ការវាយប្រហារ StaryDobry

អ្នកលេងដែលកំពុងស្វែងរកការក្លែងធ្វើដ៏ពេញនិយម និងហ្គេមផ្អែកលើរូបវិទ្យា ប្រហែលជាបានដំឡើងកម្មវិធីជីកយករ៉ែ cryptocurrency ដែលលាក់ដោយមិនដឹងខ្លួននៅលើប្រព័ន្ធ Windows របស់ពួកគេ។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណប្រតិបត្តិការទ្រង់ទ្រាយធំនេះជាលើកដំបូង ដែលមានឈ្មោះថា StaryDobry នៅចុងខែធ្នូ ឆ្នាំ 2024។ យុទ្ធនាការនេះត្រូវបានគេរាយការណ៍ថាមានរយៈពេលប្រហែលមួយខែ ដោយធ្វើឱ្យខូចម៉ាស៊ីនជាច្រើននៅទូទាំងពិភពលោក។

ម៉ាស៊ីន​ដែល​មាន​ប្រសិទ្ធភាព​ខ្ពស់​ត្រូវ​បាន​គេ​ធ្វើ​អាជីវកម្ម​សម្រាប់​ការ​រុករក​រ៉ែ

យុទ្ធនាការនេះបានកំណត់គោលដៅជាចម្បងទាំងអ្នកប្រើប្រាស់បុគ្គល និងអាជីវកម្មនៅទូទាំងតំបន់ជាច្រើន ជាមួយនឹងអត្រាឆ្លងគួរឱ្យកត់សម្គាល់នៅក្នុងប្រទេសរុស្ស៊ី ប្រេស៊ីល អាល្លឺម៉ង់ បេឡារុស្ស និងកាហ្សាក់ស្ថាន។ ដោយផ្តោតលើការរៀបចំហ្គេមជាមួយនឹងផ្នែករឹងដ៏មានឥទ្ធិពល អ្នកវាយប្រហារបានបង្កើនប្រសិទ្ធភាពនៃប្រតិបត្តិការរុករករ៉ែសម្ងាត់របស់ពួកគេ។

ហ្គេមពេញនិយមប្រើជាល្បិច

ការវាយប្រហារនេះពឹងផ្អែកលើការក្លែងបន្លំកម្មវិធីដំឡើងការគំរាមកំហែងថាជាច្បាប់ចម្លងស្របច្បាប់នៃហ្គេមល្បីៗ។ ក្នុងចំណោមចំណងជើងដែលប្រើជានុយមាន BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox និង Plutocracy។ តួអង្គគំរាមកំហែងបានបង្ហោះកម្មវិធីដំឡើង Trojanized ទាំងនេះទៅកាន់គេហទំព័រ torrent នៅដើមខែកញ្ញា ឆ្នាំ 2024 ដោយបង្ហាញថាប្រតិបត្តិការនេះត្រូវបានគិតទុកជាមុនយ៉ាងប្រុងប្រយ័ត្ន។

អ្នកដំឡើងដែលឆ្លងមេរោគបង្កជាខ្សែសង្វាក់វាយប្រហារដោយសម្ងាត់

អ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យដែលបានទាញយកអ្វីដែលគេហៅថា 'កញ្ចប់ឡើងវិញ' ត្រូវបានបង្ហាញជាមួយនឹងអ្វីដែលហាក់ដូចជាដំណើរការដំឡើងស្តង់ដារ។ កំឡុងពេលដំឡើង ឯកសារដំណក់ទឹកដែលលាក់ ('unrar.dll') ត្រូវបានដាក់ពង្រាយ និងប្រតិបត្តិក្នុងផ្ទៃខាងក្រោយ ដោយចាប់ផ្តើមដំណាក់កាលបន្ទាប់នៃការឆ្លង។

បច្ចេកទេសគេចវេសកម្រិតខ្ពស់ក្នុងសកម្មភាព

មុនពេលបន្ត ឧបករណ៍ទម្លាក់បានធ្វើការពិនិត្យច្រើនដង ដើម្បីធានាថាវាមិនដំណើរការនៅក្នុងបរិយាកាសនិម្មិត ឬប្រអប់ខ្សាច់ ដោយបង្ហាញពីសមត្ថភាពគេចចេញដ៏ទំនើបរបស់វា។ បន្ទាប់មកវាបានទាក់ទងទៅសេវាកម្មខាងក្រៅដូចជា api.myip.com, ip-api.com និង ipwho.is ដើម្បីប្រមូលអាសយដ្ឋាន IP និងកំណត់ទីតាំងអ្នកប្រើប្រាស់។ ប្រសិនបើជំហាននេះបរាជ័យ ប្រព័ន្ធនេះត្រូវបានកំណត់ទីតាំងលំនាំដើមនៃប្រទេសចិន ឬបេឡារុស្សសម្រាប់ហេតុផលដែលនៅតែមិនច្បាស់លាស់។

ដំណើរការប្រតិបត្តិពហុដំណាក់កាលស្មុគស្មាញ

នៅពេលដែលម៉ាស៊ីនត្រូវបានស្កេនស្នាមម្រាមដៃ ដំណក់ទឹកបានឌិគ្រីប និងដំណើរការសមាសភាគមួយទៀតដែលមានឈ្មោះថា 'MTX64.exe'។ កម្មវិធីប្រតិបត្តិនេះបានរក្សាទុកមាតិការបស់វាជា 'Windows.Graphics.ThumbnailHandler.dll' នៅក្នុងថតប្រព័ន្ធ។ ដោយផ្អែកលើគម្រោងប្រភពបើកចំហស្របច្បាប់ EpubShellExtThumbnailHandler ដែលជាមុខងារផ្នែកបន្ថែមរបស់ Windows Shell ដែលប្រើខុសដែលអាចប្រតិបត្តិបានដើម្បីផ្ទុកបន្ទុកខាងក្រោម 'Kickstarter'។

