបម្រើជាច្រកមួយដើម្បីបើកដំណើរការឧបករណ៍ដែលមិនមានសុវត្ថិភាពផ្សេងទៀត ជាពិសេសគឺ Cobalt Strike Beacon និង njRAT ។
ការបោកបញ្ឆោតគឺជាបច្ចេកទេសបោកបញ្ឆោតដែលប្រើដើម្បីបញ្ឆោតបុគ្គលឱ្យបង្ហាញព័ត៌មានរសើប ដូចជាឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ ឬព័ត៌មានសម្ងាត់គណនី។ ឯកសារ Decoy គឺជាឯកសារក្លែងបន្លំដែលត្រូវបានរចនាឡើងដើម្បីឱ្យមើលទៅស្របច្បាប់ ប៉ុន្តែតាមពិតមានផ្ទុកបន្ទុកដែលមិនមានសុវត្ថិភាព។ ដោយការទាក់ទាញជនរងគ្រោះឱ្យធ្វើអន្តរកម្មជាមួយឯកសារបញ្ឆោតទាំងនេះ អ្នកវាយប្រហារអាចប្រតិបត្តិកម្មវិធីទាញយក PicassoLoader នៅលើប្រព័ន្ធរបស់ពួកគេ។
នៅពេលដែល PicassoLoader ត្រូវបានដាក់ពង្រាយដោយជោគជ័យ វាដើរតួជាបំពង់សម្រាប់ដំណាក់កាលបន្ទាប់នៃការវាយប្រហារ។ វាបើកដំណើរការដំឡើង និងប្រតិបត្តិនៃមេរោគពីរប្រភេទបន្ថែមទៀត៖ Cobalt Strike Beacon និង njRAT ។ Cobalt Strike Beacon គឺជាឧបករណ៍សាកល្បងការជ្រៀតចូលដ៏ស្មុគ្រស្មាញដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិចូលប្រើប្រាស់ និងការគ្រប់គ្រងដោយគ្មានការអនុញ្ញាតលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ សម្រាប់ njRAT វាគឺជា Trojan ដែលអាចចូលប្រើពីចម្ងាយ ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលប្រើពីចម្ងាយដែលគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធមេរោគ ដែលអនុញ្ញាតឱ្យពួកគេធ្វើសកម្មភាពព្យាបាទដោយមិនបានរកឃើញ។
តារាងមាតិកា
មេរោគ PicassoLoader ត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាផ្នែកនៃខ្សែសង្វាក់ឆ្លងមេរោគច្រើនដំណាក់កាល
អ្នកវាយប្រហារនៅពីក្រោយ PicassoLoader បានប្រើប្រាស់ខ្សែសង្វាក់ឆ្លងមេរោគច្រើនដំណាក់កាល ដើម្បីអនុវត្តសកម្មភាពបង្កគ្រោះថ្នាក់របស់ពួកគេ។ ដំណាក់កាលដំបូងពាក់ព័ន្ធនឹងការប្រើប្រាស់ឯកសារ Microsoft Office ដែលត្រូវបានសម្របសម្រួលជាមួយនឹងទម្រង់ឯកសារ Microsoft Excel និង PowerPoint ត្រូវបានគេប្រើប្រាស់ជាទូទៅបំផុត។ ឯកសារទាំងនេះបម្រើជាចំណុចចាប់ផ្តើមសម្រាប់ការវាយប្រហារ។
អនុវត្តតាមឯកសារ Office កម្មវិធីទាញយកដែលអាចប្រតិបត្តិបាន និងបន្ទុកត្រូវបានលាក់នៅក្នុងឯកសាររូបភាព។ យុទ្ធសាស្ត្រនេះទំនងជាត្រូវបានប្រើប្រាស់ដើម្បីធ្វើឱ្យការរកឃើញកម្មវិធីទាញយក និងបន្ទុកកាន់តែពិបាកសម្រាប់ប្រព័ន្ធសុវត្ថិភាព។ តាមរយៈការលាក់នៅក្នុងឯកសាររូបភាព អ្នកវាយប្រហារមានគោលបំណងរំលងវិធានការសុវត្ថិភាព និងបង្កើនឱកាសនៃការជ្រៀតចូលដោយជោគជ័យ។
ការវាយប្រហារទាំងនេះមួយចំនួនត្រូវបានសន្មតថាជាតួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា GhostWriter ដែលត្រូវបានតាមដានផងដែរថា UAC-0057 ឬ UNC1151។ ការលើកទឹកចិត្ត និងគោលបំណងរបស់ GhostWriter ត្រូវបានគេជឿថាស្របនឹងផលប្រយោជន៍របស់រដ្ឋាភិបាលបេឡារុស្ស។
