SIGNBT Malware

ក្រុម Lazarus ដែល​មាន​ទំនាក់ទំនង​ជាមួយ​ប្រទេស​កូរ៉េ​ខាង​ជើង​ត្រូវ​បាន​កំណត់​ថា​ជា​ជន​ល្មើស​នៃ​យុទ្ធនាការ​តាម​អ៊ីនធឺណិត​កាល​ពី​ពេល​ថ្មីៗ​នេះ។ នៅក្នុងប្រតិបត្តិការនេះ អ្នកលក់កម្មវិធីដែលមិនស្គាល់អត្តសញ្ញាណម្នាក់បានធ្លាក់ខ្លួនរងគ្រោះដោយសារការវាយប្រហារដែលសម្របសម្រួលដោយការទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពល្បីនៅក្នុងកម្មវិធីដ៏លេចធ្លោមួយ។ ស៊េរីនៃការវាយប្រហារនៅទីបំផុតនាំទៅដល់ការណែនាំនៃក្រុមគ្រួសារកម្មវិធីដែលគំរាមកំហែង រួមទាំង SIGNBT ផងដែរ។

ជាងនេះទៅទៀត អ្នកវាយប្រហារបានប្រើប្រាស់ឧបករណ៍លួចចូលដែលគេទទួលស្គាល់យ៉ាងទូលំទូលាយ ដែលជាទូទៅត្រូវបានប្រើប្រាស់ដោយអ្នកគំរាមកំហែងនេះសម្រាប់សកម្មភាពដូចជាការស្វែងរកជនរងគ្រោះដែលមានសក្តានុពល និងការចែកចាយបន្ទុក។ ឧបករណ៍នេះត្រូវបានគេហៅថា LPEClient ក្នុងកិច្ចខិតខំប្រឹងប្រែងតាមដាន។

ក្រុម Hacker APT (Advanced Persistent Threat) កំណត់គោលដៅជនរងគ្រោះដដែលៗ

ការប្រើប្រាស់មេរោគ SIGNBT Malware ក្នុងការវាយប្រហារនេះបានបង្ហាញពីដំណើរការឆ្លងមេរោគច្រើនមុខ និងប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់។ Lazarus Group នៅតែបន្តប្រើប្រាស់ភាពងាយរងគ្រោះនៅក្នុងផ្នែកទន់របស់ក្រុមហ៊ុនដែលបានកំណត់គោលដៅក្នុងគោលបំណងសម្រុះសម្រួលអ្នកបង្កើតកម្មវិធីផ្សេងទៀត។ នៅក្នុងសកម្មភាពថ្មីៗបំផុតរបស់ពួកគេ ជនរងគ្រោះជាច្រើនត្រូវបានគេកំណត់អត្តសញ្ញាណគិតត្រឹមពាក់កណ្តាលខែកក្កដា ឆ្នាំ 2023។

ជនរងគ្រោះទាំងនេះត្រូវបានទទួលរងការវាយប្រហារតាមរយៈកម្មវិធីសុវត្ថិភាពស្របច្បាប់ដែលត្រូវបានរចនាឡើងសម្រាប់ការអ៊ិនគ្រីបទំនាក់ទំនងតាមគេហទំព័រតាមរយៈវិញ្ញាបនបត្រឌីជីថល។ ឈ្មោះរបស់កម្មវិធីមិនត្រូវបានបង្ហាញទេ ហើយវិធីសាស្ត្រច្បាស់លាស់ដែលវាត្រូវបានបំពាក់អាវុធដើម្បីចែកចាយ SIGNBT នៅតែមិនត្រូវបានបង្ហាញ។

បន្ថែមពីលើការប្រើប្រាស់យុទ្ធសាស្ត្រជាច្រើនដើម្បីបង្កើត និងរក្សាជំហរលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល លំដាប់នៃការវាយប្រហារបានប្រើប្រាស់កម្មវិធីផ្ទុកទិន្នន័យក្នុងសតិដែលបម្រើការជាឧបករណ៍សម្រាប់ដំណើរការមេរោគ SIGNBT ។

