មេរោគ SnipBot

ការគំរាមកំហែងពីមេរោគបានវិវត្តទៅជាឧបករណ៍ស្មុគ្រស្មាញខ្ពស់ដែលប្រើដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដើម្បីសម្របសម្រួលសុវត្ថិភាពផ្ទាល់ខ្លួន និងអង្គការ។ ការគំរាមកំហែងទាំងនេះ ដូចជាមេរោគ SnipBot ដែលបានរកឃើញនាពេលថ្មីៗនេះ តំណាងឱ្យកម្រិតគ្រោះថ្នាក់ថ្មីមួយដែលអាចបង្កើតផលវិបាកដ៏អាក្រក់ រួមទាំងការលួចទិន្នន័យ ការសម្របសម្រួលប្រព័ន្ធ និងសូម្បីតែការឆ្លងមេរោគមេរោគបន្ថែមទៀត។ វិធានការការពារដោយប្រយ័ត្នប្រយែង រួមជាមួយនឹងការយល់ដឹងអំពីការគំរាមកំហែងដែលកំពុងកើតមាន គឺមានសារៈសំខាន់សម្រាប់បុគ្គល និងអង្គការដូចគ្នា។

តើ SnipBot Malware ជាអ្វី?

SnipBot គឺជាវ៉ារ្យ៉ង់ដែលបានតាមដានថ្មីនៃ RomCom Remote Access Trojan (RAT) ដែលត្រូវបានគេស្គាល់ថាសម្រាប់សមត្ថភាពរបស់វាក្នុងការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងទាញយកម៉ូឌុលព្យាបាទបន្ថែមទៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ការធ្វើឡើងវិញថ្មីនេះរបស់ RomCom ណែនាំលក្ខណៈពិសេសកម្រិតខ្ពស់មួយចំនួន រួមទាំងបច្ចេកទេសធ្វើឱ្យខូចទ្រង់ទ្រាយផ្ទាល់ខ្លួនដែលត្រូវបានរចនាឡើងដើម្បីលាក់កូដរបស់វាពីការរកឃើញ និងការវិភាគ។ លើសពីនេះ វាប្រើប្រាស់យុទ្ធសាស្ត្រប្រឆាំងការវិភាគដ៏ទំនើប ដើម្បីរារាំងកិច្ចខិតខំប្រឹងប្រែងរបស់អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការស្វែងរក និងកាត់បន្ថយ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបាននិងកំពុងចែកចាយយ៉ាងសកម្ម SnipBot តាមរយៈយុទ្ធនាការផ្អែកលើអ៊ីមែល។ អ៊ីមែលទាំងនេះច្រើនតែផ្ទុកនូវឯកសារភ្ជាប់ដែលខូច ដែលនៅពេលបើក បម្រើជាវ៉ិចទ័រដំបូងសម្រាប់ការឆ្លង ដែលនាំទៅដល់ដំណាក់កាលបន្ថែមទៀតនៃការដាក់ពង្រាយមេរោគ។

ដំណើរការវាយប្រហារច្រើនដំណាក់កាល

SnipBot ដំណើរការក្នុងដំណាក់កាលជាច្រើន ដោយការវាយប្រហារដំបូងចាប់ផ្តើមជាអ្នកទាញយកដែលបានបង្កប់នៅក្នុងឯកសារដែលអាចប្រតិបត្តិបាន។ នៅពេលដែលកម្មវិធីទាញយកដំបូងត្រូវបានប្រតិបត្តិនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ វាភ្ជាប់ទៅម៉ាស៊ីនមេ Command and Control (C2) របស់អ្នកវាយប្រហារដើម្បីទាញយក payloads បន្ថែម ដែលអាចយកទម្រង់ឯកសារដែលអាចប្រតិបត្តិបាន (EXE) ឬ dynamic link library (DLL)។

ជាស្នូលរបស់វា SnipBot ត្រូវបានរចនាឡើងជា backdoor ដែលអាចឱ្យអ្នកវាយប្រហារចូលទៅកាន់ប្រព័ន្ធរបស់ជនរងគ្រោះដោយមិនមានការរំខាន។ តាមរយៈ backdoor នេះ តួអង្គគំរាមកំហែងអាចប្រតិបត្តិពាក្យបញ្ជា ទាញយកឧបករណ៍គំរាមកំហែងបន្ថែម និងប្រមូលព័ត៌មានប្រព័ន្ធរសើប។ នៅពេលដែល SnipBot ទំនាក់ទំនងជាលើកដំបូងជាមួយម៉ាស៊ីនមេ C2 របស់វា វាផ្ញើព័ត៌មានលម្អិតសំខាន់ៗអំពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល រួមមានឈ្មោះកុំព្យូទ័រ អាសយដ្ឋាន MAC លេខបង្កើតវីនដូ និងថាតើគោលដៅកំពុងដំណើរការបរិស្ថានម៉ាស៊ីនមេវីនដូ។ ព័ត៌មាននេះជួយអ្នកវាយប្រហារកែតម្រូវការផ្លាស់ទីបន្ទាប់របស់ពួកគេ ដើម្បីបង្កើនការខូចខាតដែលអាចកើតមាន។

