មេរោគ Showboat

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញក្របខ័ណ្ឌមេរោគ Linux ដែលគ្មានឯកសារពីមុន ដែលគេស្គាល់ថា Showboat ដែលត្រូវបានដាក់ពង្រាយយ៉ាងសកម្មប្រឆាំងនឹងអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ាយ៉ាងហោចណាស់ចាប់តាំងពីពាក់កណ្តាលឆ្នាំ 2022។ មេរោគនេះដំណើរការជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចម៉ូឌុលដែលមានសមត្ថភាពអនុញ្ញាតឱ្យចូលប្រើសែលពីចម្ងាយ ផ្ទេរឯកសារ និងដំណើរការជាប្រូកស៊ី SOCKS5 នៅក្នុងបរិស្ថានដែលរងការសម្របសម្រួល។

អ្នកវិភាគសន្តិសុខជឿជាក់ថា មេរោគនេះមានទំនាក់ទំនងជាមួយចង្កោមគំរាមកំហែងមួយ ឬច្រើន។ អ្នកស៊ើបអង្កេតបានកំណត់អត្តសញ្ញាណទំនាក់ទំនងរវាងហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ (C2) របស់មេរោគ និងអាសយដ្ឋាន IP ដែលត្រូវបានរកឃើញទៅកាន់ទីក្រុង Chengdu ដែលជារដ្ឋធានីនៃខេត្ត Sichuan ប្រទេសចិន ដែលពង្រឹងការសង្ស័យអំពីការចូលរួមដែលឧបត្ថម្ភដោយរដ្ឋចិន។

ការតភ្ជាប់ទៅកាន់ប្រតិបត្តិការគំរាមកំហែងដែលបានបង្កើតឡើងដែលភ្ជាប់ជាមួយប្រទេសចិន

ក្រុមមួយក្នុងចំណោមក្រុមដែលជាប់ពាក់ព័ន្ធនឹងសកម្មភាពនេះគឺ Calypso ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Bronze Medley និង Red Lamassu។ ភ្នាក់ងារគំរាមកំហែងនេះបានធ្វើសកម្មភាពចាប់តាំងពីយ៉ាងហោចណាស់ខែកញ្ញា ឆ្នាំ 2016 ហើយបានកំណត់គោលដៅលើអង្គភាពរដ្ឋាភិបាល និងស្ថាប័ននានានៅទូទាំងប្រទេសប្រេស៊ីល ឥណ្ឌា កាហ្សាក់ស្ថាន រុស្ស៊ី ថៃ និងតួកគី។ របាយការណ៍សាធារណៈលើក្រុមនេះបានលេចចេញជាលើកដំបូងនៅក្នុងឆ្នាំ 2019 តាមរយៈការស្រាវជ្រាវដែលបានបោះពុម្ពផ្សាយដោយ Positive Technologies។

ពីមុន Calypso ពឹងផ្អែកលើក្រុមគ្រួសារមេរោគដូចជា PlugX រួមជាមួយនឹង backdoor រួមទាំង WhiteBird និង BYEBY។ មេរោគ BYEBY ជាកម្មសិទ្ធិរបស់ចង្កោមប្រតិបត្តិការធំជាងមួយដែលមានឈ្មោះថា Mikroceen ដែលក៏ត្រូវបានភ្ជាប់ទៅនឹងចង្កោមគំរាមកំហែង SixLittleMonkeys ផងដែរ។ អ្នកស្រាវជ្រាវបានកត់សម្គាល់បន្ថែមទៀតអំពីភាពស្រដៀងគ្នាខាងយុទ្ធសាស្ត្ររវាង SixLittleMonkeys និងប្រតិបត្តិការមួយផ្សេងទៀតដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន ដែលគេស្គាល់ថា Webworm។

ការលេចចេញនូវ Showboat រួមជាមួយនឹងក្របខ័ណ្ឌដែលបានចែករំលែកដូចជា PlugX, ShadowPad និង NosyDoor បានបង្ហាញពីនិន្នាការកាន់តែទូលំទូលាយក្នុងចំណោមអ្នកគំរាមកំហែងដែលមានទំនាក់ទំនងរវាងប្រទេសចិន៖ ការប្រើប្រាស់ឡើងវិញ និងការចែកចាយឧបករណ៍អ៊ីនធឺណិតដែលវាយប្រហារនៅទូទាំងក្រុមចារកម្មជាច្រើន។ គំរូនេះបង្ហាញយ៉ាងច្បាស់អំពីអត្ថិភាពនៃ 'អ្នកគ្រប់គ្រងឌីជីថល' កណ្តាលដែលទទួលខុសត្រូវក្នុងការផ្គត់ផ្គង់មេរោគ និងធនធានប្រតិបត្តិការដល់ប្រតិបត្តិករដែលគាំទ្រដោយរដ្ឋ។

