មេរោគ PLAYFULGHOST
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណការគំរាមកំហែងដែលទើបនឹងកើតថ្មីដែលមានឈ្មោះថា PLAYFULGHOST ដែលជា backdoor បំពាក់ដោយមុខងារប្រមូលព័ត៌មានយ៉ាងទូលំទូលាយ។ នេះរួមបញ្ចូលការចាក់សោរ ការថតអេក្រង់ និងសំឡេង ការចូលប្រើសែលពីចម្ងាយ និងការផ្ទេរឯកសារ ឬសមត្ថភាពប្រតិបត្តិ។
តារាងមាតិកា
ការតភ្ជាប់ទៅ Gh0st RAT
PLAYFULGHOST បង្ហាញមុខងារស្រដៀងគ្នាជាមួយ Gh0st RAT ដែលជាឧបករណ៍គ្រប់គ្រងពីចម្ងាយដ៏ល្បីដែលអាចប្រើបានយ៉ាងទូលំទូលាយបន្ទាប់ពីកូដប្រភពរបស់វាត្រូវបានលេចធ្លាយក្នុងឆ្នាំ 2008។ នេះបង្ហាញថាតួអង្គគំរាមកំហែងនៅពីក្រោយ PLAYFULGHOST ប្រហែលជាបានបង្កើតឡើងនៅលើមូលដ្ឋានរបស់ឧបករណ៍ចាស់ ខណៈពេលដែលណែនាំការកែលម្អដើម្បីពង្រីក។ សមត្ថភាពរបស់វា។
វ៉ិចទ័រឆ្លងមេរោគដំបូង
តួអង្គគម្រាមកំហែងនៅពីក្រោយ PLAYFULGHOST ប្រើបច្ចេកទេសជាច្រើនដើម្បីទទួលបានការចូលប្រើដំបូងទៅកាន់ប្រព័ន្ធគោលដៅ។ ទាំងនេះរួមបញ្ចូលយុទ្ធនាការបន្លំដែលប្រើប្រាស់ប្រធានបទទាក់ទងនឹងក្រមសីលធម៌ និងយុទ្ធសាស្ត្របំពុល SEO ដើម្បីចែកចាយកំណែ Trojanized នៃកម្មវិធី VPN ស្របច្បាប់ដូចជា LetsVPN ជាដើម។
នៅក្នុងសេណារីយ៉ូនៃការវាយប្រហារដោយបន្លំ ជនរងគ្រោះត្រូវបានបោកបញ្ឆោតឱ្យបើកបណ្ណសារ RAR ដែលខូចដែលក្លែងបន្លំជាឯកសាររូបភាពដោយប្រើផ្នែកបន្ថែម '.jpg' ដែលបំភាន់។ នៅពេលស្រង់ចេញ និងប្រតិបត្តិ បណ្ណសារទម្លាក់ចោលនូវ Windows ដែលបង្កគ្រោះថ្នាក់ដែលអាចប្រតិបត្តិបាន ដែលបន្ទាប់មកទាញយក និងបើកដំណើរការ PLAYFULGHOST ពីម៉ាស៊ីនមេពីចម្ងាយ។
ម្យ៉ាងវិញទៀតការពុល SEO ត្រូវបានប្រើដើម្បីទាក់ទាញអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យឱ្យទាញយកកម្មវិធីដំឡើង LetsVPN ដែលត្រូវបានសម្របសម្រួល។ នៅពេលប្រតិបត្តិ កម្មវិធីដំឡើងនេះដាក់ពង្រាយបន្ទុកអន្តរការី ដែលទាញយក និងធ្វើឱ្យសមាសធាតុស្នូលរបស់ backdoor សកម្ម។
យុទ្ធសាស្ត្រគេចវេស និងប្រតិបត្តិកម្រិតខ្ពស់
PLAYFULGHOST ពឹងផ្អែកលើបច្ចេកទេសបំបាំងកាយផ្សេងៗ ដើម្បីរត់ចេញពីការរាវរក និងបង្កើតមូលដ្ឋានលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ទាំងនេះរួមមានការលួចមើលការបញ្ជាទិញ DLL និង DLL sideloading ដើម្បីណែនាំ DLL ដែលត្រូវបានសម្របសម្រួល ដែលបន្ទាប់មកឌិគ្រីប និងចាក់ backdoor ទៅក្នុងអង្គចងចាំ។
នៅក្នុងវិធីសាស្រ្តប្រតិបត្តិដ៏ឧឡារិក អ្នកស្រាវជ្រាវបានសង្កេតឃើញការប្រើប្រាស់ឯកសារផ្លូវកាត់វីនដូ ('QQLaunch.lnk') ដែលរួមបញ្ចូលគ្នានូវឯកសារបន្ថែមពីរ ('h' និង 't') ដើម្បីបង្កើត DLL បញ្ឆោតទាំងឡាយ។ DLL នេះត្រូវបានដាក់ចូលតាមរយៈកំណែប្តូរឈ្មោះនៃ 'curl.exe' ដែលធានាឱ្យមានការដាក់ពង្រាយសម្ងាត់នៃ backdoor ។
