PowerModul Implant

តួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា Paper Werewolf ដែលត្រូវបានគេហៅថា GOFFEE ត្រូវបានគេកំណត់គោលដៅទាំងស្រុងទៅលើអង្គការរុស្ស៊ីដោយប្រើឧបករណ៍ផ្សាំថ្មីមួយដែលមានឈ្មោះថា PowerModul ។ នៅចន្លោះខែកក្កដា និងខែធ្នូ ឆ្នាំ 2024 ការវាយប្រហាររបស់ពួកគេបានធ្លាក់ចូលទៅក្នុងឧស្សាហកម្មសំខាន់ៗ រួមមានប្រព័ន្ធផ្សព្វផ្សាយ ទូរគមនាគមន៍ សំណង់ អង្គភាពរដ្ឋាភិបាល និងវិស័យថាមពល។

មារសត្រូវតស៊ូ៖ យុទ្ធនាការតាំងពីឆ្នាំ 2022

The Paper Werewolf បានអនុវត្តយ៉ាងហោចណាស់យុទ្ធនាការចំនួនប្រាំពីរចាប់តាំងពីឆ្នាំ 2022។ ការផ្តោតអារម្មណ៍ជាប់លាប់របស់ក្រុមនេះគឺទៅលើគោលដៅដែលមានតម្លៃខ្ពស់នៅក្នុងផ្នែករដ្ឋាភិបាល ថាមពល ហិរញ្ញវត្ថុ និងប្រព័ន្ធផ្សព្វផ្សាយ។

ច្រើនជាងចារកម្ម៖ ការបំផ្លិចបំផ្លាញនៅក្នុងខ្សែសង្វាក់វាយប្រហារ

ប្រតិបត្តិការរបស់ Paper Werewolf ហួសពីចារកម្មតាមអ៊ីនធឺណិតតាមបែបប្រពៃណី។ ខ្សែសង្វាក់វាយប្រហាររបស់ពួកគេត្រូវបានគេសង្កេតឃើញរួមបញ្ចូលនូវសមាសធាតុរំខាន ដូចជាការផ្លាស់ប្តូរពាក្យសម្ងាត់គណនីបុគ្គលិក ដែលបង្ហាញពីចេតនាក្នុងប្រតិបត្តិការពិការ និងមិនត្រឹមតែលួចទិន្នន័យប៉ុណ្ណោះទេ។

ចំណុចចូល៖ ល្បិចបន្លំ និង PowerRAT

ការវាយប្រហារជាធម្មតាចាប់ផ្តើមដោយអ៊ីម៉ែលបន្លំដែលមានឯកសារម៉ាក្រូ។ នៅពេលដែលជនរងគ្រោះចូលប្រើឯកសារ និងបើកដំណើរការម៉ាក្រូ នោះ Trojan ពីចម្ងាយដែលមានមូលដ្ឋានលើ PowerShell ដែលគេស្គាល់ថាជា PowerRAT ត្រូវបានដាក់ពង្រាយ។ មេរោគនេះកំណត់ដំណាក់កាលសម្រាប់ការផ្ទុកកម្រិតខ្ពស់បន្ថែមទៀត។

មេរោគផ្ទាល់ខ្លួន Arsenal៖ PowerTaskel, QwakMyAgent និង Owowa

ការផ្ទុកនៅដំណាក់កាលបន្ទាប់ជារឿយៗរួមមាន PowerTaskel និង QwakMyAgent កំណែផ្ទាល់ខ្លួនរបស់ភ្នាក់ងារដោយផ្អែកលើក្របខ័ណ្ឌ Mythic ។ ឧបករណ៍មួយទៀត Owowa ដែលជាម៉ូឌុល IIS ព្យាបាទត្រូវបានប្រើដើម្បីលួចអត្តសញ្ញាណប័ណ្ណ Microsoft Outlook ដែលបានបញ្ចូលតាមរយៈម៉ាស៊ីនភ្ញៀវគេហទំព័រ។

វិធីសាស្ត្រឆ្លងថ្មី៖ ការអនុវត្តក្លែងក្លាយនៅក្នុងបណ្ណសារ RAR

រលកនៃការវាយប្រហារចុងក្រោយបង្អស់មានលក្ខណៈពិសេសនូវបណ្ណសារ RAR ដ៏អាក្រក់ដែលមានឯកសារដែលអាចប្រតិបត្តិបានដែលក្លែងបន្លំជាឯកសារ PDF ឬ Word ដោយប្រើផ្នែកបន្ថែមទ្វេ (ឧទាហរណ៍ *.pdf.exe) ។ នៅពេលប្រតិបត្តិ ឯកសារបញ្ឆោតត្រូវបានបង្ហាញដល់អ្នកប្រើប្រាស់ ខណៈពេលដែលប្រព័ន្ធត្រូវបានឆ្លងមេរោគដោយស្ងៀមស្ងាត់នៅក្នុងផ្ទៃខាងក្រោយ។

