មេរោគ QuirkyLoader

អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញកម្មវិធីផ្ទុកមេរោគថ្មីដែលគេស្គាល់ថា QuirkyLoader ដែលត្រូវបានប្រើប្រាស់យ៉ាងសកម្មក្នុងយុទ្ធនាការអ៊ីម៉ែលសារឥតបានការចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ 2024។ តួនាទីចម្បងរបស់វាគឺដើម្បីផ្តល់នូវបន្ទុកព្យាបាទជាច្រើន រួមទាំងអ្នកលួចព័ត៌មាន និង Trojans ចូលប្រើពីចម្ងាយ (RATs)។

ក្រុម Arsenal ដែលកំពុងរីកចម្រើននៃមេរោគ

QuirkyLoader ត្រូវ​បាន​តភ្ជាប់​ទៅ​នឹង​ការ​ចែកចាយ​នៃ​ក្រុម​មេរោគ​ទម្រង់​ខ្ពស់​មួយ​ចំនួន​រួម​មាន​:

• ភ្នាក់ងារ Tesla
• AsyncRAT
• សៀវភៅទម្រង់
• Masslogger
• Remcos RAT
• Rhadamanthys អ្នកលួច
• Snake Keylogger

កញ្ចប់ឧបករណ៍ទូលំទូលាយនេះបង្ហាញពីភាពប្រែប្រួលរបស់អ្នកផ្ទុក និងសមត្ថភាពរបស់តួអង្គគំរាមកំហែងក្នុងការចាប់ផ្តើមការវាយប្រហារតាមអ៊ីនធឺណិតចម្រុះ។

ការដឹកជញ្ជូនបញ្ឆោតតាមរយៈអ៊ីម៉ែលសារឥតបានការ

អ្នកវាយប្រហារកំពុងពឹងផ្អែកលើអ្នកផ្តល់សេវាអ៊ីមែលស្របច្បាប់ទាំងពីរ និងម៉ាស៊ីនមេអ៊ីមែលដែលបង្ហោះដោយខ្លួនឯង ដើម្បីបញ្ជូនសារឥតបានការ។ អ៊ីមែលនីមួយៗជាធម្មតាមានឯកសារបណ្ណសារដែលមានសមាសធាតុសំខាន់ៗចំនួនបី៖

• DLL ព្យាបាទ
• បន្ទុកដែលបានអ៊ិនគ្រីប
• ដែលអាចប្រតិបត្តិបានស្របច្បាប់

តាមរយៈការផ្ទុកចំហៀង DLL អ្នកវាយប្រហារទាញយកការពិតដែលថាការដំណើរការដែលអាចប្រតិបត្តិបានស្របច្បាប់ក៏បង្កឱ្យ DLL អាក្រក់ផងដែរ។ DLL នេះបន្ទាប់មកឌិគ្រីប និងចាក់បញ្ចូលបន្ទុកចុងក្រោយទៅក្នុងដំណើរការគោលដៅរបស់វា។

ការកេងប្រវ័ញ្ចដំណើរការប្រហោង

យន្តការចាក់បញ្ចូលពាក់ព័ន្ធនឹងដំណើរការប្រហោង ដែលជាបច្ចេកទេសដែលមេរោគជំនួសកូដនៃដំណើរការស្របច្បាប់ដោយខ្លួនវាផ្ទាល់។ នៅក្នុងយុទ្ធនាការរបស់ QuirkyLoader ដំណើរការដែលពេញចិត្តសម្រាប់ការចាក់រួមមាន:

• AddInProcess32.exe
• ដំឡើង Util.exe
• aspnet_wp.exe

វិធីសាស្ត្រនេះអនុញ្ញាតឱ្យមេរោគក្លែងបន្លំជាសកម្មភាពស្របច្បាប់ ធ្វើឱ្យការរកឃើញកាន់តែមានការលំបាក។

ការវាយប្រហារគោលដៅនៅតៃវ៉ាន់ និងម៉ិកស៊ិក

រហូតមកដល់ពេលនេះ QuirkyLoader ត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការដែលផ្តោតលើទំហំតូចជាង។ រលកគួរឱ្យកត់សម្គាល់ចំនួនពីរត្រូវបានកត់ត្រាក្នុងខែកក្កដា ឆ្នាំ 2025៖

យុទ្ធនាការតៃវ៉ាន់ ៖ កំណត់គោលដៅជាក់លាក់បុគ្គលិករបស់ក្រុមហ៊ុន Nusoft Taiwan ដែលជាក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត និងបណ្តាញ។ ប្រតិបត្តិការនេះមានគោលបំណងដាក់ពង្រាយ Snake Keylogger ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត ការចុចគ្រាប់ចុច និងមាតិកាក្ដារតម្បៀតខ្ទាស់។

យុទ្ធនាការម៉ិកស៊ិក ៖ ហាក់ដូចជាមានភាពមិនរើសអើងនៅក្នុងធម្មជាតិ ដោយចែកចាយ Remcos RAT និង AsyncRAT ដោយគ្មានលំនាំកំណត់គោលដៅច្បាស់លាស់។

លក្ខណៈបច្ចេកទេសរបស់ឧបករណ៍ផ្ទុក

តួអង្គគំរាមកំហែងបង្កើតម៉ូឌុលកម្មវិធីទាញយក DLL យ៉ាងខ្ជាប់ខ្ជួនដោយប្រើភាសា .NET ។ ដើម្បីបង្កើនភាពធន់ និងភាពច្របូកច្របល់ កម្មវិធីផ្ទុកត្រូវបានចងក្រងដោយប្រើការចងក្រងមុនម៉ោង (AOT) ដោយបង្កើតប្រព័ន្ធគោលពីរដែលស្រដៀងនឹងអ្វីដែលបានបង្កើតឡើងនៅក្នុង C ឬ C++។ នេះធ្វើឱ្យមេរោគកាន់តែពិបាកសម្រាប់អ្នកការពារក្នុងការវិភាគ និងរកឃើញ។

គំនិតចុងក្រោយ

QuirkyLoader គឺជាឧទាហរណ៍ច្បាស់លាស់អំពីរបៀបដែលឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តកែលម្អវិធីសាស្ត្រចែកចាយរបស់ពួកគេ ដើម្បីបង្កើនប្រសិទ្ធភាពការបំបាំងកាយ និងប្រសិទ្ធភាព។ តាមរយៈការរួមបញ្ចូលគ្នារវាងការផ្ទុកចំហៀង DLL ដំណើរការប្រហោង និងយុទ្ធសាស្ត្របន្លំគោលដៅ អ្នកវាយប្រហារមិនត្រឹមតែឆ្លងកាត់ការការពារប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងរៀបចំយុទ្ធនាការរបស់ពួកគេដើម្បីបង្កើនផលប៉ះពាល់ផងដែរ។ អង្គការគួរតែរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងឯកសារភ្ជាប់អ៊ីមែលដែលគួរឱ្យសង្ស័យ និងអនុវត្តការការពារសុវត្ថិភាពជាស្រទាប់ ដើម្បីកាត់បន្ថយការប្រឈមមុខនឹងការគំរាមកំហែងបែបនេះ។