ការតស៊ូ និងការប្រមូលទិន្នន័យ
នៅពេលដំឡើងរួច PLAYFULGHOST បង្កើតការតស៊ូនៅលើប្រព័ន្ធមេរោគដោយប្រើបច្ចេកទេសជាច្រើន។ ទាំងនេះរួមបញ្ចូលការកែប្រែបញ្ជីឈ្មោះវីនដូ (ដំណើរការសោ) ការបង្កើតកិច្ចការដែលបានកំណត់ពេល បន្ថែមធាតុទៅថតចាប់ផ្ដើមវីនដូ និងការចុះឈ្មោះជាសេវាកម្មវីនដូ។
សមត្ថភាពរបស់ backdoor អនុញ្ញាតឱ្យវាប្រមូលព័ត៌មានរសើបជាច្រើន រួមទាំងការចុចគ្រាប់ចុច រូបថតអេក្រង់ ការថតសំឡេង ទិន្នន័យក្ដារតម្បៀតខ្ទាស់ ព័ត៌មានលម្អិតនៃកម្មវិធីសុវត្ថិភាពដែលបានដំឡើង ទិន្នន័យមេតានៃប្រព័ន្ធ និងព័ត៌មានសម្ងាត់គណនី QQ ។ លើសពីនេះ វាអាចប្រតិបត្តិពាក្យបញ្ជាដើម្បីរំខានអន្តរកម្មរបស់អ្នកប្រើប្រាស់ដោយការទប់ស្កាត់ការបញ្ចូលក្តារចុច និងកណ្តុរ រំខានដល់កំណត់ហេតុព្រឹត្តិការណ៍ និងការសម្អាតមាតិកាក្ដារតម្បៀតខ្ទាស់។
PLAYFULGHOST ក៏បង្ហាញសមត្ថភាពរៀបចំឯកសារផងដែរ ដោយធ្វើឱ្យវាអាចលុបឃ្លាំងសម្ងាត់កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងទម្រង់ពីកម្មវិធីដូចជា Sogou, QQ, 360 Safety, Firefox និង Google Chrome ។ វាអាចលុបទម្រង់បន្ថែម និងកន្លែងផ្ទុកក្នុងមូលដ្ឋានដែលពាក់ព័ន្ធនឹងវេទិកាផ្ញើសារដូចជា Skype, Telegram និង QQ។
ការដាក់ឱ្យប្រើប្រាស់ឧបករណ៍បន្ថែម
ទន្ទឹមនឹង PLAYFULGHOST តួអង្គគំរាមកំហែងត្រូវបានគេសង្កេតឃើញដាក់ពង្រាយឧបករណ៍បន្ថែមដើម្បីពង្រឹងការគ្រប់គ្រងរបស់ពួកគេលើប្រព័ន្ធដែលមានមេរោគ។ ក្នុងចំណោមនោះមាន Mimikatz ដែលជាឧបករណ៍បោះចោលព័ត៌មានសម្ងាត់ដ៏ល្បីល្បាញ និងជា rootkit ដែលត្រូវបានរចនាឡើងដើម្បីលាក់ការចុះបញ្ជី ឯកសារ និងដំណើរការជាក់លាក់។ លើសពីនេះ ឧបករណ៍ប្រើប្រាស់ប្រភពបើកចំហដែលហៅថា Terminator ត្រូវបានណែនាំដើម្បីបិទយន្តការសុវត្ថិភាពតាមរយៈបច្ចេកទេស Bring Your Own Vulnerable Driver (BYOVD)។
យ៉ាងហោចណាស់មានឧទាហរណ៍មួយ PLAYFULGHOST ត្រូវបានបង្កប់នៅក្នុង BOOSTWAVE ដែលជាឧបករណ៍ទម្លាក់ក្នុងអង្គចងចាំដែលមានមូលដ្ឋានលើសែលកូដ ដែលជួយសម្រួលដល់ការដាក់ពង្រាយបន្ទុកប្រតិបត្តិការចល័ត (PE) ដែលភ្ជាប់មកជាមួយ។
ប្រជាសាស្រ្តគោលដៅដែលអាចមាន
ការផ្តោតទៅលើកម្មវិធីដូចជា Sogou, QQ និង 360 Safety រួមជាមួយនឹងការប្រើប្រាស់ LetsVPN ជាការទាក់ទាញ បង្ហាញថាយុទ្ធនាការនេះមានគោលបំណងចម្បងទៅលើអ្នកប្រើប្រាស់ Windows ដែលនិយាយភាសាចិន។ ទោះជាយ៉ាងណាក៏ដោយ សមត្ថភាពកម្រិតខ្ពស់របស់ PLAYFULGHOST បង្ហាញពីសក្តានុពលដ៏ទូលំទូលាយសម្រាប់ការកេងប្រវ័ញ្ចលើសពីប្រជាសាស្រ្តជាក់លាក់នេះ។