សមត្ថភាពរបស់ SnipBot៖ ប្រតិបត្តិពាក្យបញ្ជា និងការលួចទិន្នន័យ

ទិដ្ឋភាពគួរឱ្យព្រួយបារម្ភបំផុតមួយរបស់ SnipBot គឺសមត្ថភាពរបស់វាសម្រាប់ការប្រតិបត្តិពាក្យបញ្ជា។ អ្នកវាយប្រហារត្រូវបានគេសង្កេតឃើញដោយប្រើ SnipBot ដើម្បីដំណើរការពាក្យបញ្ជាបន្ទាត់ពាក្យបញ្ជាផ្សេងៗ ដែលអនុញ្ញាតឱ្យពួកគេប្រមូលព័ត៌មានបណ្តាញដ៏មានតម្លៃពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ យ៉ាងហោចណាស់ឧទាហរណ៍មួយ អ្នកវាយប្រហារបានព្យាយាមដកឯកសារចេញពីថតប្រព័ន្ធជាច្រើន ដោយផ្ទេរទាំងទិន្នន័យប្រព័ន្ធទូទៅ និងប្រភេទឯកសារដែលមិនរំពឹងទុកទៅម៉ាស៊ីនមេពីចម្ងាយ។ ខណៈពេលដែលចេតនាពេញលេញរបស់អ្នកវាយប្រហារនៅតែមិនច្បាស់លាស់ សកម្មភាពទាំងនេះបង្ហាញយ៉ាងខ្លាំងឱ្យមានការផ្តោតទៅលើការលួចព័ត៌មានរសើប ដែលអាចមានគោលបំណងលក់វា ឬប្រើប្រាស់វាក្នុងការវាយប្រហារបន្ថែមទៀត។

អ្វីដែលធ្វើឱ្យ SnipBot កាន់តែព្រួយបារម្ភនោះគឺការតភ្ជាប់របស់វាទៅនឹងយុទ្ធនាការ ransomware ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលពីមុនបានប្រើ RomCom RAT ដើម្បីចែកចាយ ransomware ងាយស្រួលប្រើ SnipBot សម្រាប់គោលបំណងស្រដៀងគ្នា។ ទោះបីជា SnipBot ត្រូវបានប្រើជាចម្បងដើម្បីលួចទិន្នន័យក៏ដោយ ភាពប៉ិនប្រសប់របស់វាមានន័យថាវាក៏អាចត្រូវបានគេប្រើប្រាស់ដើម្បីចែកចាយប្រភេទមេរោគផ្សេងទៀត រួមទាំង ransomware ដោយបន្ថែមស្រទាប់នៃការគំរាមកំហែងមួយទៀតដល់អង្គការដែលប្រឈមមុខនឹងហានិភ័យនៃការបាត់បង់ទិន្នន័យរួចហើយ។

ឧស្សាហកម្មដែលមានហានិភ័យ

គោលដៅរបស់ SnipBot ជាចម្បងគឺអង្គការនៅក្នុងឧស្សាហកម្មសំខាន់ៗ រួមទាំងសេវាកម្ម IT ក្រុមហ៊ុនច្បាប់ និងកសិកម្ម។ វិស័យទាំងនេះសម្បូរទៅដោយទិន្នន័យរសើប ចាប់ពីឯកសារច្បាប់សម្ងាត់ រហូតដល់កម្មវិធីដែលមានកម្មសិទ្ធិ និងព័ត៌មានអាជីវកម្ម ដែលធ្វើឲ្យពួកគេក្លាយជាគោលដៅទាក់ទាញសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ ដោយសារឧស្សាហកម្មទាំងនេះច្រើនតែគ្រប់គ្រងទិន្នន័យរសើបមួយចំនួនធំ ការបំពានណាមួយអាចនាំឱ្យមានការខូចខាតផ្នែកហិរញ្ញវត្ថុ និងកេរ្តិ៍ឈ្មោះយ៉ាងសំខាន់។

