ការបញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
Threat Database Malware មេរោគ PowerDrop

មេរោគ PowerDrop

ដោយ Mezo ក្នុង Malware
បកប្រែទៅ៖
ភាសាខ្មែរ

ឧស្សាហកម្មអវកាសរបស់សហរដ្ឋអាមេរិកបានក្លាយជាគោលដៅនៃតួអង្គអាក្រក់ដែលមិនស្គាល់អត្តសញ្ញាណដោយប្រើមេរោគដែលបានរកឃើញថ្មីដែលមានមូលដ្ឋានលើ PowerShell ដែលត្រូវបានគេស្គាល់ថាជា PowerDrop ។ របាយការណ៍របស់អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបង្ហាញថា PowerDrop ប្រើប្រាស់វិធីសាស្ត្រទំនើបដើម្បីជៀសវាងការរកឃើញ រួមទាំងការបោកបញ្ឆោត ការអ៊ិនកូដ និងការអ៊ិនគ្រីប។ នៅខែឧសភា ឆ្នាំ 2023 មេរោគនេះត្រូវបានរកឃើញបង្កប់នៅក្នុងប្រព័ន្ធរបស់អ្នកចុះកិច្ចសន្យាការពារដែនអាកាសអាមេរិកដែលមិនបានបង្ហាញឱ្យឃើញ។

មុខងារគម្រាមកំហែងរបស់ PowerDrop ហួសពីការចូលប្រើដំបូង និងអនុញ្ញាតឱ្យការគំរាមកំហែងបម្រើជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ច។ នេះមានន័យថានៅពេលដែលអ្នកវាយប្រហារទទួលបានចូលទៅក្នុងបណ្តាញរបស់ជនរងគ្រោះតាមរយៈវិធីសាស្ត្រជំនួស PowerDrop ត្រូវបានដាក់ពង្រាយដើម្បីប្រមូលព័ត៌មានដ៏មានតម្លៃពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ គោលបំណងចម្បងរបស់វាគឺដើម្បីទាញយកទិន្នន័យរសើប និងធ្វើការឃ្លាំមើលនៅក្នុងបណ្តាញរបស់ជនរងគ្រោះ។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែងត្រូវបានចេញផ្សាយដោយអ្នកជំនាញ infosec នៅ Adlumin ។

មេរោគ PowerDrop ទាញយកអត្ថប្រយោជន៍នៃដំណើរការ និងប្រព័ន្ធស្របច្បាប់

មេរោគនេះប្រើប្រាស់កម្មវិធី Internet Control Message Protocol (ICMP) echo ស្នើសុំសារជាមធ្យោបាយមួយដើម្បីបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2)។ នេះអនុញ្ញាតឱ្យមេរោគចាប់ផ្តើមប្រតិបត្តិការព្យាបាទរបស់វា។

នៅពេលទទួលបានសារស្នើសុំអេកូ ICMP ម៉ាស៊ីនមេ C2 ឆ្លើយតបជាមួយនឹងពាក្យបញ្ជាដែលបានអ៊ិនគ្រីប ដែលបន្ទាប់មកត្រូវបានឌិកូដ និងប្រតិបត្តិលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ ដើម្បីទាញយកលទ្ធផលនៃការណែនាំដែលបានប្រតិបត្តិ សារ ICMP ping ស្រដៀងគ្នាត្រូវបានប្រើប្រាស់។

គួរកត់សម្គាល់ថាការប្រតិបត្តិពាក្យបញ្ជា PowerShell ត្រូវបានសម្របសម្រួលតាមរយៈការប្រើប្រាស់សេវាកម្ម Windows Management Instrumentation (WMI) ។ ជម្រើសនេះបង្ហាញពីការប្រើចេតនារបស់សត្រូវចំពោះយុទ្ធសាស្ត្ររស់នៅក្រៅដី គោលបំណងដើម្បីគេចពីការរកឃើញដោយប្រើប្រាស់ដំណើរការប្រព័ន្ធស្របច្បាប់។

ទោះបីជារចនាសម្ព័ន្ធស្នូលនៃការគំរាមកំហែងនេះប្រហែលជាមិនមានការរចនាដ៏ស្មុគស្មាញក៏ដោយ សមត្ថភាពរបស់វាក្នុងការបិទបាំងសកម្មភាពគួរឱ្យសង្ស័យ និងគេចពីការរកឃើញដោយការការពារសុវត្ថិភាពចុងក្រោយបង្ហាញពីការចូលរួមរបស់តួអង្គគំរាមកំហែងកាន់តែស្មុគ្រស្មាញ។

