មេរោគ PikaBot

ក្រុមអ្នកស្រាវជ្រាវ Infosec បានរកឃើញយុទ្ធនាការបន្លំដ៏ទំនើបមួយដែលរួមបញ្ចូលមេរោគ PikaBot ដោយសម្គាល់ថាវាជាប្រតិបត្តិការបន្លំកម្រិតខ្ពស់បំផុតចាប់តាំងពីការរុះរើប្រតិបត្តិការ Qakbot មក។ យុទ្ធនាការអ៊ីមែលក្លែងបន្លំនេះបានចាប់ផ្តើមនៅក្នុងខែកញ្ញា ឆ្នាំ 2023 បន្ទាប់ពី FBI បានរឹបអូស និងបិទហេដ្ឋារចនាសម្ព័ន្ធរបស់ QBot (Qakbot) ដោយជោគជ័យ។

យោងតាមក្រុមអ្នកស្រាវជ្រាវ មុនពេល PikaBot យុទ្ធនាការវាយប្រហារបានប្រើប្រាស់ជាចម្បងនូវការគំរាមកំហែងហៅថា Dark Gate ។ ល្បិច និងបច្ចេកទេសដែលប្រើប្រាស់ដោយអ្នកវាយប្រហារ ឆ្លុះបញ្ចាំងយ៉ាងជិតស្និទ្ធនូវអ្វីដែលបានឃើញនៅក្នុងយុទ្ធនាការ Qakbot ពីមុន ដែលបង្ហាញពីការផ្លាស់ប្តូរនៃអ្នកគំរាមកំហែង Qbot ទៅជាមេរោគ botnets ថ្មី។

Qbot ស្ថិតក្នុងចំណោមមេរោគដែលរីករាលដាលបំផុតដែលត្រូវបានផ្សព្វផ្សាយតាមរយៈអ៊ីមែល។ ឥឡូវនេះ DarkGate និង PikaBot ដែលចែករំលែកមុខងារជាច្រើនជាមួយ Qbot ជាអ្នកផ្ទុកមេរោគម៉ូឌុល បង្ហាញពីការគំរាមកំហែងយ៉ាងសំខាន់ដល់សហគ្រាស។ ស្រដៀងទៅនឹង Qbot ដែរ កម្មវិធីផ្ទុកមេរោគថ្មីទាំងនេះ ត្រូវបានគេរំពឹងថា នឹងត្រូវបានជួលដោយអ្នកគំរាមកំហែង ដើម្បីទទួលបានការចូលដំណើរការដំបូងទៅកាន់បណ្តាញ ដែលអាចនាំឱ្យមាន ransomware ចារកម្ម និងការវាយប្រហារលួចទិន្នន័យ។

PikaBot ត្រូវបានបញ្ជូនតាមរយៈការវាយប្រហារ Phishing

អ្នកស្រាវជ្រាវ Infosec បានសង្កេតឃើញការកើនឡើងយ៉ាងខ្លាំងនៃអ៊ីមែលដែលទាក់ទងនឹងការក្លែងបន្លំដែលផ្សព្វផ្សាយមេរោគ DarkGate ដោយមានអ្នកគំរាមកំហែងប្តូរទៅប្រើប្រាស់ PikaBot ជាបន្ទុកចម្បងដែលចាប់ផ្តើមនៅខែតុលា ឆ្នាំ 2023។ យុទ្ធនាការបន្លំចាប់ផ្តើមជាមួយនឹងអ៊ីមែលដែលលាក់បាំងជាការឆ្លើយតប ឬបញ្ជូនបន្តការពិភាក្សាដែលលួចលាក់។ ខ្សែស្រលាយ ដែលជាយុទ្ធសាស្ត្រមួយក្នុងគោលបំណងពង្រឹងទំនុកចិត្តក្នុងចំណោមអ្នកទទួល។

