មេរោគ SNOW

ចង្កោមគំរាមកំហែងដែលពីមុនមិនមានឯកសារ ដែលត្រូវបានតាមដានថាជា UNC6692 ត្រូវបានកំណត់អត្តសញ្ញាណដោយប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គមកម្រិតខ្ពស់តាមរយៈ Microsoft Teams ដើម្បីដាក់ពង្រាយក្របខ័ណ្ឌមេរោគផ្ទាល់ខ្លួនដែលគេស្គាល់ថាជា SNOW Malware។ អ្នកវាយប្រហារតែងតែធ្វើពុតជាបុគ្គលិកផ្នែកជំនួយផ្នែក IT ដោយបញ្ចុះបញ្ចូលគោលដៅឱ្យទទួលយកការអញ្ជើញជជែកដែលមានប្រភពមកពីគណនីខាងក្រៅ។

ការបោកបញ្ឆោតនេះត្រូវបានពង្រឹងដោយយុទ្ធនាការទម្លាក់គ្រាប់បែកអ៊ីមែលដែលសម្របសម្រួល ដែលជនរងគ្រោះត្រូវបានជន់លិចដោយសារឥតបានការដើម្បីបង្កើតភាពបន្ទាន់ និងការភាន់ច្រឡំ។ មិនយូរប៉ុន្មាន អ្នកវាយប្រហារចាប់ផ្តើមទំនាក់ទំនងតាមរយៈក្រុម ដោយធ្វើពុតជាការគាំទ្រផ្នែកព័ត៌មានវិទ្យា និងផ្តល់ជំនួយដើម្បីដោះស្រាយបញ្ហាប្រឌិត។ យុទ្ធសាស្ត្ររៀបចំពីរស្រទាប់នេះបង្កើនលទ្ធភាពនៃការអនុលោមតាមអ្នកប្រើប្រាស់យ៉ាងខ្លាំង។

យុទ្ធសាស្ត្រចាស់ៗ ផលប៉ះពាល់ទំនើប

គំរូប្រតិបត្តិការឆ្លុះបញ្ចាំងពីបច្ចេកទេសដែលជាប់ទាក់ទងជាប្រវត្តិសាស្ត្រជាមួយសាខារបស់ Black Basta។ ទោះបីជាក្រុមនេះបញ្ឈប់ប្រតិបត្តិការ ransomware ក៏ដោយ វិធីសាស្រ្តរបស់វានៅតែបន្ត និងនៅតែមានប្រសិទ្ធភាព។ អ្នកស្រាវជ្រាវសន្តិសុខបានបញ្ជាក់ថា វិធីសាស្រ្តនេះផ្តោតសំខាន់លើនាយកប្រតិបត្តិ និងបុគ្គលិកជាន់ខ្ពស់ ដែលអាចឱ្យមានការចូលប្រើបណ្តាញដំបូង ដែលអាចនាំឱ្យមានការលួចទិន្នន័យ ចលនាចំហៀង ការដាក់ពង្រាយ ransomware និងការជំរិតទារប្រាក់។ ក្នុងករណីដែលបានសង្កេតឃើញ ការជជែកដែលផ្តួចផ្តើមដោយអ្នកវាយប្រហារបានកើតឡើងក្នុងរយៈពេលប៉ុន្មានវិនាទីពីគ្នាទៅវិញទៅមក ដែលបញ្ជាក់ពីស្វ័យប្រវត្តិកម្ម និងការសម្របសម្រួល។

ចំណុចចូលបោកបញ្ឆោត៖ ការជួសជុលក្លែងក្លាយ

មិនដូចការវាយប្រហារបែបប្រពៃណីដែលពឹងផ្អែកតែលើឧបករណ៍គ្រប់គ្រងពីចម្ងាយដូចជា Quick Assist ឬ Supremo Remote Desktop នោះទេ យុទ្ធនាការនេះណែនាំខ្សែសង្វាក់ឆ្លងដែលបានកែប្រែ។ ជនរងគ្រោះត្រូវបានណែនាំឱ្យចុចលើតំណភ្ជាប់បន្លំ (phishing) ដែលចែករំលែកតាមរយៈ Teams ដែលបង្ហាញជា 'Mailbox Repair and Sync Utility v2.1.5'។