លើសពីនេះទៅទៀត វ៉ិចទ័រវាយប្រហារបានប្រើដើម្បីចែកចាយ SnipBot បញ្ជាក់ពីភាពប្រែប្រួលរបស់វា។ ដំបូងឡើយត្រូវបានផ្តល់ជូនតាមរយៈ PDFs ក្លែងបន្លំដែលក្លែងបន្លំជាឯកសារស្របច្បាប់ SnipBot បានប្រើយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដ៏ឆ្លាតវៃដើម្បីទាក់ទាញជនរងគ្រោះ។ នៅពេលអ្នកប្រើប្រាស់បើកឯកសារ PDF ដែលឆ្លងមេរោគ ពួកគេត្រូវបានបង្ហាញជាមួយសារដែលអះអាងថាបាត់កញ្ចប់ពុម្ពអក្សរជាក់លាក់មួយ។ តាមតំណភ្ជាប់ទៅ 'ទាញយក' ពុម្ពអក្សរបានបញ្ជូនពួកគេទៅគេហទំព័រក្លែងបន្លំដែលក្លែងបន្លំជាគេហទំព័រផ្លូវការរបស់ Adobe ។ ការចុចប៊ូតុង 'ទាញយកកញ្ចប់ពុម្ពអក្សរ' បានបង្កឱ្យមានការទាញយកមេរោគ SnipBot ដែលក្លែងធ្វើជាឯកសារពុម្ពអក្សរ។

បន្ថែមពីលើការវាយប្រហារដែលមានមូលដ្ឋានលើ PDF SnipBot ក៏ត្រូវបានចែកចាយតាមរយៈអ៊ីម៉ែលបន្លំដែលមានតំណភ្ជាប់ទៅកាន់សេវាកម្មចែករំលែកឯកសារដែលត្រូវបានសម្របសម្រួល។ តំណភ្ជាប់ទាំងនេះបាននាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រដែលមានស្រមោល ឬសូម្បីតែគេហទំព័រដែលមើលទៅស្របច្បាប់ដែលបង្ហោះកម្មវិធីទាញយក SnipBot ដែលកំពុងគំរាមកំហែង។

វិធីការពារប្រឆាំងនឹង SnipBot

បច្ចេកទេសស្មុគ្រស្មាញដែលប្រើក្នុងការវាយប្រហារ SnipBot សង្កត់ធ្ងន់លើសារៈសំខាន់នៃការរក្សាអនាម័យសុវត្ថិភាពខ្លាំង។ អង្គការ និងបុគ្គលដូចគ្នាគួរតែអនុវត្តទម្លាប់សន្តិសុខដ៏រឹងមាំ ដើម្បីកាត់បន្ថយឱកាសនៃការធ្លាក់ខ្លួនរងគ្រោះចំពោះការគំរាមកំហែងបែបនេះ។

• ការយល់ដឹងអំពីអ៊ីមែល ៖ ការប្រុងប្រយ័ត្នចំពោះអ៊ីមែលដែលមិនបានរំពឹងទុក ជាពិសេសមានឯកសារភ្ជាប់ ឬតំណភ្ជាប់ គឺជារឿងសំខាន់។ អ្នកប្រើប្រាស់គួរតែផ្ទៀងផ្ទាត់ភាពស្របច្បាប់នៃអ៊ីមែលដែលគួរឱ្យសង្ស័យណាមួយ មុនពេលធ្វើអន្តរកម្មជាមួយពួកគេ ដោយសារអ៊ីមែលនៅតែជាវិធីសាស្ត្រចែកចាយដែលពេញចិត្តសម្រាប់វ៉ារ្យ៉ង់មេរោគជាច្រើន រួមទាំង SnipBot ផងដែរ។

សេចក្តីសន្និដ្ឋាន

ការវិវត្តន៍នៃ SnipBot ពី RomCom RAT បង្ហាញពីលក្ខណៈថាមវន្តនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតទំនើប។ ជាមួយនឹងសមត្ថភាពរបស់ខ្លួនក្នុងការគេចពីការរាវរក ប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ និងទាញយកទិន្នន័យដ៏មានតម្លៃ SnipBot បង្កហានិភ័យយ៉ាងធ្ងន់ធ្ងរដល់ឧស្សាហកម្មគោលដៅ។ ការការពារប្រឆាំងនឹងមេរោគបែបនេះតម្រូវឱ្យមានការរួមបញ្ចូលគ្នានៃការយល់ដឹងរបស់អ្នកប្រើប្រាស់ វិធានការសុវត្ថិភាពសកម្ម និងការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃភាពងាយរងគ្រោះដែលអាចកើតមាន។ ដោយសារតួអង្គគំរាមកំហែងបន្តបង្កើតថ្មី ដូច្នេះក៏ត្រូវតែមានយុទ្ធសាស្ត្រដែលប្រើដើម្បីការពារប្រឆាំងនឹងពួកគេ។

មេរោគ SnipBot វីដេអូ

គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់ ។