ប្រតិបត្តិករមេរោគ QakBot ពង្រីកការគំរាមកំហែងជាមួយនឹងការកើនឡើងនៃម៉ាស៊ីនមេ C2 ថ្មីចំនួន 15
នៅក្នុងការអភិវឌ្ឍន៍នាពេលថ្មីៗនេះ ក្រុមដែលនៅពីក្រោយមេរោគ QakBot (ហៅម្យ៉ាងទៀតថា QBot) បានបង្កើតបណ្តាញថ្មីនៃម៉ាស៊ីនមេ 15 command-and-control (C2) នៅចុងខែមិថុនា ឆ្នាំ 2023។ ការសង្កេតនេះបង្កើតលើការស៊ើបអង្កេតដែលកំពុងដំណើរការនៃមេរោគនេះ។ ហេដ្ឋារចនាសម្ព័ន្ធដឹកនាំដោយ Team Cymru ។ គួរកត់សម្គាល់ថាការពង្រីកនេះធ្វើឡើងយ៉ាងជិតស្និទ្ធបន្ទាប់ពីការបើកសម្តែងដោយ Lumen Black Lotus Labs ដែលបានបង្ហាញថា មួយភាគបួននៃម៉ាស៊ីនមេ C2 របស់វានៅតែដំណើរការក្នុងរយៈពេលតែមួយថ្ងៃប៉ុណ្ណោះ ដោយបង្ហាញពន្លឺលើលក្ខណៈថាមវន្ត និងពិបាកយល់នៃប្រតិបត្តិការរបស់ QakBot ។
ជាប្រពៃណី QakBot បង្ហាញគំរូនៃពេលវេលាឈប់សម្រាកបន្ថែមក្នុងកំឡុងខែរដូវក្តៅ ដែលជាធម្មតាកើតឡើងក្នុងខែកញ្ញា។ នៅក្នុងឆ្នាំបច្ចុប្បន្ន ប្រតិបត្តិការផ្ញើសារឥតបានការរបស់ខ្លួនបានផ្អាកប្រហែលនៅថ្ងៃទី 22 ខែមិថុនា ឆ្នាំ 2023 នេះបើយោងតាមក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិត។ ទោះជាយ៉ាងណាក៏ដោយ ថាតើប្រតិបត្តិករ QakBot ប្រើប្រាស់ពេលវេលារងចាំនេះជាវិស្សមកាល ឬប្រើប្រាស់វាសម្រាប់ការកែលម្អ និងធ្វើបច្ចុប្បន្នភាពហេដ្ឋារចនាសម្ព័ន្ធ និងឧបករណ៍របស់ពួកគេនៅតែត្រូវបានគេមើលឃើញ។
តារាងមាតិកា
ការដាក់ពង្រាយហេដ្ឋារចនាសម្ព័ន្ធដ៏ប្រណិត
ស្រដៀងគ្នាទៅនឹងស្ថាបត្យកម្មដែលបានសង្កេតឃើញនៅក្នុងមេរោគ Emotet និង I cedID បណ្តាញ Command-and-Control (C2) របស់ QakBot បង្ហាញរចនាសម្ព័ន្ធពហុថ្នាក់។ ក្នុងការរៀបចំនេះ ថ្នាំង C2 ប្រាស្រ័យទាក់ទងជាមួយថ្នាំង C2 កម្រិតថ្នាក់ខ្ពស់ 2 (T2) ដែលបង្ហោះនៅលើអ្នកផ្តល់សេវាឯកជននិម្មិត (VPS) នៅក្នុងប្រទេសរុស្ស៊ី។ bot C2 servers ភាគច្រើនដែលទាក់ទងជាមួយ hosts ជនរងគ្រោះដែលត្រូវបានសម្របសម្រួលគឺនៅសហរដ្ឋអាមេរិក និងឥណ្ឌា។ ការវិភាគការតភ្ជាប់ទៅខាងក្រៅពីថ្នាំង T2 បង្ហាញថាអាសយដ្ឋាន IP គោលដៅគឺនៅក្នុងសហរដ្ឋអាមេរិក ឥណ្ឌា ម៉ិកស៊ិក និងវេណេហ្ស៊ុយអេឡា។ នៅក្បែរថ្នាំង C2 និង T2 ម៉ាស៊ីនមេ BackConnect (BC) បំប្លែងរូបយន្តដែលត្រូវបានសម្របសម្រួលទៅជាប្រូកស៊ី ដែលអនុញ្ញាតឱ្យពួកវាបម្រើសកម្មភាពព្យាបាទផ្សេងៗ។ ស្ថាបត្យកម្មបណ្តាញដ៏ស្មុគស្មាញនេះគូសបញ្ជាក់ពីកិច្ចខិតខំប្រឹងប្រែងរបស់ QakBot ក្នុងការរៀបចំប្រតិបត្តិការរបស់ខ្លួននៅទូទាំងទីតាំងភូមិសាស្រ្តជាច្រើន ដោយបង្កើនសមត្ថភាពរបស់ខ្លួនក្នុងការគ្រប់គ្រង និងគ្រប់គ្រងប្រព័ន្ធដែលមានមេរោគប្រកបដោយប្រសិទ្ធភាព។
