RustyWater RAT
ភ្នាក់ងារគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយអ៊ីរ៉ង់ ដែលត្រូវបានគេស្គាល់ជាទូទៅថា MuddyWater ត្រូវបានគេសន្មតថាជាអ្នកគាំទ្រយុទ្ធនាការបន្លំលួចចូលប្រព័ន្ធថ្មីមួយដែលមានគោលបំណងវាយប្រហារអង្គការការទូត ដែនសមុទ្រ ហិរញ្ញវត្ថុ និងទូរគមនាគមន៍នៅទូទាំងមជ្ឈិមបូព៌ា។ សកម្មភាពនេះផ្តោតលើការបង្កប់ដែលមានមូលដ្ឋានលើ Rust ដែលមានឈ្មោះថា RustyWater ដែលជាជំហានមួយទៀតនៅក្នុងការវិវត្តន៍ជាលំដាប់របស់ក្រុមឆ្ពោះទៅរកមេរោគដែលបង្កើតឡើងតាមតម្រូវការ។
ក្រោមឈ្មោះ Mango Sandstorm, Static Kitten និង TA450 ក្រុមហ៊ុន MuddyWater ត្រូវបានគេវាយតម្លៃយ៉ាងទូលំទូលាយថាធ្វើប្រតិបត្តិការក្នុងនាមក្រសួងស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខ (MOIS) របស់ប្រទេសអ៊ីរ៉ង់។ ក្រុមនេះបានធ្វើសកម្មភាពតាំងពីយ៉ាងហោចណាស់ឆ្នាំ ២០១៧ ហើយរក្សាការផ្តោតអារម្មណ៍ជាប់លាប់លើគោលដៅរបស់រដ្ឋាភិបាលក្នុងតំបន់ និងវិស័យឯកជន។
តារាងមាតិកា
វ៉ិចទ័រនៃការឆ្លង៖ ឯកសារដែលមានអាវុធ និងការបោកបញ្ឆោតដែលមើលឃើញ
ខ្សែសង្វាក់វាយប្រហារគឺសាមញ្ញ ប៉ុន្តែមានប្រសិទ្ធភាព។ ជនរងគ្រោះទទួលបានអ៊ីមែលបន្លំលួចបន្លំដែលបង្កើតឡើងដើម្បីមើលទៅដូចជាការណែនាំផ្លូវការអំពីសន្តិសុខតាមអ៊ីនធឺណិត។ សារទាំងនេះមានឯកសារភ្ជាប់ Microsoft Word ព្យាបាទដែលប្រើប្រាស់ការក្លែងបន្លំរូបតំណាងដើម្បីមើលទៅស្របច្បាប់។
នៅពេលដែលឯកសារត្រូវបានបើក អ្នកប្រើប្រាស់នឹងត្រូវបានជំរុញឱ្យ 'បើកដំណើរការមាតិកា'។ ការទទួលយកសំណើនេះបង្កឱ្យមានម៉ាក្រូ VBA ព្យាបាទដែលទម្លាក់ និងប្រតិបត្តិ payload ដែលមានមូលដ្ឋានលើ Rust។ ជំហានវិស្វកម្មសង្គមនេះនៅតែមានសារៈសំខាន់ចំពោះភាពជោគជ័យនៃយុទ្ធនាការ។
សមត្ថភាពមេរោគ៖ នៅខាងក្នុង RustyWater Implant
RustyWater ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Archer RAT ឬ RUSTRIC ដំណើរការជាមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលត្រូវបានរចនាឡើងសម្រាប់ការលួចលាក់ និងភាពបត់បែន។ នៅពេលដែលវាដាក់ពង្រាយរួច វាប្រមូលព័ត៌មានលម្អិតអំពីប្រព័ន្ធដែលឆ្លងមេរោគ ពិនិត្យមើលផលិតផលសុវត្ថិភាពដែលបានដំឡើង និងបង្កើតភាពស្ថិតស្ថេរតាមរយៈសោរ Windows Registry។
បន្ទាប់មក ការផ្សាំនឹងចាប់ផ្តើមទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យនៅ 'nomercys.it[.]com' ដែលអាចឱ្យមានការប្រាស្រ័យទាក់ទងអសមកាល។ តាមរយៈឆានែលនេះ ប្រតិបត្តិករអាចប្រតិបត្តិពាក្យបញ្ជា គ្រប់គ្រងឯកសារ និងពង្រីកមុខងារតាមរយៈម៉ូឌុលបន្ថែម ដែលគាំទ្រដល់ប្រតិបត្តិការក្រោយការសម្របសម្រួលរយៈពេលវែង។
