សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ទ្វារក្រោយ មេរោគ RokRAT

មេរោគ RokRAT

ដោយ Mezo ក្នុង ទ្វារក្រោយ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

ក្រុមគំរាមកំហែងកូរ៉េខាងជើង APT37 (ដែលត្រូវបានគេស្គាល់ផងដែរថាជា ScarCruft) ត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការតាមអ៊ីនធឺណិតច្រើនដំណាក់កាលដ៏ស្មុគស្មាញ ដែលប្រើប្រាស់វិស្វកម្មសង្គមតាមរយៈហ្វេសប៊ុក។ អ្នកវាយប្រហារចាប់ផ្តើមទំនាក់ទំនងដោយការផ្ញើសំណើសុំធ្វើជាមិត្តភ័ក្តិ ដោយកសាងទំនុកចិត្តបន្តិចម្តងៗ មុនពេលបំលែងអន្តរកម្មទៅជាបណ្តាញចែកចាយមេរោគ។ ការរៀបចំដែលបានគណនានេះ នៅទីបំផុតអាចឱ្យមានការពង្រាយមេរោគ RokRAT ដែលអាចចូលប្រើពីចម្ងាយបាន។

អាវុធ​ដែល​ត្រូវ​ជ្រើសរើស៖ ការវិវត្តន៍​របស់ RokRAT

RokRAT នៅតែជាមេរោគចម្បងដែលក្រុមនេះប្រើប្រាស់ ហើយបានវិវត្តន៍គួរឱ្យកត់សម្គាល់តាមពេលវេលា ជាមួយនឹងការសម្របខ្លួនសម្រាប់វេទិកាដូចជា macOS និង Android។ ការអភិវឌ្ឍជាបន្តបន្ទាប់របស់វាបង្ហាញពីការវិនិយោគប្រតិបត្តិការប្រកបដោយចីរភាព។

មេរោគ​នេះ​អាច​អនុវត្ត​សកម្មភាព​ព្យាបាទ​ជាច្រើន​ប្រភេទ រួមមាន៖

  • ការប្រមូលផលព័ត៌មានសម្ងាត់ និងការលួចយកទិន្នន័យរសើប
  • ការថតរូបភាពអេក្រង់ និងការស៊ើបការណ៍សម្ងាត់ប្រព័ន្ធ
  • ការប្រតិបត្តិពាក្យបញ្ជា និង shellcode
  • ការ​គ្រប់គ្រង​ឯកសារ និង​ថតឯកសារ

ដើម្បីបិទបាំងប្រតិបត្តិការរបស់វា វ៉ារ្យ៉ង់មុនៗរក្សាទុកទិន្នន័យដែលត្រូវបានគេលួចក្នុងទម្រង់ឯកសារ MP3។ លើសពីនេះ RokRAT ក្លែងបន្លំការទំនាក់ទំនងបញ្ជា និងត្រួតពិនិត្យ (C2) របស់វាដោយការបញ្ជូនទិន្នន័យតាមរយៈវេទិកា cloud ស្របច្បាប់ដូចជា Dropbox, Microsoft OneDrive, pCloud និង Yandex Cloud។

ទំនុកចិត្តជាវ៉ិចទ័រវាយប្រហារ៖ ការរៀបចំប្រព័ន្ធផ្សព្វផ្សាយសង្គម

យុទ្ធនាការនេះចាប់ផ្តើមជាមួយនឹងការបង្កើតបុគ្គលក្លែងក្លាយនៅលើហ្វេសប៊ុក ដែលត្រូវបានគេរាយការណ៍ថាមានមូលដ្ឋាននៅទីក្រុងព្យុងយ៉ាង និងព្យុងសុង។ គណនីទាំងនេះត្រូវបានប្រើដើម្បីកំណត់អត្តសញ្ញាណ និងវាយតម្លៃជនរងគ្រោះដែលមានសក្តានុពល។ នៅពេលដែលការតភ្ជាប់ត្រូវបានបង្កើតឡើង ការសន្ទនានឹងប្តូរទៅ Messenger ជាកន្លែងដែលប្រធានបទដែលបានជ្រើសរើសយ៉ាងប្រុងប្រយ័ត្នត្រូវបានណែនាំដើម្បីបង្កើនទំនុកចិត្ត និងការចូលរួម។

យុទ្ធសាស្ត្រសំខាន់មួយដែលប្រើគឺការបន្លំ បញ្ចុះបញ្ចូលគោលដៅឱ្យដំឡើងកម្មវិធីមើល PDF ឯកទេស ក្រោមសម្មតិកម្មមិនពិតថាវាត្រូវបានទាមទារដើម្បីចូលប្រើឯកសារយោធាដែលបានអ៊ិនគ្រីប។ កម្មវិធីដែលផ្តល់ជូនគឺជាកំណែដែលបានកែប្រែរបស់ Wondershare PDFelement ដែលបង្កប់ជាមួយ shellcode ព្យាបាទ។ នៅពេលប្រតិបត្តិ កម្មវិធីដំឡើងនេះចាប់ផ្តើមការសម្របសម្រួលដោយផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធដំបូងដល់អ្នកវាយប្រហារ។