កម្មវិធីដែលអាចប្រតិបត្តិបានគឺពិតជាឯកសារប្រព័ន្ធវីនដូដែលបានជួសជុល (ដូចជា explorer.exe) ដែលបង្កប់ដោយកូដសែលព្យាបាទដែលមានភ្នាក់ងារ Mythic ដែលមិនយល់ស្រប ដែលភ្ជាប់ទៅម៉ាស៊ីនមេ C2 សម្រាប់ការណែនាំបន្ថែម។

ផ្លូវវាយប្រហារជំនួស៖ PowerModul ចាប់ផ្តើមដំណាក់កាលកណ្តាល

នៅក្នុងវិធីសាស្រ្តជំនួស Paper Werewolf ប្រើបណ្ណសារ RAR ជាមួយនឹងឯកសារ Office ដែលមានខ្សែម៉ាក្រូ ដែលដើរតួជាអ្នកទម្លាក់សម្រាប់ PowerModul ។ ស្គ្រីប PowerShell នេះអាចដំណើរការស្គ្រីបបន្ថែមពីម៉ាស៊ីនមេ C2 ដែលធ្វើឱ្យវាក្លាយជា backdoor ដែលអាចប្រើប្រាស់បាន។

Payload Parade: កញ្ចប់ឧបករណ៍សម្រាប់ចារកម្ម និងការឆ្លង

PowerModul ត្រូវបានប្រើប្រាស់តាំងពីដើមឆ្នាំ 2024 ជាចម្បងដើម្បីទាញយក និងដំណើរការ PowerTaskel។ បន្ទុកគួរឱ្យកត់សម្គាល់ផ្សេងទៀតរួមមាន:

• FlashFileGrabber ៖ លួចឯកសារពី flash drives ហើយដកវាចេញ។
• FlashFileGrabberOffline ៖ ស្វែងរកឯកសារដែលមានផ្នែកបន្ថែមជាក់លាក់នៅលើប្រព័ន្ធផ្សព្វផ្សាយ flash និងរក្សាទុកពួកវាក្នុងមូលដ្ឋានសម្រាប់ការបណ្តេញចេញនៅពេលក្រោយ។
• USB Worm ៖ ឆ្លងមេរោគ flash drives ជាមួយនឹងច្បាប់ចម្លងនៃ PowerModul ដើម្បីរីករាលដាលមេរោគបន្ថែមទៀត។

សមត្ថភាពរបស់ PowerTaskel៖ លើសពីការប្រតិបត្តិស្គ្រីប

ខណៈពេលដែលស្រដៀងទៅនឹង PowerModul, PowerTaskel មានសមត្ថភាពជាង។ វាផ្ញើសារ 'ពិនិត្យ' ជាមួយព័ត៌មានប្រព័ន្ធ ដំណើរការពាក្យបញ្ជាពីម៉ាស៊ីនមេ C2 និងអាចបង្កើនសិទ្ធិដោយប្រើ PsExec ។ នៅក្នុងករណីមួយ វាត្រូវបានគេមើលឃើញថាកំពុងដំណើរការស្គ្រីប FolderFileGrabber ដែលប្រមូលឯកសារពីប្រព័ន្ធពីចម្ងាយដោយប្រើផ្លូវបណ្តាញ SMB រឹង។

ការវិវត្តន៍នៅក្នុងយុទ្ធសាស្ត្រ៖ ការផ្លាស់ប្តូរឆ្ងាយពី PowerTaskel

ជាលើកដំបូង Paper Werewolf បានប្រើឯកសារ Word ក្លែងបន្លំជាមួយស្គ្រីប VBA សម្រាប់ការចូលប្រើដំបូង។ ការរកឃើញថ្មីៗក៏បង្ហាញពីការផ្លាស់ប្តូរយុទ្ធសាស្ត្រផងដែរ ដោយក្រុមនេះបានផ្លាស់ប្តូរឆ្ងាយពី PowerTaskel និងកាន់តែខ្លាំងឡើងលើភ្នាក់ងារ Mythic binary សម្រាប់ចលនានៅពេលក្រោយនៅក្នុងបណ្តាញគោលដៅ។

គំនិតចុងក្រោយ៖ ការគំរាមកំហែងដែលកំពុងកើនឡើងជាមួយនឹងបច្ចេកទេសវិវត្ត

Paper Werewolf បន្តកែលម្អបច្ចេកទេសរបស់ខ្លួន និងពង្រីកឃ្លាំងអាវុធរបស់ខ្លួន។ ការផ្តោតផ្តាច់មុខលើអង្គភាពរបស់រុស្ស៊ី រួមផ្សំជាមួយនឹងសមត្ថភាពរំខាន និងយុទ្ធសាស្រ្តឆ្លងដែលកំពុងវិវត្ត ធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏ធ្ងន់ធ្ងរ និងជាប់លាប់នៅលើផ្តេក។