កណ្តុរ RTX

ឧប្បត្តិហេតុសុវត្ថិភាពមួយដែលពាក់ព័ន្ធនឹង CPUID បានធ្វើឱ្យអ្នកប្រើប្រាស់ប៉ះពាល់នឹងកម្មវិធីព្យាបាទតាមរយៈគេហទំព័រផ្លូវការរបស់ខ្លួនគឺ cpuid.com។ ក្នុងរយៈពេលតិចជាង 24 ម៉ោង ជនគំរាមកំហែងបានរៀបចំតំណភ្ជាប់ទាញយកដោយជោគជ័យ ដើម្បីចែកចាយកំណែឆ្លងមេរោគនៃឧបករណ៍ត្រួតពិនិត្យផ្នែករឹងដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ។

ការសម្របសម្រួលនេះបានកើតឡើងរវាងថ្ងៃទី 9 ខែមេសា វេលាម៉ោង 15:00 UTC និងថ្ងៃទី 10 ខែមេសា វេលាម៉ោង 10:00 UTC ដែលក្នុងអំឡុងពេលនោះតំណភ្ជាប់កម្មវិធីដំឡើងស្របច្បាប់ត្រូវបានជំនួសម្តងម្កាលជាមួយនឹងការបញ្ជូនបន្តដែលមានគំនិតអាក្រក់។ អ្វីដែលសំខាន់នោះ CPUID បានបញ្ជាក់ថា ប៊ីណារីដើមដែលបានចុះហត្ថលេខារបស់វានៅតែដដែល ដោយសារការរំលោភនេះកើតចេញពីលក្ខណៈពិសេសបន្ទាប់បន្សំ ដែលជាទូទៅគឺជា API ចំហៀង ដែលបណ្តាលឱ្យគេហទំព័របង្ហាញតំណភ្ជាប់ដែលបង្កគ្រោះថ្នាក់ដោយចៃដន្យជាជាងការផ្លាស់ប្តូរកម្មវិធីស្នូលខ្លួនឯង។

ហេដ្ឋារចនាសម្ព័ន្ធព្យាបាទ៖ ដែនក្លែងក្លាយនៅពីក្រោយការវាយប្រហារ

ការស៊ើបអង្កេតដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណដែនជាច្រើនដែលត្រូវបានប្រើដើម្បីបង្ហោះ និងចែកចាយបន្ទុកមេរោគ Trojan ។ គេហទំព័រក្លែងក្លាយទាំងនេះដើរតួនាទីយ៉ាងសំខាន់ក្នុងការបញ្ជូនអ្នកប្រើប្រាស់ដែលមិនបានដឹងខ្លួនទៅកាន់ការទាញយកដែលរងការគំរាមកំហែង៖

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• វ៉ាត្រូប្រាន[.]ម៉ោង

ដែនទាំងនេះបង្កើតបានជាផ្នែកមួយនៃហេដ្ឋារចនាសម្ព័ន្ធទូលំទូលាយជាងមុន ដែលត្រូវបានរចនាឡើងដើម្បីគាំទ្រដល់ការចែកចាយមេរោគ និងប្រតិបត្តិការបញ្ជា និងគ្រប់គ្រង។

យន្តការចែកចាយដោយលួចលាក់៖ ការរំលោភបំពានលើការផ្ទុក DLL ចំហៀង

អ្នកវាយប្រហារបានប្រើប្រាស់បច្ចេកទេសគេចវេសដ៏ល្បីមួយហៅថា DLL side-loading។ កញ្ចប់ព្យាបាទត្រូវបានចែកចាយទាំងជាបណ្ណសារ ZIP និងជាកម្មវិធីដំឡើងឯករាជ្យ ដែលនីមួយៗមានសមាសធាតុពីរ៖ ឯកសារដែលអាចប្រតិបត្តិបានស្របច្បាប់ និងបណ្ណាល័យតំណភ្ជាប់ថាមវន្តក្លែងក្លាយដែលមានឈ្មោះថា 'CRYPTBASE.dll'។

