PureCrypter
ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតមួយក្រុមបាននឹងកំពុងវាយប្រហារអង្គភាពរដ្ឋាភិបាលនៅក្នុងតំបន់អាស៊ីប៉ាស៊ីហ្វិក (APAC) និងតំបន់អាមេរិកខាងជើងជាមួយនឹងកម្មវិធីទាញយកមេរោគដែលមានឈ្មោះថា PureCrypter ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយការវាយប្រហារអាចជ្រៀតចូលប្រព័ន្ធរបស់អង្គការទាំងនេះ និងប្រមូលព័ត៌មានរសើប ឬក្នុងករណីខ្លះ ចាប់ចំណាប់ខ្មាំងប្រព័ន្ធរបស់ពួកគេតាមរយៈការប្រើប្រាស់ ransomware ។ ភាពធ្ងន់ធ្ងរនៃការវាយប្រហារត្រូវបានផ្សំឡើងដោយការពិតដែលថាអង្គភាពរដ្ឋាភិបាលទាំងនេះតែងតែរក្សាទុកព័ត៌មានរសើប និងចាត់ថ្នាក់ ដែលធ្វើឱ្យពួកគេក្លាយជាគោលដៅចម្បងសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានរកឃើញថា តួអង្គគំរាមកំហែងបានកេងប្រវ័ញ្ច Discord ដើម្បីធ្វើជាម្ចាស់ផ្ទះនៃបន្ទុកដំបូង ហើយថែមទាំងសម្របសម្រួលអង្គការមិនរកប្រាក់ចំណេញជាមធ្យោបាយមួយដើម្បីប្រមូលម៉ាស៊ីនបន្ថែមដែលប្រើក្នុងយុទ្ធនាការនេះ។ នេះមានន័យថាអ្នកវាយប្រហារបានប្រើវេទិកាស្របច្បាប់ដូចជា Discord ដើម្បីចែកចាយមេរោគដំបូងនៃមេរោគ ដែលធ្វើឱ្យវាពិបាកសម្រាប់ប្រព័ន្ធសុវត្ថិភាពក្នុងការស្វែងរក និងទប់ស្កាត់វា។ មេរោគនេះត្រូវបានគេស្គាល់ថាសម្រាប់ការចែកចាយមេរោគផ្សេងៗជាច្រើន រួមមាន Redline Stealer, AgentTesla , Eternity , Blackmoon និង Philadelphia Ransomware ។
PureCrypter គឺជាផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហារពហុដំណាក់កាល
ការវាយប្រហារដែលប្រើប្រាស់កម្មវិធីទាញយកមេរោគ PureCrypter ត្រូវបានផ្តួចផ្តើមដោយអ៊ីមែលដែលមាន URL កម្មវិធី Discord ។ URL នេះនាំទៅរកគំរូ PureCrypter ដែលមាននៅក្នុងប័ណ្ណសារ ZIP ដែលការពារដោយពាក្យសម្ងាត់។ PureCrypter គឺជាកម្មវិធីទាញយកមេរោគដែលដំណើរការលើប្រព័ន្ធដែលមានមូលដ្ឋានលើ .NET ។ ប្រតិបត្តិកររបស់ខ្លួនជួលវាទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀត ក្នុងគោលបំណងចែកចាយមេរោគប្រភេទផ្សេងៗ។ នៅពេលដែល PureCrypter ត្រូវបានប្រតិបត្តិ វាទៅយក និងបញ្ជូនបន្ទុកដំណាក់កាលបន្ទាប់ពីម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ។ ក្នុងករណីជាក់លាក់នេះ ម៉ាស៊ីនមេពាក្យបញ្ជា និងការគ្រប់គ្រងដែលប្រើដោយអ្នកគំរាមកំហែងគឺជាម៉ាស៊ីនមេដែលសម្រុះសម្រួលរបស់អង្គការមិនរកប្រាក់ចំណេញ។
