វ៉ារ្យ៉ង់ទ្វារខាងក្រោយរបស់ SparrowDoor

ក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់ចិនដែលគេស្គាល់ថាជា FamousSparrow ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការវាយប្រហារថ្មីៗទៅលើក្រុមពាណិជ្ជកម្មអាមេរិក និងវិទ្យាស្ថានស្រាវជ្រាវម៉ិកស៊ិក ដោយដាក់ពង្រាយ SparrowDoor backdoor ដ៏ល្បីរបស់ខ្លួនជាមួយនឹងមេរោគ ShadowPad ។ សកម្មភាពនេះត្រូវបានសង្កេតឃើញនៅក្នុងខែកក្កដា ឆ្នាំ 2024 គឺជាលើកទីមួយហើយដែលក្រុមនេះបានប្រើប្រាស់ ShadowPad ដែលជាឧបករណ៍ដែលត្រូវបានប្រើជាញឹកញាប់ដោយតួអង្គដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិន។

ការវិវត្តន៍នៃ SparrowDoor: ការគំរាមកំហែងកាន់តែទំនើប

FamousSparrow បានណែនាំវ៉ារ្យ៉ង់ថ្មីពីរនៃ SparrowDoor backdoor របស់វា ដែលមួយក្នុងចំណោមនោះគឺជាម៉ូឌុល។ កំណែទាំងនេះតំណាងឱ្យការលោតផ្លោះដ៏សំខាន់នៅក្នុងមុខងារ ដោយបញ្ចូលការប្រតិបត្តិពាក្យបញ្ជាស្របគ្នាដើម្បីបង្កើនប្រសិទ្ធភាព។

នេះ​ជា​ការ​ធ្វើ​ឱ្យ​ប្រសើរ​ឡើង​យ៉ាង​ធំ​ពី​កំណែ​មុន​។ វាអនុញ្ញាតឱ្យមេរោគដំណើរការពាក្យបញ្ជាដូចជាប្រតិបត្តិការឯកសារ និងវគ្គសែលអន្តរកម្ម ដោយមិនចាំបាច់បញ្ឈប់កិច្ចការដែលកំពុងដំណើរការ។

ប្រវត្តិសាស្រ្តនៃចារកម្ម៖ ការវាយប្រហារដ៏ល្បីរបស់ស្ពឺរ

ត្រូវបានរកឃើញដំបូងនៅក្នុងខែកញ្ញា ឆ្នាំ 2021 FamousSparrow ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការវាយប្រហារតាមអ៊ីនធឺណិតលើសណ្ឋាគារ រដ្ឋាភិបាល ក្រុមហ៊ុនវិស្វកម្ម និងការិយាល័យច្បាប់។ ក្រុមនេះបានដំណើរការដោយឯករាជ្យពីមុនមក ដោយប្រើប្រាស់ SparrowDoor ជាការផ្សាំផ្តាច់មុខរបស់វា។

យូរៗទៅ អ្នកស្រាវជ្រាវបានសង្កេតឃើញភាពស្រដៀងគ្នានៃយុទ្ធសាស្ត្ររវាង FamousSparrow និងក្រុម hacking របស់ចិនផ្សេងទៀតដូចជា Earth Estries, GhostEmperor និង Salt Typhoon ដែលត្រូវបានគេស្គាល់ថាជាគោលដៅលើវិស័យទូរគមនាគមន៍។ ទោះជាយ៉ាងណាក៏ដោយ ទោះបីជាមានការត្រួតស៊ីគ្នានេះក៏ដោយ FamousSparrow នៅតែត្រូវបានចាត់ថ្នាក់ជាក្រុមគំរាមកំហែងដាច់ដោយឡែកមួយដែលមានលក្ខណៈពិសេសតែមួយគត់។

ខ្សែសង្វាក់វាយប្រហារ៖ របៀបដែលការរំលោភបានលាតត្រដាង

ការវាយប្រហារចាប់ផ្តើមដោយ FamousSparrow ដាក់ពង្រាយ web shell នៅលើ server IIS ដែលងាយរងគ្រោះ។ ខណៈពេលដែលវិធីសាស្រ្តពិតប្រាកដនៃការទទួលបានសិទ្ធិចូលដំណើរការដំបូងនៅតែមិនស្គាល់ អង្គការដែលរងផលប៉ះពាល់ទាំងពីរកំពុងដំណើរការកំណែហួសសម័យរបស់ Windows និង Microsoft Exchange Server ដែលធ្វើឱ្យពួកគេក្លាយជាគោលដៅចម្បង។

នៅពេលដែលសែលគេហទំព័រស្ថិតនៅនឹងកន្លែង វាបម្រើជាបន្ទះបើកដំណើរការសម្រាប់ស្គ្រីបពីចម្ងាយ។ ស្គ្រីបនេះដំណើរការសែលគេហទំព័រ .NET ដែលបានអ៊ិនកូដ Base64 ដែលទីបំផុតដាក់ពង្រាយទាំង SparrowDoor និង ShadowPad ទៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