ការបោកបញ្ឆោតជាស្រទាប់ៗ៖ បច្ចេកទេសបញ្ជូន និងការគេចវេសកម្រិតខ្ពស់

ខ្សែសង្វាក់វាយប្រហារបង្ហាញពីកម្រិតខ្ពស់នៃភាពស្មុគស្មាញតាមរយៈការរួមបញ្ចូលគ្នានៃយុទ្ធសាស្ត្រគេចវេះច្រើន៖

  • ការប្រើប្រាស់កម្មវិធីស្របច្បាប់ដែលមានមេរោគ Trojan ដើម្បីជៀសវាងការសង្ស័យ
  • ការកេងប្រវ័ញ្ចហេដ្ឋារចនាសម្ព័ន្ធគេហទំព័រដែលរងការគំរាមកំហែង ប៉ុន្តែគួរឱ្យទុកចិត្តសម្រាប់ប្រតិបត្តិការ C2
  • ការក្លែងបន្លំ payloads ដែលមានគំនិតអាក្រក់ជាឯកសារដែលមិនបង្កគ្រោះថ្នាក់ ដូចជារូបភាព JPG

ជាពិសេស អ្នកវាយប្រហារបានទាញយកប្រយោជន៍ពីគេហទំព័រដែលរងការសម្របសម្រួលដែលភ្ជាប់ទៅនឹងសាខាសេអ៊ូលរបស់សេវាកម្មអចលនទ្រព្យជប៉ុន ដើម្បីចែកចាយពាក្យបញ្ជា និងបន្ទុកទិន្នន័យ។ បន្ទុកទិន្នន័យដំណាក់កាលទីពីរលេចឡើងជាឯកសាររូបភាពដែលគ្មានគ្រោះថ្នាក់ ដោយលាក់បាំងការដាក់ពង្រាយ RokRAT ចុងក្រោយ។

ការអនុវត្តពហុដំណាក់កាល៖ ពីទំនាក់ទំនងសង្គមរហូតដល់ការសម្របសម្រួលពេញលេញ

លំដាប់នៃការវាយប្រហារដំណើរការឆ្លងកាត់ដំណាក់កាលសម្របសម្រួលជាច្រើន។ ជនគំរាមកំហែងបានបង្កើតគណនីហ្វេសប៊ុកដែលមានឈ្មោះថា 'richardmichael0828' និង 'johnsonsophia0414' នៅថ្ងៃទី 10 ខែវិច្ឆិកា ឆ្នាំ 2025។ បន្ទាប់ពីបង្កើតទំនាក់ទំនង ការទំនាក់ទំនងត្រូវបានបញ្ជូនបន្តទៅ Telegram ដែលជនរងគ្រោះទទួលបានបណ្ណសារ ZIP ដែលមានកម្មវិធីមើល PDF ព្យាបាទ ឯកសារក្លែងក្លាយ និងការណែនាំអំពីការដំឡើង។

ការប្រតិបត្តិកម្មវិធីដំឡើងដែលរងការសម្របសម្រួលនឹងបង្កឱ្យមានលេខកូដសែលដែលបានអ៊ិនគ្រីប ដែលភ្ជាប់ទៅដែន C2 ហើយទាញយកបន្ទុកបន្ទាប់បន្សំដែលក្លែងបន្លំជាឯកសាររូបភាព JPG។ ឯកសារនេះនៅទីបំផុតផ្តល់នូវមេរោគ RokRAT ពេញលេញ។

ការបញ្ជា និងការគ្រប់គ្រងផ្អែកលើពពក៖ លាយបញ្ចូលគ្នាទៅក្នុងចរាចរណ៍ស្របច្បាប់

RokRAT បង្កើនការលួចលាក់របស់ខ្លួនបន្ថែមទៀតដោយរំលោភបំពាន Zoho WorkDrive ជាផ្នែកមួយនៃហេដ្ឋារចនាសម្ព័ន្ធ C2 របស់ខ្លួន ដែលជាវិធីសាស្ត្រមួយដែលក៏ត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការ 'Ruby Jumper' ដែលត្រូវបានកំណត់អត្តសញ្ញាណនៅដើមឆ្នាំ 2026។ តាមរយៈវិធីសាស្រ្តនេះ មេរោគអនុវត្តមុខងារដូចជាការចាប់យករូបថតអេក្រង់ ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមរយៈសែលប្រព័ន្ធ ការប្រមូលទិន្នន័យម៉ាស៊ីន និងការគេចវេសសុវត្ថិភាព។