SIGNBT Malware ទាក់ទងម៉ាស៊ីនមេ C2 សម្រាប់ការណែនាំបន្ថែម

គោលបំណងចម្បងរបស់ SIGNBT គឺដើម្បីបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេពីចម្ងាយ និងទាញយកការណែនាំបន្ថែមសម្រាប់ការប្រតិបត្តិលើម៉ាស៊ីនដែលមានមេរោគ។ មេរោគនេះទទួលបានឈ្មោះរបស់វាពីការប្រើប្រាស់ខ្សែអក្សរផ្សេងគ្នាដែលមានបុព្វបទ "SIGNBT" នៅក្នុងការទំនាក់ទំនងតាមពាក្យបញ្ជា និងត្រួតពិនិត្យ (C2) ដែលមានមូលដ្ឋានលើ HTTP របស់វា៖

• SIGNBTLG សម្រាប់ការតភ្ជាប់ដំបូង
• SIGNBTKE សម្រាប់ការប្រមូលទិន្នន័យមេតានៃប្រព័ន្ធនៅពេលទទួលបានសារជោគជ័យពីម៉ាស៊ីនមេ C2
• SIGNBTGC សម្រាប់ការទាញយកពាក្យបញ្ជា
• SIGNBTFI សម្រាប់ដោះស្រាយការបរាជ័យទំនាក់ទំនង
• SIGNBTSR សម្រាប់បង្ហាញពីទំនាក់ទំនងជោគជ័យ

ទន្ទឹមនឹងនេះដែរ Windows backdoor ត្រូវបានបំពាក់ជាមួយនឹងអារេដ៏ធំទូលាយនៃសមត្ថភាពដែលមានគោលបំណងដើម្បីទទួលបានការគ្រប់គ្រងលើប្រព័ន្ធរបស់ជនរងគ្រោះ។ សមត្ថភាពទាំងនេះរួមមានការរាប់បញ្ចូលដំណើរការ ដំណើរការឯកសារ និងថតឯកសារ និងការដាក់ពង្រាយ payloads ដូចជា LPEClient និងឧបករណ៍ផ្សេងទៀតសម្រាប់ការស្រង់ចេញព័ត៌មានសម្ងាត់។

ក្រុម Lazarus បន្តវិវឌ្ឍន៍បច្ចេកទេសរបស់ខ្លួន និង Malware Arsenal

គ្រាន់តែនៅឆ្នាំ 2023 អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណអប្បបរមានៃយុទ្ធនាការ Lazarus បីផ្សេងគ្នា។ យុទ្ធនាការទាំងនេះបានប្រើវិធីសាស្ត្រឈ្លានពានផ្សេងៗ និងនីតិវិធីនៃការឆ្លង។ ទោះជាយ៉ាងណាក៏ដោយ ពួកគេបានប្រើប្រាស់មេរោគ LPEClient ជាបន្តបន្ទាប់ ដើម្បីផ្តល់នូវកម្មវិធីដែលមិនមានសុវត្ថិភាពក្នុងដំណាក់កាលចុងក្រោយ។

យុទ្ធនាការមួយក្នុងចំនោមយុទ្ធនាការទាំងនេះបានដើរតួនាទីយ៉ាងសំខាន់ក្នុងការណែនាំការផ្សាំដែលត្រូវបានគេស្គាល់ថា Gopuram ។ ការផ្សាំនេះត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតដែលដឹកនាំនៅក្រុមហ៊ុនរូបិយប័ណ្ណគ្រីបតូ ដោយប្រើកំណែអាប់ដេតនៃកម្មវិធី 3CX សំឡេង និងកម្មវិធីសន្និសីទវីដេអូ។

ការរកឃើញថ្មីៗទាំងនេះបង្ហាញឧទាហរណ៍អំពីប្រតិបត្តិការអ៊ីនធឺណេតដែលភ្ជាប់ជាមួយកូរ៉េខាងជើងដែលកំពុងដំណើរការ និងគូសបញ្ជាក់អំពីការអភិវឌ្ឍន៍ និងការពង្រីកឧបករណ៍អាវុធ យុទ្ធសាស្ត្រ និងបច្ចេកទេសជាបន្តបន្ទាប់របស់ក្រុមហ៊ុន Lazarus Group។ Lazarus Group នៅតែជាតួអង្គគំរាមកំហែងសកម្ម និងអាចសម្របខ្លួនបាននៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិតសហសម័យ។