តំណភ្ជាប់នេះបង្កឱ្យមានការទាញយកស្គ្រីប AutoHotkey ដែលមានគំនិតអាក្រក់ ដែលបង្ហោះនៅលើសេវាកម្មផ្ទុកទិន្នន័យលើពពកដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ យន្តការរក្សាច្រកទ្វារធានានូវការចែកចាយបន្ទុកទិន្នន័យទៅកាន់គោលដៅដែលបានគ្រោងទុកតែប៉ុណ្ណោះ ដែលជួយគេចវេះការវិភាគសុវត្ថិភាពដោយស្វ័យប្រវត្តិ។ លើសពីនេះ ស្គ្រីបនេះផ្ទៀងផ្ទាត់ការប្រើប្រាស់កម្មវិធីរុករក និងអនុវត្តការប្រើប្រាស់ Microsoft Edge តាមរយៈការព្រមានជាប់លាប់ ដោយធានាបាននូវភាពឆបគ្នាជាមួយសមាសធាតុដែលមានគំនិតអាក្រក់ជាបន្តបន្ទាប់។

SNOWBELT: ទ្វារក្រោយកម្មវិធីរុករកស្ងាត់ៗ

ស្គ្រីបដំបូងធ្វើការឈ្លបយកការណ៍មុនពេលដាក់ពង្រាយ SNOWBELT ដែលជាផ្នែកបន្ថែមកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium ដ៏អាក្រក់។ SNOWBELT ត្រូវបានដំឡើងតាមរយៈដំណើរការ Edge ដែលគ្មានក្បាលដោយប្រើប៉ារ៉ាម៉ែត្របន្ទាត់ពាក្យបញ្ជាជាក់លាក់ ហើយវាដំណើរការជាទ្វារខាងក្រោយសម្ងាត់។ វាជួយសម្រួលដល់ការទាញយក payloads បន្ថែម រួមទាំង SNOWGLAZE, SNOWBASIN ស្គ្រីប AutoHotkey បន្ថែម និងបណ្ណសារដែលបានបង្ហាប់ដែលមានបរិស្ថាន Python ចល័ត។

ក្នុងពេលជាមួយគ្នានេះ ចំណុចប្រទាក់បន្លំបង្ហាញ 'ផ្ទាំងគ្រប់គ្រងការកំណត់រចនាសម្ព័ន្ធ' ជាមួយនឹងមុខងារ 'ពិនិត្យសុខភាព'។ ចំណុចប្រទាក់នេះជំរុញឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានសម្ងាត់ប្រអប់សំបុត្រក្រោមរូបភាពនៃការផ្ទៀងផ្ទាត់ ប៉ុន្តែផ្ទុយទៅវិញចាប់យក និងលួចយកទិន្នន័យរសើបទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

ប្រព័ន្ធអេកូឡូស៊ីមេរោគម៉ូឌុល៖ ការបំបែកក្របខ័ណ្ឌ SNOW

ឈុតមេរោគ SNOW ដំណើរការជាប្រព័ន្ធអេកូឡូស៊ីម៉ូឌុលដែលសម្របសម្រួល និងត្រូវបានរចនាឡើងសម្រាប់ការតស៊ូ ការគ្រប់គ្រង និងការលួចលាក់៖

• SNOWBELT ដើរតួជាឧបករណ៍បញ្ជូនពាក្យបញ្ជាដែលមានមូលដ្ឋានលើ JavaScript ដោយទទួលការណែនាំពីអ្នកវាយប្រហារ ហើយបញ្ជូនបន្តសម្រាប់ការប្រតិបត្តិ។
• SNOWGLAZE ដំណើរការជាឧបករណ៍ប្រើប្រាស់ tunneling ដែលមានមូលដ្ឋានលើ Python ដោយបង្កើតការតភ្ជាប់ WebSocket ដ៏មានសុវត្ថិភាពរវាងបណ្តាញដែលរងការសម្របសម្រួល និងម៉ាស៊ីនមេ Command-and-Control របស់អ្នកវាយប្រហារ។
• SNOWBASIN ដើរតួជា Backdoor ដែលអាចឱ្យមានការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ ការផ្ទេរឯកសារ ការថតរូបភាពអេក្រង់ និងការលុបចេញដោយខ្លួនឯង ខណៈពេលដែលដំណើរការជាម៉ាស៊ីនមេ HTTP ក្នុងស្រុកនៅលើច្រកច្រើន។

