Samurai Backdoor
ការគំរាមកំហែង Samurai Backdoor គឺជាផ្នែកមួយនៃឃ្លាំងអាវុធនៃក្រុម APT (Advanced Persistent Threat) ដែលមិនស្គាល់ពីមុន។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានចាប់ផ្តើមសកម្មភាពរបស់ពួកគេក្នុងពេលឆាប់ៗនេះ ជាមួយនឹងសញ្ញាដំបូងនៃប្រតិបត្តិការរបស់ពួកគេត្រូវបានរកឃើញនៅក្នុងខែធ្នូ ឆ្នាំ 2020។ ព័ត៌មានលម្អិតបន្ថែមអំពីក្រុម គោលដៅរបស់វា និងឧបករណ៍មេរោគត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវ។ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបញ្ជាក់ថាពួកគេកំពុងតាមដានអង្គការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតនេះជា ToddyCat APT ។
ដំបូងឡើយ ToddyCat APT ត្រូវបានផ្តោតលើការសម្របសម្រួលម៉ាស៊ីនមេ Exchange ដែលបានជ្រើសរើសដែលមានទីតាំងនៅតៃវ៉ាន់ និងវៀតណាម។ ទោះជាយ៉ាងណាក៏ដោយ មិនយូរប៉ុន្មានក្រោយមក ពួកគេបានចាប់ផ្តើមកំណត់គោលដៅលើអង្គការជាច្រើនទាំងនៅអឺរ៉ុប និងអាស៊ី ដោយបំពានលើភាពងាយរងគ្រោះ ProxyLogon ។ មួយក្នុងចំនោមបន្ទុកដំណាក់កាលចុងក្រោយដែលបញ្ជូនទៅប្រព័ន្ធសម្របសម្រួលគឺ Samurai Backdoor ។
ដើម្បីរៀបចំប្រព័ន្ធដែលបំពានសម្រាប់បន្ទុកដំណាក់កាលក្រោយ តួអង្គគំរាមកំហែងដំបូងដាក់ពង្រាយការគំរាមកំហែងទម្លាក់។ វាទទួលខុសត្រូវក្នុងការដំឡើងសមាសធាតុគំរាមកំហែងផ្សេងទៀត និងបង្កើតសោចុះបញ្ជីជាច្រើនដែលមានសមត្ថភាពបង្ខំដំណើរការ 'svchost.exe' ស្របច្បាប់ដើម្បីផ្ទុកមេរោគសាមូរ៉ៃ។ ការគំរាមកំហែងគឺជា backdoor ម៉ូឌុលដែលត្រូវបានបំពាក់ដោយបច្ចេកទេសប្រឆាំងការវិភាគជាច្រើន។ អ្នកស្រាវជ្រាវ infosec កត់សំគាល់ថា សាមូរ៉ៃបានច្របូកច្របល់ជាមួយនឹងក្បួនដោះស្រាយជាក់លាក់ មុខងារជាច្រើនរបស់វាត្រូវបានផ្តល់ឈ្មោះចៃដន្យ ហើយវារួមបញ្ចូលរង្វិលជុំជាច្រើន និងករណីប្តូរដែលបណ្តាលឱ្យលោតរវាងការណែនាំ។
ម៉ូឌុលផ្សេងគ្នានៃការគំរាមកំហែងត្រូវបានរចនាឡើងដើម្បីដោះស្រាយភារកិច្ចជាក់លាក់ អាស្រ័យលើពាក្យបញ្ជាដែលបានទទួល។ រហូតមកដល់ពេលនេះ ម៉ូឌុលដែលខូចដែលកំណត់អត្តសញ្ញាណមានសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាបំពានតាមរយៈ cmd រៀបចំប្រព័ន្ធឯកសារ និងផ្ទុកឡើងឯកសារដែលបានជ្រើសរើសពីប្រព័ន្ធដែលបំពាន។ សាមូរ៉ៃក៏អាចបង្កើតការតភ្ជាប់ទៅកាន់អាសយដ្ឋាន IP ពីចម្ងាយ និងច្រក TCP ផងដែរ។ ប្រសិនបើពាក្យបញ្ជាដែលត្រូវគ្នាត្រូវបានទទួល មេរោគក៏អាចបញ្ជូនបន្ទុកដែលបានទទួលតាមរយៈសំណើ HTTP ទៅអាសយដ្ឋាន IP ពីចម្ងាយ ឬទៅយកវាពីទីនោះ។