សមត្ថភាព Backdoor កម្រិតខ្ពស់របស់ Linux បង្កើនការព្រួយបារម្ភយ៉ាងខ្លាំង

ការស៊ើបអង្កេតបានចាប់ផ្តើមបន្ទាប់ពីអ្នកស្រាវជ្រាវបានវិភាគប្រព័ន្ធគោលពីរ ELF ដែលត្រូវបានផ្ទុកឡើងក្នុងខែឧសភា ឆ្នាំ២០២៥ ដែលដំបូងឡើយត្រូវបានចាត់ថ្នាក់ជា backdoor Linux កម្រិតខ្ពស់ជាមួយនឹងមុខងារដូច rootkit។ គំរូមេរោគក៏ត្រូវបានតាមដានក្រោមឈ្មោះ EvaRAT ផងដែរ។

ទោះបីជាវ៉ិចទ័រនៃការឆ្លងមេរោគពិតប្រាកដនៅមិនទាន់ដឹងក៏ដោយ ការឈ្លានពានរបស់ Calypso ពីមុនពាក់ព័ន្ធនឹងការដាក់ពង្រាយ ASPX web shells បន្ទាប់ពីកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ ឬធ្វើឱ្យខូចដល់គណនីចូលប្រើពីចម្ងាយលំនាំដើម។ ក្រុមនេះក៏ស្ថិតក្នុងចំណោមអ្នកគំរាមកំហែងចិនដំបូងគេដែលបានប្រើប្រាស់ CVE-2021-26855 ដែលជាចំណុចខ្សោយរបស់ Microsoft Exchange Server ដែលបានបង្កើតដំណាក់កាលដំបូងនៃខ្សែសង្វាក់កេងប្រវ័ញ្ច ProxyLogon ដ៏ល្បីល្បាញ។

Showboat ត្រូវបានរចនាឡើងដើម្បីបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ពីចម្ងាយ ប្រមូលព័ត៌មានប្រព័ន្ធលម្អិត និងបញ្ជូនទិន្នន័យដែលប្រមូលបានក្នុងទម្រង់អ៊ិនគ្រីប និង Base64-encoded ដែលលាក់នៅក្នុងវាល PNG។ មេរោគនេះក៏គាំទ្រមុខងារលាក់បាំង និងប្រតិបត្តិការជាច្រើនផងដែរ រួមមាន៖

• មុខងារផ្ទុកឡើង និងទាញយកឯកសារ
• បច្ចេកទេសលាក់បាំងដំណើរការ
• ការគ្រប់គ្រងម៉ាស៊ីនមេ C2
• ការស្កេនបណ្តាញខាងក្នុង
• ការ​ធ្វើ​ផ្លូវរូង​ប្រូកស៊ី SOCKS5 សម្រាប់​ចលនា​ចំហៀង

ដើម្បីគេចពីការរកឃើញនៅលើម៉ាស៊ីនមេដែលរងការគំរាមកំហែង Showboat ទាញយកបំណែកកូដពី Pastebin ដោយអ្នកស្រាវជ្រាវតាមដានខ្លឹមសារដែលបានបង្ហោះត្រឡប់ទៅថ្ងៃទី 11 ខែមករា ឆ្នាំ 2022។ អ្នកវិភាគជឿថាគោលបំណងចម្បងរបស់មេរោគនេះគឺដើម្បីធានាការចូលប្រើជាប់លាប់នៅក្នុងបណ្តាញគោលដៅ ជាពិសេសប្រព័ន្ធដែលដាច់ដោយឡែកពីការប៉ះពាល់អ៊ីនធឺណិតដោយផ្ទាល់ និងអាចចូលបានតែតាមរយៈការតភ្ជាប់ LAN ខាងក្នុងប៉ុណ្ណោះ។