ការផ្តោតជាយុទ្ធសាស្ត្រ៖ ស្ថេរភាពក្នុងមុខងារ នវានុវត្តន៍ក្នុងការដឹកជញ្ជូន

ខណៈពេលដែលសមត្ថភាពស្នូលរបស់ RokRAT នៅតែស្ថិតស្ថេរយ៉ាងទូលំទូលាយនៅទូទាំងប្រតិបត្តិការ យន្តការចែកចាយ និងយុទ្ធសាស្ត្រគេចវេសរបស់វានៅតែបន្តវិវឌ្ឍ។ ការសង្កត់ធ្ងន់ជាយុទ្ធសាស្ត្រនេះបង្ហាញពីការផ្តោតអារម្មណ៍ដោយចេតនាលើការកែលម្អវ៉ិចទ័រឆ្លង និងបច្ចេកទេសលាក់បាំងជាជាងការផ្លាស់ប្តូរមុខងារជាមូលដ្ឋានរបស់មេរោគ។

ប្រកាសដែលពាក់ព័ន្ធ

រូបថតអេក្រង់ ក្រុម Cyber របស់កូរ៉េខាងជើង កេងប្រវ័ញ្ច Windows...

ក្រុម Cyber របស់កូរ៉េខាងជើង កេងប្រវ័ញ្ច Windows...

សុវត្ថិភាពកុំព្យូទ័រ
នៅក្នុងរលកថ្មីនៃការវាយប្រហារតាមអ៊ីនធឺណែត ក្រុមហេកឃ័ររបស់កូរ៉េខាងជើង ScarCruft ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការកេងប្រវ័ញ្ចនៃ ភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុង Windows ។...

និន្នាការ

ការជូនដំណឹងអំពីជំហានផ្ទៀងផ្ទាត់

មេរោគ, គេហទំព័រក្លែងក្លាយ
ការជូនដំណឹងអំពីជំហានផ្ទៀងផ្ទាត់តំណាងឱ្យហានិភ័យធ្ងន់ធ្ងរដោយការកេងប្រវ័ញ្ច CAPTCHA ក្លែងក្លាយ ឬការជំរុញការផ្ទៀងផ្ទាត់របស់មនុស្ស ដើម្បីរៀបចំអ្នកប្រើប្រាស់ឱ្យធ្វើសកម្មភាពដែលបង្កគ្រោះថ្នាក់។...

ការបោកប្រាស់តាមអ៊ីមែលដែលតម្រូវឲ្យមានការផ្ទៀងផ្ទាត់សុ...

ការបន្លំ, សារឥតបានការ
ការប្រុងប្រយ័ត្ននៅពេលដោះស្រាយជាមួយអ៊ីមែលដែលមិននឹកស្មានដល់គឺមានសារៈសំខាន់សម្រាប់ការរក្សាសុវត្ថិភាពតាមអ៊ីនធឺណិត។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតច្រើនតែក្លែងបន្លំសារព្យាបាទជាការទំនាក់ទំនងស្របច្បាប់ដើម្បីកេងចំណេញពីការជឿទុកចិត្ត និងភាពបន្ទាន់។ ការបោកប្រាស់អ៊ីមែលដែលហៅថា 'តម្រូវឱ្យមានការផ្ទៀងផ្ទាត់សុវត្ថិភាព' គឺជាឧទាហរណ៍ដ៏សំខាន់នៃយុទ្ធសាស្ត្រនេះ។ អ៊ីមែលទាំងនេះមិនមានទំនាក់ទំនងជាមួយក្រុមហ៊ុន អង្គការ...

មើលច្រើនបំផុត

Eporner.com

បញ្ហា
25,053
អ៊ីនធឺណិត​ជា​កន្លែង​ដ៏​ធំ​មួយ​ដែល​ពោរពេញ​ទៅ​ដោយ​មាតិកា​ដែល​មាន​ប្រយោជន៍ ការ​កម្សាន្ត និង​ព័ត៌មាន ប៉ុន្តែ​វា​ក៏​មាន​ជ្រុង​ងងឹត​ដែរ។ មិនថាអ្នកកំពុងចាក់ផ្សាយកម្មវិធី ទាញយកកម្មវិធី...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
21,285
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...

របៀបជួសជុល 'macOS...

បញ្ហា
21,205
សារ 'macOS មិនអាចផ្ទៀងផ្ទាត់ថាកម្មវិធីនេះគ្មានមេរោគ' បង្ហាញថាប្រព័ន្ធប្រតិបត្តិការមិនអាចបញ្ជាក់ថាតើកម្មវិធីមានសុវត្ថិភាព និងគ្មានកូដព្យាបាទឬអត់នោះទេ។...
កំពុង​ផ្ទុក...