ថ្នាំងលំដាប់ទី 2 C2 ក្នុងបរិបទនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត និងមេរោគ សំដៅទៅលើកម្រិតមធ្យមនៃហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងការគ្រប់គ្រងនៅក្នុងស្ថាបត្យកម្មពហុថ្នាក់។ ប្រភេទមេរោគដ៏ទំនើបដូចជា QakBot, Emotet និង IcedID ជារឿយៗប្រើប្រាស់ស្ថាបត្យកម្មនេះ។ ថ្នាំងលំដាប់ទី 2 C2 គឺជាអន្តរការីរវាងម៉ាស៊ីនមេបញ្ជា និងបញ្ជាមេ (កម្រិតទី 1) និងឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ឬបូត (ចំណុចបញ្ចប់) ។
គោលបំណងនៃ Tier 2 nodes គឺដើម្បីបង្កើនភាពធន់ និងការលួចលាក់នៃបណ្តាញទំនាក់ទំនងរបស់មេរោគ។ ពួកគេជួយចែកចាយពាក្យបញ្ជា និងត្រួតពិនិត្យសញ្ញាពីម៉ាស៊ីនមេ C2 កណ្តាលទៅកាន់បណ្តាញនៃថ្នាំងលំដាប់ទី 2 ដែលបន្ទាប់មកបញ្ជូនការណែនាំទាំងនេះទៅឧបករណ៍ដែលត្រូវបានសម្របសម្រួលនីមួយៗ។ ការរៀបចំតាមឋានានុក្រមនេះធ្វើឱ្យអ្នកវិភាគសុវត្ថិភាពកាន់តែពិបាកតាមដានសកម្មភាពព្យាបាទត្រឡប់ទៅម៉ាស៊ីនមេ C2 វិញ ដូច្នេះបង្កើនឱកាសរបស់មេរោគក្នុងការគេចចេញពីការរកឃើញ និងការលុបចេញ។
ថ្នាំងលំដាប់ទី 2 C2 ជារឿយៗទាក់ទងជាមួយឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដោយប្រើបច្ចេកទេសផ្សេងៗ ដូចជាក្បួនដោះស្រាយការបង្កើតដែន ឬបណ្តាញលំហូរលឿន ដែលធ្វើអោយស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងទប់ស្កាត់ ឬបិទបណ្តាញទំនាក់ទំនងរបស់មេរោគ។ តួអង្គគំរាមកំហែងប្រើប្រាស់ថ្នាំងថ្នាក់ 2 C2 ដើម្បីរក្សាការគ្រប់គ្រងលើ botnets របស់ពួកគេ និងជួយសម្រួលដល់ការប្រតិបត្តិប្រតិបត្តិការព្យាបាទ ខណៈពេលដែលកាត់បន្ថយហានិភ័យដែលទាក់ទងនឹងទំនាក់ទំនងដោយផ្ទាល់រវាងម៉ាស៊ីនមេកណ្តាល និងឧបករណ៍ដែលមានមេរោគ។
ម៉ាស៊ីនមេ C2 ត្រូវបានកេងប្រវ័ញ្ច
ការរកឃើញថ្មីៗបំផុតដែលបង្ហាញដោយ Team Cymru បង្ហាញពីការថយចុះគួរឱ្យកត់សម្គាល់នៃចំនួន C2s ដែលមានស្រាប់ដែលចូលរួមជាមួយស្រទាប់ T2 ។ ឥឡូវនេះនៅសល់តែប្រាំបីប៉ុណ្ណោះ ការថយចុះនេះត្រូវបានសន្មតថាជាផ្នែកនៃសកម្មភាពរបស់ Black Lotus Labs នៃការលុបចោលហេដ្ឋារចនាសម្ព័ន្ធលំដាប់ខ្ពស់នៅក្នុងខែឧសភា ឆ្នាំ 2023។ ក្រុមហ៊ុនបានសង្កេតឃើញថាមានការថយចុះយ៉ាងច្រើននៃចរាចរណ៍ពី Indian C2s និងការបាត់ខ្លួនរបស់ US C2s ជិតខែមិថុនា។ 2 ដែលពួកគេភ្ជាប់ជាមួយ null-routing ស្រទាប់ T2 ។ បន្ថែមពីលើម៉ាស៊ីនមេ C2 ចំនួន 15 ម៉ាស៊ីនមេ C2 ដែលមានស្រាប់ចំនួន 6 សកម្មមុនខែមិថុនា និងម៉ាស៊ីនមេ C2 ដែលទើបដំណើរការថ្មីចំនួន 2 នៅក្នុងខែមិថុនា បានបង្ហាញសកម្មភាពបន្តពេញមួយខែកក្កដា សូម្បីតែបន្ទាប់ពីការបញ្ឈប់សកម្មភាពផ្ញើសារឥតបានការក៏ដោយ។