ការពង្រីកហេដ្ឋារចនាសម្ព័ន្ធបង្ហាញពីជនរងគ្រោះអន្តរជាតិ

ការត្រួតពិនិត្យបន្ថែមទៀតលើហេដ្ឋារចនាសម្ព័ន្ធគំរាមកំហែងបានរកឃើញអង្គការជនរងគ្រោះជាច្រើនដែលគ្របដណ្តប់លើតំបន់ជាច្រើន។ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណអ្នកផ្តល់សេវាអ៊ីនធឺណិតដែលមានមូលដ្ឋាននៅអាហ្វហ្គានីស្ថាន និងអង្គការដែលមិនស្គាល់អត្តសញ្ញាណបន្ថែមមួយដែលមានទីតាំងនៅអាស៊ែបៃហ្សង់។ ចង្កោមបន្ទាប់បន្សំនៃម៉ាស៊ីនមេ C2 ដែលចែករំលែកវិញ្ញាបនបត្រ X.509 ស្រដៀងគ្នាក៏បានចង្អុលបង្ហាញពីការសម្របសម្រួលដែលអាចកើតមានដែលប៉ះពាល់ដល់អង្គភាពនៅសហរដ្ឋអាមេរិក និងអ៊ុយក្រែនផងដែរ។

ការដាក់ពង្រាយមេរោគជាបន្តបន្ទាប់បង្ហាញថា ទោះបីជាមានការប្រើប្រាស់បច្ចេកទេសលួចលាក់កាន់តែច្រើនឡើងដោយអ្នកគំរាមកំហែងជាច្រើនក៏ដោយ ក្រុមកម្រិតខ្ពស់នៅតែពឹងផ្អែកយ៉ាងខ្លាំងទៅលើទ្វារក្រោយផ្ទាល់ខ្លួនសម្រាប់ការចូលប្រើរយៈពេលវែង និងការគ្រប់គ្រងប្រតិបត្តិការ។ អ្នកជំនាញសន្តិសុខព្រមានថា ការរកឃើញមេរោគដូចជា Showboat គួរតែត្រូវបានចាត់ទុកថាជាសូចនាករដ៏សំខាន់នៃការសម្របសម្រួលកាន់តែទូលំទូលាយនៅក្នុងបណ្តាញដែលរងផលប៉ះពាល់។

JFMBackdoor ពង្រីកយុទ្ធនាការលើសពីប្រព័ន្ធ Linux

បន្ថែមពីលើ Showboat ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញ Calypso ដាក់ពង្រាយមេរោគ Windows ដែលមានលក្ខណៈពិសេសពេញលេញមួយ ដែលគេស្គាល់ថា JFMBackdoor ក្នុងអំឡុងពេលវាយប្រហារដែលកំណត់គោលដៅលើវិស័យទូរគមនាគមន៍របស់ប្រទេសអាហ្វហ្គានីស្ថាន។ មេរោគនេះត្រូវបានបញ្ជូនតាមរយៈការផ្ទុក DLL ចំហៀង ដែលជាបច្ចេកទេសមួយដែលរំលោភបំពានកម្មវិធីស្របច្បាប់ដើម្បីផ្ទុកបណ្ណាល័យតំណភ្ជាប់ថាមវន្តដែលមានគំនិតអាក្រក់។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគចាប់ផ្តើមជាមួយនឹងស្គ្រីបបាច់មួយដែលបើកដំណើរការកម្មវិធីដែលអាចប្រតិបត្តិបានដែលគួរឱ្យទុកចិត្ត ដែលបន្ទាប់មកផ្ទុកទិន្នន័យ DLL ក្លែងក្លាយ។ នៅពេលដែលសកម្ម JFMBackdoor ផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងប្រតិបត្តិការយ៉ាងទូលំទូលាយលើប្រព័ន្ធដែលរងការសម្របសម្រួល។ មុខងាររបស់វារួមមាន៖

• ការប្រតិបត្តិសែលពីចម្ងាយ

ការផ្តោតលើប្រទេសអាហ្វហ្គានីស្ថាន និងហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍របស់ខ្លួន ស្របគ្នាយ៉ាងជិតស្និទ្ធជាមួយនឹងគោលបំណងយុទ្ធសាស្ត្រទូលំទូលាយជាងមុន ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងប្រតិបត្តិការ Red Lamassu ដោយពង្រឹងការវាយតម្លៃថា យុទ្ធនាការនេះបង្កើតបានជាផ្នែកមួយនៃកិច្ចខិតខំប្រឹងប្រែងចារកម្មតាមអ៊ីនធឺណិតធំជាង ដែលភ្ជាប់ទៅនឹងសកម្មភាពគំរាមកំហែងរបស់ចិន។