របៀបដែល SparrowDoor ដំណើរការ: ការជ្រមុជទឹកជ្រៅទៅក្នុងសមត្ថភាពរបស់វា។

វ៉ារ្យ៉ង់ថ្មីរបស់ SparrowDoor ចែករំលែកភាពស្រដៀងគ្នាជាមួយ Crowdoor ដែល ជាមេរោគដែលបានកត់ត្រាពីមុន។ ទោះយ៉ាងណាក៏ដោយ កំណែទាំងពីរនេះណែនាំការកែលម្អយ៉ាងច្រើន រួមទាំង៖

• ការប្រតិបត្តិភារកិច្ចប៉ារ៉ាឡែល - Backdoor អាចដំណើរការពាក្យបញ្ជាច្រើនក្នុងពេលតែមួយ ធ្វើអោយដំណើរការប្រសើរឡើង។
• ការគ្រប់គ្រងពាក្យបញ្ជាថាមវន្ត – ពាក្យបញ្ជាចាប់ផ្តើមខ្សែស្រឡាយថ្មី ដែលបង្កើតការតភ្ជាប់ដាច់ដោយឡែកទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C&C) ។
• ការតាមដានជនរងគ្រោះ – ការតភ្ជាប់នីមួយៗរួមមានលេខសម្គាល់ជនរងគ្រោះតែមួយគត់ និងលេខសម្គាល់ពាក្យបញ្ជា ជួយឱ្យម៉ាស៊ីនមេ C&C គ្រប់គ្រងកិច្ចការដែលកំពុងដំណើរការប្រកបដោយប្រសិទ្ធភាព។

SparrowDoor ភ្ជាប់មកជាមួយនូវសមត្ថភាពជាច្រើនដែលបង្កើនមុខងាររបស់វា។ វាអាចបង្កើតប្រូកស៊ី អនុញ្ញាតឱ្យមានទំនាក់ទំនងសម្ងាត់ និងចាប់ផ្តើមវគ្គសែលអន្តរកម្ម ដើម្បីបើកដំណើរការពាក្យបញ្ជាតាមពេលវេលាជាក់ស្តែង។ Backdoor ក៏​មាន​សមត្ថភាព​ក្នុង​ការ​គ្រប់គ្រង​ប្រតិបត្តិការ​ឯកសារ​ផ្សេងៗ រួម​ទាំង​ការ​អាន ការ​សរសេរ និង​ការ​កែប្រែ​ឯកសារ ខណៈ​ពេល​ដំណាលគ្នា​នឹង​រាប់​បញ្ចូល​ប្រព័ន្ធ​ឯកសារ​ដើម្បី​គូស​ផែនទី​ចេញ​នូវ​ថត​ឯកសារ និង​ទិន្នន័យ​ដែល​មាន។ លើសពីនេះ វាប្រមូលព័ត៌មានម៉ាស៊ីនលម្អិត ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវការយល់ដឹងអំពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ បើចាំបាច់ SparrowDoor ថែមទាំងអាចដកខ្លួនវាចេញទាំងស្រុង ដោយធានាថាដាននៃវត្តមានរបស់វាត្រូវបានលុបចេញ។

វិធីសាស្រ្តម៉ូឌុល៖ កំណែប្រសើរឡើងរបស់ SparrowDoor

វ៉ារ្យ៉ង់ SparrowDoor ទីពីរដែលជឿនលឿនជាងនេះណែនាំនូវការរចនាម៉ូឌុលដែលមានមូលដ្ឋានលើកម្មវិធីជំនួយ ដោយពង្រីកសមត្ថភាពរបស់វាតាមរយៈម៉ូឌុលឯកទេសចំនួនប្រាំបួន៖

• Cmd - ប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធ
• CFile - គ្រប់គ្រងប្រតិបត្តិការឯកសារ
• CKeylogPlug - ការចុចគ្រាប់ចុចកត់ត្រា
• CSocket - បង្កើតប្រូកស៊ី TCP
• CSShell - ចាប់ផ្តើមវគ្គសែលអន្តរកម្ម
• CTTransf - ផ្ទេរឯកសាររវាងម៉ាស៊ីនដែលឆ្លងមេរោគ និងម៉ាស៊ីនមេ C&C
• CRdp - ចាប់យករូបថតអេក្រង់
• CPro - រាយបញ្ជី និងបញ្ចប់ដំណើរការដែលកំពុងដំណើរការ
• CFileMoniter - តាមដានការផ្លាស់ប្តូរប្រព័ន្ធឯកសារនៅក្នុងថតជាក់លាក់

កូនចាបដ៏ល្បីល្បាញ៖ នៅតែសកម្ម នៅតែវិវត្ត

រលកនៃសកម្មភាពថ្មីៗនេះបញ្ជាក់ថា FamousSparrow មិនត្រឹមតែសកម្មប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងវិនិយោគក្នុងការអភិវឌ្ឍន៍ជាបន្តបន្ទាប់នៃ SparrowDoor backdoor របស់វា។ ជាមួយនឹងការណែនាំអំពីសមត្ថភាពម៉ូឌុល និងការទទួលយក ShadowPad ក្រុមនេះកំពុងវិវឌ្ឍយ៉ាងច្បាស់លាស់ ដែលបង្កឱ្យមានការគំរាមកំហែងផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតដ៏សំខាន់បន្ថែមទៀតឆ្ពោះទៅមុខ។