QuiteRAT
សមូហភាពនៃការលួចចូលដ៏ល្បីមួយ ដែលធ្វើសកម្មភាពក្នុងនាមប្រទេសកូរ៉េខាងជើង បានដាក់ពង្រាយមេរោគប្រភេទថ្មី ដើម្បីកំណត់គោលដៅអង្គការថែទាំសុខភាព និងហេដ្ឋារចនាសម្ព័ន្ធអ៊ីនធឺណិតសំខាន់ៗ នៅទូទាំងអឺរ៉ុប និងសហរដ្ឋអាមេរិក។ ប្រភេទមេរោគកម្រិតខ្ពស់នេះ ដែលកំណត់ដោយក្រុមអ្នកស្រាវជ្រាវថា QuiteRAT ចែករំលែកលក្ខណៈជាច្រើនជាមួយនឹងប្រភេទមេរោគដែលបានសង្កេតពីមុន ដែលប្រើប្រាស់ដោយក្រុម Lazarus APT ។ ទោះជាយ៉ាងណាក៏ដោយ វាមានកម្រិតនៃភាពស្មុគស្មាញខ្ពស់ ដែលធ្វើឱ្យវាកាន់តែមានការប្រកួតប្រជែងខ្លាំងសម្រាប់អ្នកការពារក្នុងការវិភាគ និងប្រឆាំង។ លើសពីនេះទៀត ក្នុងអំឡុងពេលនៃការបំពានដំបូងនៃប្រតិបត្តិការរបស់ពួកគេ ពួក Hacker ក៏បានប្រើប្រាស់ឧបករណ៍ប្រភពបើកចំហរ និងក្របខ័ណ្ឌ ដូចដែលបានរៀបរាប់លម្អិតដោយការរកឃើញនៃការស្រាវជ្រាវ។
តារាងមាតិកា
Lazarus នៅតែជាតារាសម្ដែងសកម្មខ្លាំងក្នុងទិដ្ឋភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
អ្នកវិភាគផ្នែកសន្តិសុខបាននាំយកមកនូវប្រតិបត្តិការវាយប្រហារជាបន្តបន្ទាប់ដែលពាក់ព័ន្ធនឹងក្រុមលួចចូល Lazarus ដែលបានបង្កើតឡើងយ៉ាងល្អ ដែលទទួលបានភាពល្បីល្បាញចំពោះការលួចគ្រីបតូគ្រីបតូដែលមានតម្លៃ 1.7 ពាន់លានដុល្លារក្នុងឆ្នាំ 2022។ គួរកត់សម្គាល់ថាក្នុងរយៈពេលតិចជាងមួយឆ្នាំ ក្រុមនេះមាន ត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការដែលបានចងក្រងជាឯកសារចំនួនបី។ ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតបង្ហាញពីការប្រើប្រាស់ឡើងវិញនូវហេដ្ឋារចនាសម្ព័ន្ធដូចគ្នាបេះបិទនៅទូទាំងប្រតិបត្តិការទាំងនេះ។
ការទទួលយកឧបករណ៍ប្រភពបើកចំហរបស់ Lazarus បានបង្កើនការព្រួយបារម្ភ ដោយសារតែឥទ្ធិពលរបស់វាទៅលើដំណើរការកំណត់គុណលក្ខណៈ និងការបង្កើនល្បឿននៃវដ្តនៃការកេងប្រវ័ញ្ច។ តាមរយៈការប្រើប្រាស់ឧបករណ៍ប្រភពបើកចំហ ពួក Hacker គ្រប់គ្រងដើម្បីកាត់បន្ថយការសង្ស័យ និងជៀសវាងនូវតម្រូវការដើម្បីបង្កើតសមត្ថភាពពីទទេ។ គួរកត់សម្គាល់ថា ឧបករណ៍ប្រភពបើកចំហជាច្រើន ដែលដើមឡើយមានគោលបំណងសម្រាប់ភារកិច្ចការពារ និងវាយលុកស្របច្បាប់បានក្លាយជាផ្នែកមួយនៃឃ្លាំងអាវុធអាក្រក់របស់ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងៗ។
ការទាញយកភាពងាយរងគ្រោះនៅក្នុងឈុតកម្មវិធីអាជីវកម្មពេញនិយម