គំរូដែលបានវិភាគដោយអ្នកស្រាវជ្រាវគឺ AgentTesla ដែលជាប្រភេទមេរោគដែលប្រមូលព័ត៌មានពីកុំព្យូទ័ររបស់ជនរងគ្រោះ។ នៅពេលបើកដំណើរការ AgentTesla បង្កើតការតភ្ជាប់ទៅម៉ាស៊ីនមេ FTP ដែលមានមូលដ្ឋាននៅប៉ាគីស្ថាន ដើម្បីផ្ញើទិន្នន័យដែលប្រមូលបាន។ អ្វីដែលគួរឱ្យចាប់អារម្មណ៍នោះគឺថាអ្នកធ្វើការគំរាមកំហែងមិនបានបង្កើតម៉ាស៊ីនមេ FTP ផ្ទាល់ខ្លួនទេ ប៉ុន្តែបានប្រើព័ត៌មានសម្ងាត់លេចធ្លាយដើម្បីគ្រប់គ្រងម៉ាស៊ីនបម្រើដែលមានស្រាប់។ ដោយប្រើម៉ាស៊ីនមេដែលបានសម្របសម្រួលរួចហើយ ពួកគេកាត់បន្ថយហានិភ័យនៃការកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយការតាមដានរបស់ពួកគេ។
AgentTesla នៅតែជាឧបករណ៍គំរាមកំហែងតាមអ៊ីនធឺណិត
AgentTesla គឺជាប្រភេទមេរោគ .NET ដែលត្រូវបានប្រើប្រាស់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតក្នុងរយៈពេលប្រាំបីឆ្នាំចុងក្រោយនេះ ជាមួយនឹងការប្រើប្រាស់របស់វាឈានដល់កម្រិតខ្ពស់បំផុតនៅចុងឆ្នាំ 2020 និងដើមឆ្នាំ 2021។ បើទោះបីជាវាមានអាយុច្រើនក៏ដោយ AgentTesla នៅតែជា backdoor ដែលមានសមត្ថភាពខ្ពស់ និងមានប្រសិទ្ធភាពខ្ពស់ដែលបានបន្ត អភិវឌ្ឍ និងកែលម្អក្នុងរយៈពេលប៉ុន្មានឆ្នាំកន្លងមកនេះ។
សមត្ថភាពសំខាន់មួយរបស់ AgentTesla គឺសមត្ថភាពក្នុងការកត់ត្រាការចុចគ្រាប់ចុចរបស់ជនរងគ្រោះ ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតចាប់យកព័ត៌មានរសើប ដូចជាពាក្យសម្ងាត់ជាដើម។ មេរោគក៏អាចប្រមូលពាក្យសម្ងាត់ដែលត្រូវបានរក្សាទុកក្នុងម៉ាស៊ីនភ្ញៀវ FTP កម្មវិធីរុករកតាមអ៊ីនធឺណិត ឬកម្មវិធីអ៊ីមែល។ លើសពីនេះ AgentTesla អាចចាប់យករូបថតអេក្រង់នៃផ្ទៃតុរបស់ជនរងគ្រោះ ដោយអាចបង្ហាញពីព័ត៌មានសម្ងាត់។ វាក៏អាចចូលប្រើ និងស្ទាក់ចាប់ទិន្នន័យណាមួយដែលត្រូវបានចម្លងទៅក្ដារតម្បៀតខ្ទាស់នៃប្រព័ន្ធ រួមទាំងអត្ថបទ ពាក្យសម្ងាត់ និងព័ត៌មានលម្អិតអំពីកាតឥណទានផងដែរ។ នៅពេលប្រមូលបាន ទិន្នន័យអាចត្រូវបានស្រង់ចេញទៅកាន់ម៉ាស៊ីនមេ Command and Control (C2) តាមរយៈ FTP ឬ SMTP ។
នៅក្នុងការវាយប្រហារ PureCrypter តួអង្គគំរាមកំហែងបានប្រើបច្ចេកទេសមួយហៅថា "process hollowing" ដើម្បីចាក់ AgentTesla payload ចូលទៅក្នុងដំណើរការស្របច្បាប់មួយហៅថា 'cvtres.exe'។ បច្ចេកទេសនេះជួយគេចពីការរាវរកពីឧបករណ៍សុវត្ថិភាព។
ដើម្បីរក្សាសុវត្ថិភាពទំនាក់ទំនងរបស់វាជាមួយម៉ាស៊ីនមេ C2 និងឯកសារកំណត់រចនាសម្ព័ន្ធពីការត្រូវបានរកឃើញដោយឧបករណ៍ត្រួតពិនិត្យចរាចរណ៍បណ្តាញ AgentTesla ប្រើការអ៊ិនគ្រីប XOR ។ វិធីសាស្ត្រអ៊ិនគ្រីបនេះធ្វើឱ្យប្រព័ន្ធសុវត្ថិភាពពិបាករកឃើញការទំនាក់ទំនងរបស់មេរោគជាមួយម៉ាស៊ីនមេ C2 ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងដ៏លំបាកក្នុងការស្វែងរក និងកាត់បន្ថយ។