នៅពេលចុចលើ URL ដែលបានបង្កប់ អ្នកប្រើប្រាស់ឆ្លងកាត់ការត្រួតពិនិត្យជាបន្តបន្ទាប់ដើម្បីបញ្ជាក់សុពលភាពរបស់ពួកគេជាគោលដៅ បន្ទាប់មកត្រូវបានជំរុញឱ្យទាញយកបណ្ណសារហ្ស៊ីបដែលផ្ទុកមេរោគ។ ឧបករណ៍ទម្លាក់នេះទាញយកបន្ទុកចុងក្រោយពីធនធានពីចម្ងាយ។

អ្នកវាយប្រហារបានពិសោធជាមួយកម្មវិធីទម្លាក់មេរោគដំបូងផ្សេងៗ ដើម្បីកំណត់ប្រសិទ្ធភាព រួមទាំង៖

• JavaScript dropper (JS Dropper) ត្រូវបានរចនាឡើងសម្រាប់ការទាញយក និងដំណើរការ PEs ឬ DLLs។
• កម្មវិធីទាញយក Excel-DNA ដែលប្រើប្រាស់គម្រោងប្រភពបើកចំហដែលមានបំណងសម្រាប់ការបង្កើតឯកសារ XLL ទាញយកប្រយោជន៍នៅទីនេះសម្រាប់ការទាញយក និងដំណើរការមេរោគ។
• កម្មវិធីទាញយក VBS (Virtual Basic Script) ដែលមានសមត្ថភាពប្រតិបត្តិមេរោគតាមរយៈឯកសារ .vbs នៅក្នុងឯកសារ Microsoft Office ឬហៅពាក្យបញ្ជាដែលអាចប្រតិបត្តិបាន។
• កម្មវិធីទាញយក LNK ដែលប្រើឯកសារផ្លូវកាត់របស់ Microsoft (.lnk) ខុសដើម្បីទាញយក និងប្រតិបត្តិមេរោគ។

ពេញមួយខែកញ្ញា ឆ្នាំ 2023 មេរោគ DarkGate បានបម្រើការជាបន្ទុកចុងក្រោយនៅក្នុងការវាយប្រហារទាំងនេះ ប៉ុន្តែវាត្រូវបានជំនួសជាបន្តបន្ទាប់ដោយ PikaBot នៅខែតុលា ឆ្នាំ 2023។

PikaBot មានវិធានការប្រឆាំងការវិភាគយ៉ាងទូលំទូលាយ

ត្រូវបានណែនាំនៅដើមឆ្នាំ 2023 PikaBot គឺជាមេរោគសហសម័យដែលមានកម្មវិធីផ្ទុកទិន្នន័យ និងម៉ូឌុលស្នូល ដែលបំពាក់ដោយយន្តការប្រឆាំងការបំបាត់កំហុស ប្រឆាំង VM និងប្រឆាំងការត្រាប់តាមដ៏រឹងមាំ។ មេរោគនេះកំណត់ទម្រង់ប្រព័ន្ធដែលបានឆ្លងមេរោគយ៉ាងល្អិតល្អន់ និងបញ្ជូនទិន្នន័យដែលបានប្រមូលផ្តុំទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធនៃពាក្យបញ្ជា និងការគ្រប់គ្រង (C2) របស់វា ដែលជាកន្លែងដែលវារង់ចាំការណែនាំបន្ថែម។

C2 ចេញបញ្ជាណែនាំមេរោគឱ្យទាញយក និងប្រតិបត្តិម៉ូឌុលដែលមានក្នុងទម្រង់ជាឯកសារ DLL ឬ PE, shellcode ឬ command-line commands ដែលបង្ហាញពីភាពបត់បែនរបស់វាជាឧបករណ៍។

អ្នកស្រាវជ្រាវបានព្រមានថាយុទ្ធនាការ PikaBot និង DarkGate ត្រូវបានរៀបចំឡើងដោយតួអង្គគម្រាមកំហែងដ៏ជំនាញដែលមានជំនាញលើសពីអ្នកបោកប្រាស់ធម្មតា។ អាស្រ័យហេតុនេះ អង្គការនានាត្រូវបានជំរុញឱ្យស្គាល់ខ្លួនឯងជាមួយនឹងយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី (TTPs) ដែលទាក់ទងជាមួយយុទ្ធនាការនេះ។