មេរោគ ResolverRAT

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណ Trojan ចូលប្រើពីចម្ងាយដ៏ទំនើបដែលមានឈ្មោះថា ResolverRAT ដែលត្រូវបានប្រើប្រាស់យ៉ាងសកម្មក្នុងការវាយប្រហារដែលផ្តោតលើវិស័យថែទាំសុខភាព និងឱសថ។ មេរោគដែលទើបរកឃើញថ្មីនេះ បង្កហានិភ័យយ៉ាងធ្ងន់ធ្ងរ ដោយសារតែអាកប្បកិរិយាលួចលាក់ និងយន្តការឆ្លងដ៏ស្មុគស្មាញរបស់វា។

ល្បិចបន្លំ៖ ការភ័យខ្លាចជាអាវុធ

យុទ្ធនាការនេះចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលបង្កឱ្យមានការភ័យខ្លាច ដែលត្រូវបានរៀបចំឡើងដើម្បីជំរុញអ្នកទទួលឱ្យចុចជាបន្ទាន់នូវតំណភ្ជាប់ដែលមានគំនិតអាក្រក់។ ការល្បួងទាំងនេះជារឿយៗសំដៅទៅលើបញ្ហាផ្លូវច្បាប់ ឬការរំលោភលើសិទ្ធិអ្នកនិពន្ធ ដែលត្រូវបានរចនាឡើងដើម្បីបង្កើតភាពភ័យស្លន់ស្លោ និងបង្កឱ្យមានប្រតិកម្មរហ័ស។ នៅពេលចុច តំណនាំទៅរកការទាញយកឯកសារដែលផ្តួចផ្តើមខ្សែសង្វាក់ការឆ្លងមេរោគ ResolverRAT ។

ការបោកបញ្ឆោតក្នុងតំបន់ជាក់លាក់

ធាតុលេចធ្លោនៅក្នុងយុទ្ធនាការនេះគឺការប្រើប្រាស់ខ្លឹមសារបន្លំដែលបានធ្វើមូលដ្ឋានីយកម្ម។ អ៊ីមែលត្រូវបានសរសេរជាភាសាដើមនៃតំបន់គោលដៅ - ហិណ្ឌូ អ៊ីតាលី ឆេក ទួរគី ព័រទុយហ្គាល់ និងឥណ្ឌូណេស៊ី - បញ្ជាក់ពីចេតនារបស់អ្នកវាយប្រហារដើម្បីបង្កើនភាពជោគជ័យនៃការឆ្លងតាមរយៈការកាត់ដេរតាមតំបន់ជាក់លាក់។

យន្តការឆ្លងមេរោគ៖ ប្រតិកម្មខ្សែសង្វាក់លាក់កំបាំង

ResolverRAT ប្រើការផ្ទុកចំហៀង DLL ដើម្បីចាប់ផ្តើមខ្សែសង្វាក់ការឆ្លងរបស់វា។ ដំណាក់កាលទី 1 ប្រើកម្មវិធីផ្ទុកទិន្នន័យក្នុងអង្គចងចាំ ដើម្បីឌិគ្រីប និងដំណើរការបន្ទុកចម្បង ដែលត្រូវបានអ៊ិនគ្រីប បង្ហាប់ និងមិនសរសេរទៅថាស។ បច្ចេកទេសទាំងនេះអនុញ្ញាតឱ្យវានៅតែមិនអាចរកឃើញដោយឧបករណ៍សុវត្ថិភាពប្រពៃណី។

ភាពធន់នឹងការលែងត្រូវការតទៅទៀត។

មេរោគនេះមិនគ្រាន់តែពឹងផ្អែកលើការបំបាំងកាយប៉ុណ្ណោះទេ វាត្រូវបានបង្កើតឡើងសម្រាប់ភាពរស់រានមានជីវិត។ ResolverRAT ប្រើដំណើរការ bootstrapping ពហុដំណាក់កាល ជាមួយនឹងយន្តការបន្តបន្ទាប់គ្នា ដោយបង្កប់ខ្លួនវានៅក្នុងទីតាំងផ្សេងៗនៅលើប្រព័ន្ធឯកសារ Windows និង Registry ។ នេះធានាថាទោះបីជាផ្នែកមួយនៃមេរោគត្រូវបានដកចេញក៏ដោយ វាអាចបង្កើតឡើងវិញដោយខ្លួនឯងបាន។