សមាសភាគ Kickstarter បានទាញយកប្លុកទិន្នន័យដែលបានអ៊ិនគ្រីប ហើយសរសេរវាទៅក្នុងថាសក្រោមឈ្មោះ 'Unix.Directory.IconHandler.dll' នៅក្នុងថតដែលលាក់នៅក្នុងថត AppData របស់អ្នកប្រើ។ បន្ទាប់មកឯកសារថ្មីនេះបានទាញយកបន្ទុកដំណាក់កាលចុងក្រោយពីម៉ាស៊ីនមេពីចម្ងាយ ដែលមានអ្នករុករករូបិយប័ណ្ណគ្រីបតូពិតប្រាកដ។

ការដាក់ពង្រាយ និងការត្រួតពិនិត្យដំណើរការរបស់ Stealthy Miner

ការប្រហារជីវិតរបស់អ្នករុករករ៉ែត្រូវបានត្រួតពិនិត្យយ៉ាងដិតដល់ ដើម្បីជៀសវាងការរកឃើញ។ វាបានត្រួតពិនិត្យជាបន្តបន្ទាប់សម្រាប់ឧបករណ៍ត្រួតពិនិត្យប្រព័ន្ធដូចជា Task Manager ('taskmgr.exe') និង Process Monitor ('procmon.exe')។ ប្រសិនបើដំណើរការទាំងពីរនេះត្រូវបានរកឃើញ អ្នករុករករ៉ែត្រូវបានបញ្ចប់ភ្លាមៗ ដើម្បីគេចពីការត្រួតពិនិត្យ។

XMRig Tweaked សម្រាប់ការរុករករ៉ែជ្រើសរើស

ស្នូលនៃប្រតិបត្តិការគឺជាកំណែផ្ទាល់ខ្លួនរបស់អ្នករុករករ៉ែ XMRig ។ វាដំណើរការតែលើស៊ីភីយូដែលមានស្នូលយ៉ាងហោចណាស់ប្រាំបីប៉ុណ្ណោះ ដែលធានាថាម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលមានថាមពលដំណើរការគ្រប់គ្រាន់ដើម្បីជីកយករ៉ែប្រកបដោយប្រសិទ្ធភាព។ លើសពីនេះទៀត ជំនួសឱ្យការពឹងផ្អែកលើអាងរុករករ៉ែសាធារណៈ អ្នកវាយប្រហារបានបង្កើតម៉ាស៊ីនមេឯកជនរបស់ពួកគេផ្ទាល់ ដើម្បីដឹកនាំប្រាក់ចំណេញពីការជីកយករ៉ែទាំងស្រុងចំពោះហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេ។

XMRig បានប្រើប្រាស់មុខងារដែលភ្ជាប់មកជាមួយរបស់វា ដើម្បីញែកសេចក្តីណែនាំអំពីបន្ទាត់ពាក្យបញ្ជា ខណៈពេលដែលរក្សាបាននូវខ្សែស្រឡាយដាច់ដោយឡែក ដើម្បីពិនិត្យមើលឧបករណ៍ត្រួតពិនិត្យសកម្ម។ យន្តការការពារខ្លួនដែលជាប់លាប់នេះបានជួយរក្សាសកម្មភាពរុករករ៉ែដែលលាក់កំបាំងពីអ្នកប្រើប្រាស់។

ការគំរាមកំហែងអាថ៌កំបាំងជាមួយតម្រុយរុស្ស៊ី

ទោះបី​មាន​ទំហំ និង​ភាព​ស្មុគ្រស្មាញ​នៃ​ប្រតិបត្តិការ​ក៏ដោយ ក៏​អត្តសញ្ញាណ​ជនល្មើស​នៅ​មិនទាន់​ដឹង​នៅឡើយ​។ ទោះបីជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញខ្សែអក្សរជាភាសារុស្សីដែលបានបង្កប់នៅក្នុងសមាសធាតុនៃយុទ្ធនាការនេះ ដោយបង្ហាញថា ការវាយប្រហារអាចមានប្រភពមកពីអ្នកគំរាមកំហែងនិយាយភាសារុស្សី។

យុទ្ធនាការ StaryDobry បង្ហាញពីហានិភ័យដែលទាក់ទងនឹងការទាញយកកម្មវិធីពីប្រភពដែលមិនបានបញ្ជាក់។ តាមរយៈការប្រើប្រាស់កម្មវិធីដំឡើងហ្គេមជានុយ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានគ្រប់គ្រងដើម្បីដាក់ពង្រាយអ្នករុករករ៉ែដែលលាក់កំបាំង ខណៈពេលដែលរក្សាវត្តមានដ៏លាក់លៀមនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ឧប្បត្តិហេតុនេះបញ្ជាក់ពីសារៈសំខាន់នៃការប្រុងប្រយ័ត្ននៅពេលទទួលបានកម្មវិធីនៅលើអ៊ីនធឺណិត ខណៈដែលអ្នកគំរាមកំហែងបន្តកែលម្អយុទ្ធសាស្ត្របោកប្រាស់របស់ពួកគេ។