មេរោគ PowerExchange
មេរោគដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីដែលមានឈ្មោះថា PowerExchange បានលេចឡើងនៅក្នុងប្រតិបត្តិការវាយប្រហារ។ Backdoor ប្រលោមលោកនេះប្រើ PowerShell ជាភាសាសរសេរអក្សរចម្បងរបស់វា។ មេរោគនេះត្រូវបានគេប្រើប្រាស់ដើម្បីបង្កើត backdoors នៅលើម៉ាស៊ីនមេ Microsoft Exchange នៅនឹងកន្លែង។ ឧប្បត្តិហេតុនៃការវាយប្រហារដែលពាក់ព័ន្ធនឹងការគំរាមកំហែងនេះអាចត្រូវបានភ្ជាប់ទៅនឹង APT34 (Advanced Persistent Threat) ពួក Hacker រដ្ឋអ៊ីរ៉ង់។
វ៉ិចទ័រវាយប្រហារដែលប្រើដោយតួអង្គគំរាមកំហែងដែលពាក់ព័ន្ធនឹងការជ្រៀតចូលម៉ាស៊ីនមេសំបុត្រគោលដៅតាមរយៈអ៊ីមែលបន្លំ។ អ៊ីមែលមានផ្ទុកនូវប័ណ្ណសារដែលបានបង្ហាប់ ដែលអាចត្រូវបានសម្របសម្រួល។ នៅពេលដែលបានប្រតិបត្តិរួច PowerExchange ត្រូវបានដាក់ពង្រាយ ដែលអាចឱ្យពួក Hacker ទទួលបានសិទ្ធិចូលប្រើប្រាស់ និងគ្រប់គ្រងលើម៉ាស៊ីនមេ Microsoft Exchange ដែលត្រូវបានសម្របសម្រួល។ បន្ទាប់មក តួអង្គគម្រាមកំហែងក៏ប្រើប្រាស់សែលគេហទំព័រដែលតាមដានជា ExchangeLeech ដែលត្រូវបានរកឃើញដំបូងក្នុងឆ្នាំ 2020 ដែលអាចឱ្យពួកគេទាញយកទិន្នន័យរសើប ដោយផ្តោតលើការលួចទិន្នន័យអ្នកប្រើប្រាស់ដែលរក្សាទុកក្នុងម៉ាស៊ីនមេ Microsoft Exchange ដែលត្រូវបានសម្របសម្រួល។
ការប្រើប្រាស់មេរោគ PowerExchange ដោយភ្ជាប់ជាមួយសែលបណ្តាញ ExchangeLeech បង្ហាញពីយុទ្ធសាស្ត្រដ៏ទំនើបដែលប្រើប្រាស់ដោយ APT34 នៅក្នុងសកម្មភាពគំរាមកំហែងរបស់ពួកគេ។ PowerExchange backdoor ត្រូវបានរកឃើញដោយក្រុមស្រាវជ្រាវលើប្រព័ន្ធសម្របសម្រួលរបស់អង្គការរដ្ឋាភិបាលដែលមានមូលដ្ឋាននៅប្រទេសអារ៉ាប់រួម។
តារាងមាតិកា
មេរោគ PowerExchange កេងប្រវ័ញ្ចលើ Server Exchange របស់ជនរងគ្រោះ
មេរោគ PowerExchange បង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) នៃប្រតិបត្តិការវាយប្រហារ។ វាប្រើប្រាស់អ៊ីមែលដែលបានផ្ញើតាមរយៈ Exchange Web Services (EWS) API ដោយប្រើប្រាស់ឯកសារភ្ជាប់ជាអក្សរនៅក្នុងអ៊ីមែលទាំងនេះ ដើម្បីផ្ញើព័ត៌មានដែលប្រមូលបាន និងទទួលពាក្យបញ្ជាដែលបានអ៊ិនកូដ base64 ។ អ៊ីមែលទាំងនេះព្យាយាមជៀសវាងការទាក់ទាញការពិនិត្យបន្ថែមដោយជនរងគ្រោះដោយភ្ជាប់ប្រធានបទ 'អាប់ដេត Microsoft Edge'។
ការប្រើប្រាស់ម៉ាស៊ីនមេ Exchange របស់ជនរងគ្រោះជាប៉ុស្តិ៍ C2 គឺជាយុទ្ធសាស្ត្រដោយចេតនាដែលប្រើដោយអ្នកគំរាមកំហែង។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យ backdoor បញ្ចូលគ្នាជាមួយនឹងចរាចរណ៍ស្របច្បាប់ ដែលធ្វើឱ្យវាពិបាកខ្លាំងណាស់សម្រាប់ការរកឃើញតាមបណ្តាញ និងយន្តការជួសជុលដើម្បីកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយការគំរាមកំហែង។ តាមរយៈការក្លែងបន្លំសកម្មភាពរបស់ខ្លួននៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អង្គការ តួអង្គគំរាមកំហែងអាចជៀសវាងការរកឃើញ និងរក្សាវត្តមានសម្ងាត់យ៉ាងមានប្រសិទ្ធភាព។