ហេដ្ឋារចនាសម្ព័ន្ធ C2 កម្រិតខ្ពស់៖ លាក់ខ្លួននៅក្នុងការមើលឃើញធម្មតា។

នៅពេលដែលសកម្ម ResolverRAT ចាប់ផ្តើមការផ្ទៀងផ្ទាត់ផ្អែកលើវិញ្ញាបនបត្រ ដើម្បីទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) របស់ខ្លួន ដោយធ្វើការបិទការផ្ទៀងផ្ទាត់សិទ្ធិជា root ។ វាថែមទាំងមានលក្ខណៈពិសេសការបង្វិល IP ដើម្បីប្តូរម៉ាស៊ីនមេ C2 ប្រសិនបើវាត្រូវបានដកចេញ ធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញ និងការព្យាយាមដកចេញ។

ជំនាញគេចវេះ៖ មើលមិនឃើញ ប៉ុន្តែបច្ចុប្បន្ន

ដើម្បីស្ថិតក្រោមរ៉ាដា ResolverRAT ប្រើការខ្ទាស់វិញ្ញាបនបត្រ ភាពច្របូកច្របល់នៃកូដប្រភព និងលំនាំការបញ្ជូនសញ្ញាមិនទៀងទាត់។ វិធីសាស្រ្តទាំងនេះមិនត្រឹមតែលាក់វត្តមានរបស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងកម្ចាត់បច្ចេកទេសរកឃើញស្តង់ដារដែលប្រើក្នុងប្រព័ន្ធសុវត្ថិភាពផងដែរ។

ការបន្សុទ្ធទិន្នន័យស្ងាត់

គោលបំណងចម្បងរបស់មេរោគគឺដើម្បីទទួលបានពាក្យបញ្ជាពីម៉ាស៊ីនមេ C2 និងស្រង់ទិន្នន័យចេញ។ វាបំបែកឯកសារទិន្នន័យធំយ៉ាងឆ្លាតវៃទៅជាកំណាត់ 16 KB ដោយកាត់បន្ថយហានិភ័យនៃការរកឃើញដោយឧបករណ៍ត្រួតពិនិត្យបណ្តាញ។

គុណលក្ខណៈនៅតែមិនច្បាស់លាស់ ប៉ុន្តែលំនាំលេចចេញមក

ទោះបីជាយុទ្ធនាការវាយប្រហារនៅតែមិនមានគុណលក្ខណៈក៏ដោយ ភាពស្រដៀងគ្នានៃហេដ្ឋារចនាសម្ព័ន្ធ ស្បែក និងបច្ចេកទេស - ជាពិសេសការប្រើប្រាស់ DLL side-loading និងល្បិចបោកបញ្ឆោត - ប្រាប់ពីតំណភ្ជាប់ដែលអាចធ្វើទៅបានចំពោះការវាយប្រហារដែលបានចងក្រងពីមុន។ ការត្រួតស៊ីគ្នានេះអាចចង្អុលទៅបណ្តាញសម្ព័ន្ធរួមគ្នា ឬសកម្មភាពអ្នកគំរាមកំហែងដែលសម្របសម្រួល។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលគេចវេះមិនឈប់ឈរ

ResolverRAT បង្ហាញឧទាហរណ៍នៃមេរោគជំនាន់ក្រោយ - លាក់លៀម សម្របខ្លួន និងធន់។ ការរចនារបស់វាឆ្លុះបញ្ចាំងពីការយល់ដឹងដ៏ស្មុគ្រស្មាញនៃការការពារសន្តិសុខតាមអ៊ីនធឺណិតទំនើប ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងយ៉ាងខ្លាំងចំពោះឧស្សាហកម្មគោលដៅ និងការព្រួយបារម្ភជាអាទិភាពខ្ពស់សម្រាប់អ្នកការពារ។