ការត្រួតពិនិត្យបន្ថែមទៀតនៃទិន្នន័យ NetFlow បង្ហាញលំនាំកើតឡើងដដែលៗ ដែលការតភ្ជាប់ T2 ខាងក្រៅដែលមានកម្រិតខ្ពស់ ជាញឹកញាប់ធ្វើតាមការកើនឡើងនៅក្នុងការតភ្ជាប់ bot C2 ខាងក្នុង។ លើសពីនេះទៀតការកើនឡើងនៃការតភ្ជាប់ T2 ខាងក្រៅជាញឹកញាប់ស្របគ្នាជាមួយនឹងការធ្លាក់ចុះនៅក្នុងសកម្មភាព bot C2 ។ Team Cymru បានគូសបញ្ជាក់ថា តាមរយៈការជួលជនរងគ្រោះជាហេដ្ឋារចនាសម្ព័ន្ធ C2 ជាមួយនឹងទំនាក់ទំនង T2 QakBot ដាក់បន្ទុកពីរលើអ្នកប្រើប្រាស់ ជាដំបូងតាមរយៈការសម្របសម្រួលដំបូង ហើយបន្ទាប់មកតាមរយៈការខូចខាតដែលអាចកើតមានចំពោះកេរ្តិ៍ឈ្មោះរបស់ពួកគេ នៅពេលដែលម៉ាស៊ីនរបស់ពួកគេត្រូវបានទទួលស្គាល់ជាសាធារណៈថាមានគំនិតអាក្រក់។ ក្រុមហ៊ុនបានសង្កត់ធ្ងន់ថា តាមរយៈការផ្តាច់ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ ជនរងគ្រោះមិនអាចទទួលបានការណែនាំ C2 ទេ ការពារអ្នកប្រើប្រាស់បច្ចុប្បន្ន និងអនាគតប្រកបដោយប្រសិទ្ធភាពពីការសម្របសម្រួល។
អំពី QakBot
QakBot ត្រូវបានគេស្គាល់ផងដែរថាជា QBot គឺជា Trojan ធនាគារដ៏ល្បីល្បាញ និងមេរោគលួចព័ត៌មានតាំងពីឆ្នាំ 2007 ។ វាផ្តោតជាចម្បងទៅលើប្រព័ន្ធប្រតិបត្តិការ Windows ហើយត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានហិរញ្ញវត្ថុរសើបពីកុំព្យូទ័រដែលមានមេរោគ ដូចជាព័ត៌មានសម្ងាត់ធនាគារ ព័ត៌មានលម្អិតអំពីកាតឥណទាន និង ទិន្នន័យផ្ទាល់ខ្លួន។ ជាធម្មតា QakBot មកតាមរយៈឯកសារភ្ជាប់អ៊ីមែល តំណភ្ជាប់ ឬគេហទំព័រដែលមានមេរោគ។ នៅពេលដែលបានដំឡើងនៅលើប្រព័ន្ធមួយ វាអាចភ្ជាប់ជាមួយ command-and-control (C2) servers ដែលអាចឱ្យពួក Hacker គ្រប់គ្រងម៉ាស៊ីនដែលមានមេរោគ និងបណ្តេញទិន្នន័យដែលលួចពីចម្ងាយ។ QakBot បានបង្ហាញនូវកម្រិតខ្ពស់នៃភាពទំនើបក្នុងរយៈពេលជាច្រើនឆ្នាំមកនេះ ដោយបានវិវឌ្ឍន៍ជាបន្តបន្ទាប់នូវបច្ចេកទេសរបស់ខ្លួនដើម្បីគេចពីវិធានការរាវរក និងសុវត្ថិភាព។ វាក៏អាចរីករាលដាលតាមរយៈការចែករំលែកបណ្តាញ និងទាញយកភាពងាយរងគ្រោះ ដើម្បីផ្សព្វផ្សាយនៅក្នុងបណ្តាញមួយ។ សរុបមក QakBot គឺជាការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះបុគ្គល និងស្ថាប័ន ដោយសារតែសមត្ថភាពរបស់ខ្លួនក្នុងការលួចយកព័ត៌មានរសើប និងអាចនាំឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ។
ប្រតិបត្តិករមេរោគ QakBot ពង្រីកការគំរាមកំហែងជាមួយនឹងការកើនឡើងនៃម៉ាស៊ីនមេ C2 ថ្មីចំនួន 15 រូបថតអេក្រង់