តួអង្គគំរាមកំហែងប្រើវិធីជាច្រើនដើម្បីរំលោភលើបណ្តាញបុគ្គល និងសាជីវកម្ម

តួអង្គគំរាមកំហែងប្រើប្រាស់វិធីសាស្រ្ត និងបច្ចេកទេសផ្សេងៗដើម្បីជ្រៀតចូលប្រព័ន្ធសាជីវកម្ម ទាញយកភាពងាយរងគ្រោះ និងភាពទន់ខ្សោយនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសន្តិសុខរបស់អង្គការ។ បច្ចេកទេសជ្រៀតចូលទាំងនេះអាចមានភាពចម្រុះ និងស្មុគ្រស្មាញ ដែលមានបំណងឆ្លងកាត់ការការពារ និងទទួលបានព័ត៌មានរសើបដោយគ្មានការអនុញ្ញាត។ វិធីសាស្រ្តទូទៅមួយចំនួនរួមមាន:

  • ការបន្លំ និងវិស្វកម្មសង្គម៖ តួអង្គគំរាមកំហែងអាចប្រើល្បិចបោកបញ្ឆោត ដូចជាអ៊ីមែលបន្លំ ឬការហៅទូរសព្ទ ដើម្បីបញ្ឆោតបុគ្គលិកឱ្យបង្ហាញព័ត៌មានរសើប ដូចជាព័ត៌មានសម្ងាត់នៃការចូល ឬព័ត៌មានលម្អិតផ្ទាល់ខ្លួន។ បច្ចេកទេសវិស្វកម្មសង្គមរៀបចំបុគ្គលដើម្បីទទួលបានការចូលប្រើប្រាស់ប្រព័ន្ធសាជីវកម្មដោយគ្មានការអនុញ្ញាត។
  • Malware និងការកេងប្រវ័ញ្ច៖ អ្នកវាយប្រហារអាចណែនាំមេរោគដំណាក់កាលដំបូងចូលទៅក្នុងប្រព័ន្ធសាជីវកម្មតាមរយៈមធ្យោបាយផ្សេងៗ រួមទាំងឯកសារភ្ជាប់អ៊ីមែលព្យាបាទ គេហទំព័រដែលមានមេរោគ ឬកម្មវិធីដែលត្រូវបានសម្របសម្រួល។ តាមរយៈការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី ឬប្រព័ន្ធ តួអង្គគំរាមកំហែងអាចទទួលបានការអនុញ្ញាត និងការគ្រប់គ្រងលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។
  • ការវាយប្រហារតាមខ្សែសង្វាក់ផ្គត់ផ្គង់៖ តួអង្គគំរាមកំហែងអាចកំណត់គោលដៅអ្នកលក់ ឬអ្នកផ្គត់ផ្គង់ភាគីទីបីជាមួយនឹងវិធានការសុវត្ថិភាពខ្សោយ ដោយទាញយកភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធរបស់ពួកគេដើម្បីទទួលបានការចូលទៅកាន់បណ្តាញសាជីវកម្ម។ នៅពេលដែលនៅខាងក្នុង ពួកគេអាចផ្លាស់ទីនៅពេលក្រោយ និងបង្កើនសិទ្ធិរបស់ពួកគេ។
  • Brute-Force Attacks៖ អ្នកវាយប្រហារអាចព្យាយាមចូលប្រើប្រព័ន្ធសាជីវកម្ម ដោយព្យាយាមជាប្រព័ន្ធនូវការរួមបញ្ចូលគ្នាជាច្រើននៃឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ រហូតដល់ពួកគេរកឃើញព័ត៌មានសម្ងាត់ត្រឹមត្រូវ។
  • Remote Desktop Protocol (RDP) ការវាយប្រហារ៖ តួអង្គគំរាមកំហែង កំណត់គោលដៅច្រក RDP ដែលលាតត្រដាង ដើម្បីទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធសាជីវកម្មដោយគ្មានការអនុញ្ញាត។ ពួកគេអាចទាញយកពាក្យសម្ងាត់ខ្សោយ ឬភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី RDP ដើម្បីសម្របសម្រួលបណ្តាញ។
  • Zero-Day Exploits៖ ភាពងាយរងគ្រោះ Zero-day សំដៅទៅលើភាពងាយរងគ្រោះផ្នែកទន់ដែលមិនស្គាល់ ដែលគំរាមកំហែងដល់តួអង្គរកឃើញ មុនពេលអ្នកអភិវឌ្ឍន៍អាចជួសជុលពួកគេ។ អ្នកវាយប្រហារអាចទាញយកភាពងាយរងគ្រោះទាំងនេះ ដើម្បីទទួលបានការចូលដំណើរការដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធសាជីវកម្ម។