ការវិវត្តន៍នៃសិប្បកម្ម៖ ពីការរស់នៅក្រៅដីរហូតដល់ការប្រើប្រាស់ឧបករណ៍តាមតម្រូវការ
តាមប្រវត្តិសាស្ត្រ MuddyWater ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើ PowerShell និង VBS loaders រួមជាមួយនឹងឧបករណ៍ចូលប្រើពីចម្ងាយស្របច្បាប់ ដើម្បីអនុវត្តទាំងសកម្មភាពចូលប្រើដំបូង និងសកម្មភាពតាមដាន។ យូរៗទៅ ក្រុមនេះបានកាត់បន្ថយការពឹងផ្អែកនោះដោយចេតនា ដើម្បីគាំទ្រដល់ផលប័ត្រមេរោគតាមតម្រូវការដែលកំពុងកើនឡើង។
ប្រព័ន្ធអេកូឡូស៊ីផ្ទាល់ខ្លួននេះរួមមានឧបករណ៍ដូចជា Phoenix, UDPGangster, BugSleep (ហៅម្យ៉ាងទៀតថា MuddyRot) និង MuddyViper។ ការទទួលយកការផ្សាំដែលមានមូលដ្ឋានលើ Rust ឆ្លុះបញ្ចាំងពីការផ្លាស់ប្តូរឆ្ពោះទៅរកសមត្ថភាពដែលមានរចនាសម្ព័ន្ធច្រើនជាងមុន ម៉ូឌុល និងមានសំឡេងរំខានទាបជាងមុន ដែលពិបាកវិភាគ និងរកឃើញ។
សកម្មភាពទូលំទូលាយ៖ RUSTRIC លើសពីមជ្ឈិមបូព៌ា
នៅចុងខែធ្នូ ឆ្នាំ២០២៥ ក្រុមអ្នកស្រាវជ្រាវបានរាយការណ៍ពីការប្រើប្រាស់ RUSTRIC នៅក្នុងសំណុំនៃការឈ្លានពានដែលពាក់ព័ន្ធ ដែលកំណត់គោលដៅលើក្រុមហ៊ុនបច្ចេកវិទ្យាព័ត៌មាន អ្នកផ្តល់សេវាកម្មដែលគ្រប់គ្រង នាយកដ្ឋានធនធានមនុស្ស និងក្រុមហ៊ុនអភិវឌ្ឍន៍កម្មវិធីនៅក្នុងប្រទេសអ៊ីស្រាអែល។ ចង្កោមសកម្មភាពនោះកំពុងត្រូវបានតាមដានថាជា UNG0801 និង Operation IconCat។
ការរកឃើញទាំងនេះគូសបញ្ជាក់ថា RustyWater មិនមែនជាការពិសោធន៍ដាច់ដោយឡែកនោះទេ ប៉ុន្តែជាសមាសធាតុសកម្មនៃឧបករណ៍វាយលុកដែលកំពុងពង្រីករបស់ MuddyWater។
ផលវិបាកជាយុទ្ធសាស្ត្រ៖ សត្រូវដែលមានភាពចាស់ទុំជាងមុន
ការលេចចេញនូវ RustyWater បានបង្ហាញពីការវិនិយោគជាបន្តបន្ទាប់របស់ MuddyWater លើមេរោគដែលបង្កើតឡើងសម្រាប់គោលបំណងជាក់លាក់មួយ ដែលត្រូវបានរចនាឡើងសម្រាប់ភាពស្ថិតស្ថេរ ការពង្រីកម៉ូឌុល និងការគេចវេស។ វឌ្ឍនភាពនេះបង្ហាញពីឥរិយាបថប្រតិបត្តិការដែលចាស់ទុំជាងមុន ជាមួយនឹងឧបករណ៍ដែលគាំទ្រដល់ការចូលប្រើដែលស្ងាត់ជាង និងយូរអង្វែងជាងសកម្មភាពដែលបង្ហាញឱ្យឃើញ និងប្រើប្រាស់ស្គ្រីបច្រើន។
សម្រាប់អ្នកការពារ ការវិវត្តន៍នេះពង្រឹងតម្រូវការក្នុងការពិនិត្យមើលការបោកបញ្ឆោតតាមឯកសារ តាមដានយន្តការរក្សាការសម្ងាត់ដែលមានមូលដ្ឋានលើការចុះឈ្មោះ និងត្រួតពិនិត្យយ៉ាងដិតដល់នូវការតភ្ជាប់ចេញមិនធម្មតា ជាពិសេសការតភ្ជាប់ដែលទាក់ទងនឹងក្រុមគ្រួសារមេរោគ Rust ដែលទើបត្រូវបានគេសង្កេតឃើញថ្មីៗ។