ការវាយប្រហារតាមគោលដៅជាច្រើនប្រឆាំងនឹងអ៊ុយក្រែនបានក្លាយជាការសង្កេត
គួរបញ្ជាក់ផងដែរថា សំណុំរងនៃការវាយប្រហារទាំងនេះត្រូវបានចងក្រងជាឯកសាររួចហើយកាលពីឆ្នាំមុន ដោយក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័រ (CERT-UA) របស់ប្រទេសអ៊ុយក្រែន។ ឧទាហរណ៍ដ៏គួរឱ្យកត់សម្គាល់មួយបានកើតឡើងនៅក្នុងខែកក្កដា ឆ្នាំ 2022 ដែលឯកសារ PowerPoint ដែលផ្ទុកដោយម៉ាក្រូត្រូវបានប្រើប្រាស់ដើម្បីចែកចាយមេរោគ Agent Tesla malware ។ ឧប្បត្តិហេតុនេះបានគូសបញ្ជាក់ពីការប្រើប្រាស់ម៉ាក្រូជាមធ្យោបាយចែកចាយមេរោគ និងសម្របសម្រួលប្រព័ន្ធជនរងគ្រោះ។
ខ្សែសង្វាក់ឆ្លងដែលប្រើក្នុងការវាយប្រហារទាំងនេះពឹងផ្អែកលើវិធីសាស្ត្រវិស្វកម្មសង្គមដើម្បីបញ្ចុះបញ្ចូលជនរងគ្រោះឱ្យបើកម៉ាក្រូនៅក្នុងឯកសារការិយាល័យ។ នៅពេលដែលម៉ាក្រូត្រូវបានបើក ម៉ាក្រូ VBA ត្រូវបានកេះ ដែលនាំទៅដល់ការដាក់ពង្រាយការគំរាមកំហែងកម្មវិធីទាញយក PicassoLoader DLL ។ បន្ទាប់មក កម្មវិធីទាញយកនេះបង្កើតការតភ្ជាប់ជាមួយគេហទំព័រដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដើម្បីទាញយក payload ដំណាក់កាលបន្ទាប់ ដែលត្រូវបានបង្កប់នៅក្នុងឯកសាររូបភាពដែលហាក់ដូចជាស្របច្បាប់។ មេរោគចុងក្រោយត្រូវបានលាក់នៅក្នុងឯកសាររូបភាពនេះ។
ការបង្ហាញថ្មីៗទាំងនេះដោយ CERT-UA ស្របពេលជាមួយនឹងការរាយការណ៍របស់ពួកគេលើប្រតិបត្តិការបន្លំជាច្រើនដែលចែកចាយមេរោគ SmokeLoader ។ លើសពីនេះ ការវាយប្រហារដោយញញឹមត្រូវបានគេកំណត់អត្តសញ្ញាណ ដោយកំណត់គោលដៅអ្នកប្រើប្រាស់ Telegram ជាមួយនឹងគោលបំណងដើម្បីទទួលបានការគ្រប់គ្រងដោយគ្មានការអនុញ្ញាតលើគណនីរបស់ពួកគេ។
GhostWriter គឺគ្រាន់តែជាក្រុមមួយក្នុងចំណោមក្រុមឧក្រិដ្ឋកម្មអ៊ីនធឺណិតដែលកំណត់គោលដៅអ៊ុយក្រែន
អ៊ុយក្រែនបានក្លាយជាគោលដៅសម្រាប់អ្នកបង្កការគំរាមកំហែងជាច្រើន រួមទាំងក្រុមរដ្ឋដ៏ល្បីរបស់រុស្ស៊ី APT28 ។ APT28 ត្រូវបានគេសង្កេតឃើញប្រើល្បិចនៃការផ្ញើអ៊ីមែលបន្លំជាមួយឯកសារភ្ជាប់ HTML ដោយបញ្ឆោតអ្នកទទួលឱ្យជឿថាមានសកម្មភាពគួរឱ្យសង្ស័យនៅក្នុង UKR.NET និង Yahoo! គណនី។ អ៊ីមែលជំរុញឱ្យអ្នកប្រើប្រាស់ផ្លាស់ប្តូរពាក្យសម្ងាត់របស់ពួកគេ ប៉ុន្តែផ្ទុយទៅវិញ នាំពួកគេទៅកាន់ទំព័រចុះចតក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានសម្ងាត់នៃការចូលរបស់ពួកគេ។
ការអភិវឌ្ឍន៍នាពេលថ្មីៗនេះគឺជាផ្នែកមួយនៃគំរូទូលំទូលាយដែលត្រូវបានសង្កេតឃើញនៅក្នុងសកម្មភាពរបស់ពួក Hacker ពាក់ព័ន្ធការស៊ើបការណ៍យោធារុស្ស៊ី (GRU) ។ ពួកគេបានទទួលយក 'សៀវភៅស្ដង់ដារប្រាំដំណាក់កាល' នៅក្នុងប្រតិបត្តិការរំខានរបស់ពួកគេប្រឆាំងនឹងអ៊ុយក្រែន ដោយបង្ហាញពីការខិតខំប្រឹងប្រែងដោយចេតនាដើម្បីបង្កើនល្បឿន មាត្រដ្ឋាន និងអាំងតង់ស៊ីតេនៃការវាយប្រហាររបស់ពួកគេ។
