SilentRoute Trojan

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណែតបានរកឃើញវិធីសាស្រ្ដម្តងទៀតនូវកម្មវិធីដែលអាចទុកចិត្តបាន លើកនេះដោយបង្កើតកំណែ Trojanized នៃ SSL VPN NetExtender។ យុទ្ធនាការវាយប្រហារនេះ លាក់បាំងដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត បង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់អ្នកប្រើប្រាស់ដែលស្វែងរកការចូលប្រើបណ្តាញពីចម្ងាយ។

Trojan in Disguise

នៅចំកណ្តាលនៃយុទ្ធនាការនេះគឺជាកំណែដែលបានកែប្រែនៃម៉ាស៊ីនភ្ញៀវ SSL VPN NetExtender ដែលជាឧបករណ៍ស្របច្បាប់ដែលត្រូវបានរចនាឡើងដើម្បីអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ពីចម្ងាយភ្ជាប់ដោយសុវត្ថិភាពទៅបណ្តាញសហគ្រាស។ វាអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដំណើរការកម្មវិធីខាងក្នុង ចូលប្រើថាសរួម និងផ្ទេរឯកសារ ហាក់ដូចជាពួកគេមានវត្តមាននៅលើបណ្តាញរបស់ក្រុមហ៊ុន។

ជាអកុសល ក្រុមគំរាមកំហែងដែលមិនស្គាល់មួយបានកំពុងចរាចរកំណែក្លែងក្លាយនៃកម្មវិធីនេះ ដោយចាក់វាជាមួយមេរោគដែលត្រូវបានគេហៅថា SilentRoute ។ នៅពេលដំឡើងរួច កំណែបញ្ឆោតទាំងឡាយនេះលួចទិន្នន័យរសើបពីអ្នកប្រើប្រាស់ដោយស្ងៀមស្ងាត់។

របៀបដែលការវាយប្រហារដំណើរការ

អ្នកវាយប្រហារកំពុងប្រើប្រាស់គេហទំព័រក្លែងក្លាយ ដើម្បីបង្ហោះកម្មវិធីដំឡើង NetExtender ដ៏អាក្រក់ ដែលក្លែងបន្លំជាកំណែស្របច្បាប់ 10.3.2.27។ ទោះបីជាគេហទំព័រនេះត្រូវបានគេដកចេញក៏ដោយ កម្មវិធីដំឡើងនេះត្រូវបានគេរាយការណ៍ថាបានចុះហត្ថលេខាជាឌីជីថលដោយ CITYLIGHT MEDIA PRIVATE LIMITED ដោយផ្តល់ឱ្យវានូវភាពស្របច្បាប់មិនពិត។

ជនរងគ្រោះទំនងជាត្រូវបានទាក់ទាញឱ្យទាញយកមេរោគតាមរយៈ៖

• គេហទំព័រក្លែងក្លាយដែលបង្ហាញនៅក្នុងលទ្ធផលស្វែងរកតាមរយៈការបំពុល SEO
• Spear-phishing emails ដែលមានតំណភ្ជាប់ព្យាបាទ
• យុទ្ធនាការផ្សព្វផ្សាយមិនពិត និងការបង្ហោះតាមប្រព័ន្ធផ្សព្វផ្សាយសង្គមខុស

នៅពេលទាញយករួច កម្មវិធីដំឡើងព្យាបាទដាក់ពង្រាយកំណែដែលបានកែប្រែនៃសមាសភាគសំខាន់ពីរគឺ NeService.exe និង NetExtender.exe ដែលត្រូវបានផ្លាស់ប្តូរដើម្បីមិនអើពើនឹងសុពលភាពវិញ្ញាបនបត្រឌីជីថល។ សមាសធាតុទាំងនេះបញ្ចេញទិន្នន័យកំណត់រចនាសម្ព័ន្ធដោយស្ងាត់ស្ងៀមទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារនៅ 132.196.198.163:8080។

អ្វីដែលត្រូវបានលួចនិងរបៀប

បន្ទាប់ពីអ្នកប្រើប្រាស់បញ្ចូលអត្តសញ្ញាណ VPN របស់ពួកគេ ហើយចុចលើប៊ូតុង 'Connect' នោះ Trojan ធ្វើការត្រួតពិនិត្យដោយខ្លួនឯង មុនពេលបញ្ជូនទិន្នន័យដែលលួចទៅ server របស់អ្នកវាយប្រហារ។ ព័ត៌មាន​ដែល​ត្រូវ​បាន​ដក​ចេញ​រួម​មាន៖

• ឈ្មោះអ្នកប្រើប្រាស់
• ពាក្យសម្ងាត់
• ដែន
• ព័ត៌មានលម្អិតអំពីម៉ាស៊ីនមេ VPN និងទិន្នន័យកំណត់រចនាសម្ព័ន្ធ

ព័ត៌មានដែលត្រូវបានលួចនេះអាចផ្តល់ឱ្យអ្នកវាយប្រហារចូលទៅកាន់បរិយាកាសសាជីវកម្មដោយមិនមានការអនុញ្ញាត ដែលធ្វើឱ្យនេះជាការព្រួយបារម្ភអំពីសុវត្ថិភាពអ៊ីនធឺណិតយ៉ាងសំខាន់។

គន្លឹះសំខាន់ៗដើម្បីរក្សាការការពារ

ដើម្បីជៀសវាងការធ្លាក់ខ្លួនរងគ្រោះពីការគំរាមកំហែងបែបនេះ អង្គការ និងអ្នកប្រើប្រាស់គួរតែ៖

• ទាញយកតែ VPN និងឧបករណ៍ចូលប្រើពីចម្ងាយពីគេហទំព័រផ្លូវការ ឬអ្នកលក់ដែលបានផ្ទៀងផ្ទាត់ប៉ុណ្ណោះ។
• សូមប្រយ័ត្នពេលចុចលើតំណភ្ជាប់ក្នុងអ៊ីមែល ការផ្សាយពាណិជ្ជកម្ម ឬលទ្ធផលស្វែងរក ជាពិសេសអ្នកដែលផ្តល់ការទាញយកកម្មវិធី។

លើសពីនេះ អ្នកគ្រប់គ្រងបណ្តាញគួរតែត្រួតពិនិត្យសម្រាប់ការតភ្ជាប់ខាងក្រៅខុសពីធម្មតា និងធានាថាប្រព័ន្ធការពារចំណុចបញ្ចប់មានភាពទាន់សម័យ និងបានកំណត់រចនាសម្ព័ន្ធដើម្បីស្វែងរកការរំខានដែលអាចប្រតិបត្តិបាន។

គំនិតចុងក្រោយ

យុទ្ធនាការ SilentRoute បង្ហាញពីភាពទំនើបនៃការចែកចាយមេរោគដែលកំពុងកើនឡើងតាមរយៈការក្លែងបន្លំ និងវិស្វកម្មសង្គម។ ការប្រុងប្រយ័ត្ន រួមជាមួយនឹងអនាម័យឌីជីថលដ៏រឹងមាំ នៅតែជាការការពារដ៏ល្អបំផុតប្រឆាំងនឹងការគំរាមកំហែងបោកប្រាស់បែបនេះ។