ឧប្បត្តិហេតុដែលបានរាយការណ៍រួមមានការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលប៉ះពាល់ដល់ ManageEngine ServiceDesk ។ ឈុតដែលផ្តល់ដោយ ManageEngine រកឃើញការប្រើប្រាស់នៅទូទាំងសហគ្រាសជាច្រើន រួមទាំងអង្គការ Fortune 100 ភាគច្រើនផងដែរ។ កម្មវិធីនេះត្រូវបានប្រើក្នុងការគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ IT, បណ្តាញ, servers, កម្មវិធី, endpoints និងមុខងារផ្សេងទៀត។ នៅក្នុងខែមករា ក្រុមហ៊ុនដែលទទួលខុសត្រូវលើផលិតផលបានទទួលស្គាល់ជាផ្លូវការនូវអត្ថិភាពនៃភាពងាយរងគ្រោះ ដែលត្រូវបានកំណត់ថា CVE-2022-47966។ ក្រុមហ៊ុនសន្តិសុខជាច្រើនបានចេញការជូនដំណឹងទាក់ទងនឹងការកេងប្រវ័ញ្ចសកម្មរបស់ខ្លួនដោយអ្នកប្រព្រឹត្តអាក្រក់។
QuiteRAT លាក់ទុកនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល
QuiteRAT ផ្តល់អំណាចដល់ពួក Hacker ក្នុងការប្រមូលព័ត៌មានពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ ការគំរាមកំហែងនេះក៏ត្រូវបានបំពាក់ដោយមុខងារដែលអាចឱ្យវាចូលទៅក្នុងរបៀប 'គេង' សម្រាប់រយៈពេលដែលបានកំណត់ទុកជាមុន ដែលសម្រួលដល់ការលាក់បាំងវត្តមានរបស់វានៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល។
បើប្រៀបធៀបទៅនឹង MagicRAT ដែលជាក្រុមហ៊ុនឈានមុខគេ ដែលបង្ហាញដោយពួក Hacker Lazarus ក្នុងខែមេសា ឆ្នាំ 2022 QuiteRAT មានទំហំតូចជាងគួរឱ្យកត់សម្គាល់។ វាវាស់ត្រឹមតែ 4 ទៅ 5 មេកាបៃ ជាចម្បងដោយសារតែការខកខាននៃសមត្ថភាពតស៊ូដែលមានស្រាប់នៅក្នុងបណ្តាញដែលបំពាន។ ជាលទ្ធផល ពួក Hacker ចាំបាច់ត្រូវណែនាំមុខងារ persistence ដាច់ដោយឡែកមួយជាបន្តបន្ទាប់។
ភាពស្រដៀងគ្នារវាងការផ្សាំបង្ហាញថា QuiteRAT កើតចេញពីត្រកូល MagicRAT ។ លើសពីការពឹងផ្អែករួមគ្នារបស់ពួកគេលើក្របខ័ណ្ឌ Qt ការគំរាមកំហែងទាំងពីរបង្ហាញមុខងារស្រដៀងគ្នា រួមទាំងការប្រតិបត្តិពាក្យបញ្ជាបំពានលើប្រព័ន្ធមេរោគ។
ដោយភ្ជាប់ជាមួយមេរោគ QuiteRAT របស់ពួកគេ អ្នកស្រាវជ្រាវបានសង្កេតឃើញក្រុម Lazarus ប្រើប្រាស់ការគំរាមកំហែងដែលមិនស្គាល់ពីមុនមួយទៀតដែលមានឈ្មោះថា 'CollectionRAT' ។ មេរោគនេះបង្ហាញសមត្ថភាពស្តង់ដារពីចម្ងាយចូលប្រើ Trojan (RAT) ដែលអនុញ្ញាតឱ្យវាប្រតិបត្តិពាក្យបញ្ជាបំពានលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។