តាមរយៈការកេងប្រវ័ញ្ចលើការជឿទុកចិត្តដែលដាក់ក្នុងប្រព័ន្ធគោលពីរដែលបានចុះហត្ថលេខា DLL ព្យាបាទត្រូវបានផ្ទុកកំឡុងពេលប្រតិបត្តិ ដែលអនុញ្ញាតឱ្យមានការសម្របសម្រួលដោយសម្ងាត់។ មុនពេលចាប់ផ្តើមសកម្មភាពបន្ថែមទៀត មេរោគបានធ្វើការត្រួតពិនិត្យប្រឆាំងនឹងប្រអប់ខ្សាច់ដើម្បីជៀសវាងការរកឃើញនៅក្នុងបរិយាកាសវិភាគ។ នៅពេលដែលការត្រួតពិនិត្យទាំងនេះត្រូវបានអនុម័ត វាបានទាក់ទងម៉ាស៊ីនមេខាងក្រៅដើម្បីទាញយកបន្ទុកបន្ថែម។

ការដាក់ពង្រាយ STX RAT៖ ឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចដែលអាចបត់បែនបាន

គោលបំណងចុងក្រោយនៃយុទ្ធនាការនេះគឺដើម្បីដាក់ពង្រាយ STX RAT ដែលជាមេរោគ Trojan ចូលប្រើពីចម្ងាយដ៏មានអានុភាពដែលបំពាក់ដោយសមត្ថភាពកុំព្យូទ័របណ្តាញនិម្មិតដែលលាក់ (HVNC) និងមុខងារលួចទិន្នន័យយ៉ាងទូលំទូលាយ។

មេរោគនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការគ្រប់គ្រងជាប់លាប់លើប្រព័ន្ធដែលឆ្លងមេរោគ និងអនុវត្តសកម្មភាពក្រោយការកេងប្រវ័ញ្ចជាច្រើន រួមមាន៖

• ការប្រតិបត្តិក្នុងអង្គចងចាំនៃ EXE, DLL, ស្គ្រីប PowerShell និង shellcode
• ការបញ្ជូនប្រូកស៊ីបញ្ច្រាស និងផ្លូវរូងក្រោមដីបណ្តាញ
• អន្តរកម្មផ្ទៃតុពីចម្ងាយ និងការឃ្លាំមើល

សមត្ថភាពបែបនេះធ្វើឱ្យ STX RAT មានគ្រោះថ្នាក់ជាពិសេសទាំងនៅក្នុងបរិស្ថានបុគ្គល និងសហគ្រាស។

ការត្រួតស៊ីគ្នានៃយុទ្ធនាការ៖ តំណភ្ជាប់ទៅកាន់ការវាយប្រហារ FileZilla មុនៗ

ការវិភាគបានបង្ហាញថា ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ (C2) ដែលប្រើក្នុងឧប្បត្តិហេតុនេះពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការដាច់ដោយឡែកមួយដែលពាក់ព័ន្ធនឹងអ្នកដំឡើង FileZilla ដែលមានមេរោគ Trojan។ ការប្រើប្រាស់ឡើងវិញនៃការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ និងដែនទំនាក់ទំនងដូចគ្នាបង្ហាញយ៉ាងច្បាស់ពីការត្រួតស៊ីគ្នានៃប្រតិបត្តិការរវាងយុទ្ធនាការទាំងពីរ។

ការធ្វើម្តងទៀតនៃយុទ្ធសាស្ត្រ បច្ចេកទេស និងហេដ្ឋារចនាសម្ព័ន្ធនេះ បានផ្តល់សូចនាករដ៏មានតម្លៃសម្រាប់ការរកឃើញ និងការបញ្ជាក់មូលហេតុ។