PowerExchange backdoor ផ្តល់ឱ្យប្រតិបត្តិករនូវការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល។ វាអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជាផ្សេងៗ រួមទាំងការបញ្ជូនបន្ទុកគំរាមកំហែងបន្ថែមទៅលើម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល និងការបណ្តេញចេញឯកសារដែលបានប្រមូលផល។ ភាពប៉ិនប្រសប់នេះផ្តល់អំណាចដល់តួអង្គគំរាមកំហែងដើម្បីពង្រីកលទ្ធភាពរបស់ពួកគេ និងអនុវត្តសកម្មភាពដែលបង្កគ្រោះថ្នាក់បន្ថែមទៀតនៅក្នុងបរិយាកាសដែលត្រូវបានសម្របសម្រួល។
ការដាក់បន្ថែមដែលគំរាមកំហែងត្រូវបានដាក់ឱ្យប្រើជាផ្នែកនៃការវាយប្រហារនៅខាងក្រោយ PowerExchange
ចំណុចបញ្ចប់ដែលត្រូវបានសម្របសម្រួលបន្ថែមដែលមានការផ្សាំដែលមិនមានសុវត្ថិភាពផ្សេងទៀតក៏ត្រូវបានកំណត់អត្តសញ្ញាណផងដែរ។ គួរកត់សម្គាល់ថាការផ្សាំដែលរកឃើញមួយគឺសែលបណ្តាញ ExchangeLeech ដែលត្រូវបានក្លែងបន្លំជាឯកសារមួយឈ្មោះថា System.Web.ServiceAuthentication.dll ដោយទទួលយកអនុសញ្ញាដាក់ឈ្មោះជាធម្មតាត្រូវបានភ្ជាប់ជាមួយឯកសារ IIS ស្របច្បាប់។
ExchangeLeech ដំណើរការដោយការប្រមូលព័ត៌មានរសើបយ៉ាងសកម្ម ជាពិសេសកំណត់គោលដៅលើឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់របស់បុគ្គលដែលចូលទៅក្នុងម៉ាស៊ីនមេ Exchange ដែលត្រូវបានសម្របសម្រួលដោយប្រើការផ្ទៀងផ្ទាត់ជាមូលដ្ឋាន។ នេះត្រូវបានសម្រេចតាមរយៈសមត្ថភាពរបស់ Web shell ដើម្បីត្រួតពិនិត្យចរាចរណ៍ HTTP អត្ថបទច្បាស់លាស់ និងចាប់យកព័ត៌មានសម្ងាត់ពីទិន្នន័យទម្រង់គេហទំព័រ ឬបឋមកថា HTTP ។
ដើម្បីកេងចំណេញបន្ថែមលើម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល អ្នកវាយប្រហារអាចណែនាំសែលគេហទំព័រឱ្យបញ្ជូនកំណត់ហេតុព័ត៌មានដែលប្រមូលបានតាមរយៈប៉ារ៉ាម៉ែត្រខូគី។ នេះអនុញ្ញាតឱ្យពួកគេទាញយកព័ត៌មានសម្ងាត់ដែលបានចាប់យកដោយសម្ងាត់ដោយមិនធ្វើឱ្យមានការសង្ស័យ។
ការវាយប្រហាររបស់ PowerExchange ត្រូវបានកំណត់គុណលក្ខណៈក្រុម Hacker APT34
ការវាយប្រហាររបស់ PowerExchange ត្រូវបានគេសន្មតថាជាក្រុម hacking ដែលឧបត្ថម្ភដោយរដ្ឋរបស់អ៊ីរ៉ង់ដែលត្រូវបានគេស្គាល់ថា APT34 ឬ Oilrig ។ អ្នកស្រាវជ្រាវបានបង្កើតការតភ្ជាប់នេះដោយកំណត់អត្តសញ្ញាណភាពស្រដៀងគ្នារវាងមេរោគ PowerExchange និងមេរោគ TriFive ដែលពីមុនត្រូវបានប្រើប្រាស់ដោយ APT34 ដើម្បីបង្កើត backdoors នៅក្នុងម៉ាស៊ីនមេរបស់អង្គការរដ្ឋាភិបាលគុយវ៉ែត។
ទាំង PowerExchange និង TriFive បង្ហាញភាពស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់។ ពួកវាទាំងពីរផ្អែកលើ PowerShell ធ្វើឱ្យសកម្មតាមរយៈកិច្ចការដែលបានកំណត់ពេល និងទាញយកម៉ាស៊ីនមេ Exchange របស់ស្ថាប័នដោយប្រើ EWS API ជាឆានែល C2 ។ ទោះបីជាកូដនៃ backdoors ទាំងនេះមានភាពខុសប្លែកគ្នាយ៉ាងច្បាស់ក៏ដោយ អ្នកស្រាវជ្រាវបានប៉ាន់ស្មានថា PowerExchange តំណាងឱ្យការវិវត្ត និងធ្វើឱ្យប្រសើរឡើងនៃមេរោគ TriFive malware ។
លើសពីនេះ វាមានតម្លៃក្នុងការនិយាយថា APT34 តែងតែប្រើអ៊ីមែលបន្លំជាវ៉ិចទ័រឆ្លងដំបូងនៃប្រតិបត្តិការវាយប្រហាររបស់ពួកគេ។ តាមរយៈការទាក់ទាញជនរងគ្រោះឱ្យធ្វើអន្តរកម្មជាមួយមាតិកាមិនមានសុវត្ថិភាព ឬចុចលើតំណភ្ជាប់ដែលខូចនៅក្នុងអ៊ីមែលទាំងនេះ APT34 ទទួលបានគោលជំហរនៅក្នុងបរិយាកាសគោលដៅ ដែលអនុញ្ញាតឱ្យពួកគេបន្តសកម្មភាពគំរាមកំហែងរបស់ពួកគេ។ ការពិតដែលថា APT34 ពីមុនបានរំលោភលើអង្គភាពផ្សេងទៀតក្នុងប្រទេសអារ៉ាប់រួម បន្ថែមលើភស្តុតាងដែលភ្ជាប់ពួកគេទៅនឹងការវាយប្រហារទាំងនេះ។