តួអង្គគំរាមកំហែងបន្តវិវឌ្ឍបច្ចេកទេសរបស់ពួកគេ និងទទួលយកវិធីសាស្រ្តថ្មីដើម្បីជ្រៀតចូលប្រព័ន្ធសាជីវកម្ម។ ជាលទ្ធផល អង្គការត្រូវតែអនុវត្តវិធានការសុវត្ថិភាពដ៏ទូលំទូលាយ រួមទាំងការអាប់ដេតកម្មវិធីជាទៀងទាត់ ការបណ្តុះបណ្តាលបុគ្គលិក ការបែងចែកបណ្តាញ ប្រព័ន្ធស្វែងរកការឈ្លានពាន និងការគ្រប់គ្រងការចូលប្រើប្រាស់ដ៏រឹងមាំ ដើម្បីការពារប្រឆាំងនឹងការប៉ុនប៉ងជ្រៀតចូលទាំងនេះ។

ប្រកាសដែលពាក់ព័ន្ធ

រូបថតអេក្រង់ ឧស្សាហកម្មអវកាសអាមេរិកស្ថិតនៅក្រោមការវាយប្រហារ៖...

ឧស្សាហកម្មអវកាសអាមេរិកស្ថិតនៅក្រោមការវាយប្រហារ៖...

Computer Security
តួអង្គគម្រាមកំហែងតាមអ៊ីនធឺណិតដែលមិនស្គាល់អត្តសញ្ញាណពីមុនមកដឹកនាំការយកចិត្តទុកដាក់របស់ពួកគេចំពោះឧស្សាហកម្មអវកាសរបស់សហរដ្ឋអាមេរិកដោយដាក់ពង្រាយមេរោគដែលមានមូលដ្ឋានលើ PowerShell ដែលបានរកឃើញថ្មីហៅថា...

និន្នាការ

Elibe Ransomware

Ransomware
Elibe Ransomware ត្រូវបានកំណត់លក្ខណៈដោយសមត្ថភាពរបស់វាក្នុងការអ៊ិនគ្រីបឯកសារ និងបន្ថែម ".elibe" ទៅក្នុងឈ្មោះរបស់ពួកគេ ដែលធ្វើឱ្យទិន្នន័យមិនអាចចូលប្រើបានសម្រាប់ជនរងគ្រោះ។ Elibe Ransomware...

Superstar3.io

Browser Hijackers, Adware
បន្ទាប់ពីទាញយកកម្មវិធីដំឡើងពីគេហទំព័រគួរឱ្យសង្ស័យ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញវត្តមានរបស់ superstar3.io ដែលជាម៉ាស៊ីនស្វែងរកបំភាន់ដែលប្រមូលផ្តុំលទ្ធផលស្វែងរកពីម៉ាស៊ីនស្វែងរកផ្សេងៗ។...

មើលច្រើនបំផុត

រូបថតអេក្រង់ តើ Lookmovie.io មានសុវត្ថិភាពដែរឬទេ?

តើ Lookmovie.io មានសុវត្ថិភាពដែរឬទេ?

Issue
29,393
Lookmovie.io គឺជាគេហទំព័រស្ទ្រីមវីដេអូ។ បញ្ហាគឺថាមាតិកានៅទីនោះកំពុងត្រូវបានផ្តល់ជូនសម្រាប់ការផ្សាយដោយខុសច្បាប់។ លើសពីនេះ គេហទំព័រនេះបង្កើតប្រាក់ចំណូលតាមរយៈបណ្តាញផ្សាយពាណិជ្ជកម្មក្លែងក្លាយ។ ជាលទ្ធផល...

'Geek Squad' អ៊ីម៉ែលបោកប្រាស់

Phishing, Spam
15,882
Geek Squad ដែលជាអ្នកផ្តល់ជំនួយផ្នែកបច្ចេកវិទ្យាដ៏ពេញនិយម បានក្លាយជាជនរងគ្រោះនៃការបោកប្រាស់ដែលហៅថា Geek Squad Email Scam ។ ការបោកប្រាស់ផ្នែកបច្ចេកវិទ្យានេះប្រើប្រាស់អ៊ីមែលក្លែងក្លាយដែលបញ្ឆោតមនុស្សឱ្យផ្តល់ព័ត៌មានផ្ទាល់ខ្លួនរបស់ពួកគេ ដូចជាព័ត៌មានលម្អិតអំពីប័ណ្ណឥណទាន អាសយដ្ឋានអ៊ីមែល និងសូម្បីតែលេខសន្តិសុខសង្គម។ នៅក្នុងអត្ថបទនេះ យើងនឹងពិភាក្សាអំពីការបោកប្រាស់ខ្លួនឯង ថាតើវាមើលទៅដូចម្ដេច...
កំពុង​ផ្ទុក...