ប្រតិបត្តិការរយៈពេលវែង៖ កាលវិភាគយុទ្ធនាការរយៈពេល ១០ ខែ

ការស៊ើបអង្កេតបន្ថែមបង្ហាញថា ការរំលោភលើ CPUID គឺជាផ្នែកមួយនៃយុទ្ធនាការទូលំទូលាយមួយដែលបានចាប់ផ្តើមនៅក្នុងខែកក្កដា ឆ្នាំ២០២៥។ គំរូមេរោគដែលគេស្គាល់ដំបូងបំផុត ដែលត្រូវបានកំណត់ថាជា 'superbad.exe' ត្រូវបានគេសង្កេតឃើញថាកំពុងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យនៅ 95.216.51.236។

អ្នកជំនាញសន្តិសុខវាយតម្លៃថា ជនគំរាមកំហែងទំនងជានិយាយភាសារុស្ស៊ី ហើយអាចមានហេតុផលផ្នែកហិរញ្ញវត្ថុ ឬដំណើរការជាអ្នកសម្របសម្រួលការចូលប្រើដំបូង ដែលជាអង្គភាពដែលមានជំនាញក្នុងការទទួលបានទីតាំងនៅក្នុងប្រព័ន្ធ និងលក់ការចូលប្រើនោះទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀត។

ការវាយតម្លៃផលប៉ះពាល់៖ ការឈានដល់សកលលោកជាមួយជនរងគ្រោះចម្រុះ

ការវាយប្រហារនេះបានប៉ះពាល់ដល់ជនរងគ្រោះដែលបានបញ្ជាក់ជាង ១៥០ នាក់ ដែលភាគច្រើនជាអ្នកប្រើប្រាស់ម្នាក់ៗ។ ទោះជាយ៉ាងណាក៏ដោយ អង្គការនានានៅទូទាំងឧស្សាហកម្មជាច្រើនក៏បានជួបប្រទះនឹងការសម្របសម្រួលផងដែរ រួមទាំងវិស័យលក់រាយ ផលិតកម្ម ការប្រឹក្សាយោបល់ ទូរគមនាគមន៍ និងកសិកម្ម។

តាមភូមិសាស្ត្រ ការឆ្លងភាគច្រើនត្រូវបានរកឃើញនៅក្នុងប្រទេសប្រេស៊ីល រុស្ស៊ី និងចិន ដែលបង្ហាញពីយុទ្ធសាស្ត្រកំណត់គោលដៅដ៏ទូលំទូលាយ និងឆ្លៀតឱកាស។

ចំណុចខ្សោយប្រតិបត្តិការ៖ កំហុសដែលនាំឱ្យមានការរកឃើញ

បើទោះបីជាទំហំនៃយុទ្ធនាការនេះមានទំហំធំក៏ដោយ ការបរាជ័យផ្នែកសុវត្ថិភាពប្រតិបត្តិការជាច្រើនបានធ្វើឱ្យប៉ះពាល់ដល់ប្រសិទ្ធភាពរបស់អ្នកវាយប្រហារយ៉ាងខ្លាំង។ ការប្រើប្រាស់ឡើងវិញនូវខ្សែសង្វាក់ឆ្លងមេរោគដូចគ្នា បន្ទុកទិន្នន័យ STX RAT និងដែនបញ្ជា និងត្រួតពិនិត្យពីយុទ្ធនាការមុនៗ បានធ្វើឱ្យសកម្មភាពកាន់តែងាយស្រួលក្នុងការតាមដាន និងភ្ជាប់ទំនាក់ទំនង។

ចំណុចខ្វះខាតទាំងនេះបង្ហាញពីភាពស្មុគស្មាញទាបក្នុងការអភិវឌ្ឍ និងការអនុវត្តការដាក់ពង្រាយមេរោគ។ ជាលទ្ធផល អ្នកការពារអាចរកឃើញការវាយប្រហារ watering hole បានយ៉ាងឆាប់រហ័សបន្ទាប់ពីការចាប់ផ្តើមរបស់វា ដែលកំណត់ផលប៉ះពាល់រួម និងរយៈពេលនៃការប៉ះពាល់របស់វា។