ក្រោយការកេងប្រវ័ញ្ច៖ ការពង្រីកការគ្រប់គ្រង និងការទាញយកទិន្នន័យ

បន្ទាប់ពីការសម្របសម្រួលដំបូង ជនគំរាមកំហែងអនុវត្តសកម្មភាពជាបន្តបន្ទាប់ដើម្បីបង្កើនប្រសិទ្ធភាពនៃការចូលប្រើប្រាស់ និងទាញយកព័ត៌មានដ៏មានតម្លៃ៖

ការឈ្លបយកការណ៍បណ្តាញត្រូវបានធ្វើឡើងដោយការស្កេនច្រកសំខាន់ៗ បន្ទាប់មកដោយចលនាចំហៀងដោយប្រើឧបករណ៍រដ្ឋបាល និងវគ្គកុំព្យូទ័រលើតុពីចម្ងាយដែលឆ្លងកាត់ប្រព័ន្ធដែលរងការសម្របសម្រួល។

ការកើនឡើងសិទ្ធិត្រូវបានសម្រេចដោយការទាញយកអង្គចងចាំដំណើរការដ៏រសើប ដែលអនុញ្ញាតឱ្យមានការប្រមូលផលព័ត៌មានសម្គាល់ និងការចូលប្រើដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធកម្រិតខ្ពស់។

បច្ចេកទេសកម្រិតខ្ពស់ដូចជា Pass-the-Hash ត្រូវបានប្រើដើម្បីសម្របសម្រួលឧបករណ៍បញ្ជាដែន បន្ទាប់ពីនោះឧបករណ៍កោសល្យវិច្ច័យត្រូវបានដាក់ពង្រាយដើម្បីប្រមូលទិន្នន័យរសើប រួមទាំងមូលដ្ឋានទិន្នន័យថតឯកសារ ដែលបន្ទាប់មកត្រូវបានច្រោះចេញដោយប្រើឧបករណ៍ផ្ទេរឯកសារ។

ការក្លែងបន្លំលើពពក៖ លាយបញ្ចូលគ្នានូវចរាចរណ៍ព្យាបាទជាមួយនឹងសេវាកម្មស្របច្បាប់

លក្ខណៈពិសេសមួយនៃយុទ្ធនាការនេះគឺការរំលោភបំពានជាយុទ្ធសាស្ត្រលើហេដ្ឋារចនាសម្ព័ន្ធពពកដែលគួរឱ្យទុកចិត្ត។ បន្ទុកផ្ទុកទិន្នន័យដែលមានគំនិតអាក្រក់ ការលួចទិន្នន័យ និងការទំនាក់ទំនងបញ្ជា និងត្រួតពិនិត្យ សុទ្ធតែត្រូវបានបញ្ជូនតាមរយៈវេទិកាពពកស្របច្បាប់។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យសកម្មភាពគំរាមកំហែងលាយបញ្ចូលគ្នាយ៉ាងរលូនជាមួយចរាចរណ៍សហគ្រាសធម្មតា ដោយរំលងតម្រងសុវត្ថិភាពបែបប្រពៃណីដោយផ្អែកលើកេរ្តិ៍ឈ្មោះ ឬការរកឃើញភាពមិនប្រក្រតី។

ទិដ្ឋភាពគំរាមកំហែងដែលកំពុងវិវត្ត៖ ទំនុកចិត្តជាគោលដៅចម្បង

យុទ្ធនាការ UNC6692 បានបង្ហាញពីវឌ្ឍនភាពដ៏សំខាន់មួយនៅក្នុងយុទ្ធសាស្ត្រវាយប្រហារតាមអ៊ីនធឺណិត ដោយរួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គម ឧបករណ៍សហគ្រាសដែលគួរឱ្យទុកចិត្ត និងមេរោគម៉ូឌុល។ តាមរយៈការកេងប្រវ័ញ្ចទំនុកចិត្តរបស់អ្នកប្រើប្រាស់នៅក្នុងវេទិកា និងសេវាកម្មដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ អ្នកវាយប្រហារបង្កើនអត្រាជោគជ័យ ខណៈពេលដែលកាត់បន្ថយការរកឃើញ។ ការតស៊ូរបស់យុទ្ធសាស្ត្រចាស់ៗ រួមជាមួយនឹងយន្តការចែកចាយប្រកបដោយភាពច្នៃប្រឌិត គូសបញ្ជាក់ពីការពិតដ៏សំខាន់មួយ៖ យុទ្ធសាស្ត្រវាយប្រហារដែលមានប្រសិទ្ធភាពអាចស្ថិតស្ថេរបានយូរបន្ទាប់ពីប្រតិបត្តិករដើមរបស់ពួកគេបាត់ខ្លួន។