មេរោគ SteelFox

កញ្ចប់គំរាមកំហែងថ្មីមួយដែលគេស្គាល់ថាជា SteelFox ត្រូវបានរកឃើញ។ វាកំណត់គោលដៅប្រព័ន្ធ Windows ដើម្បីជីកយករ៉ែ cryptocurrency និងប្រមូលព័ត៌មានកាតឥណទាន។ មេរោគនេះប្រើប្រាស់បច្ចេកទេសមួយហៅថា 'នាំអ្នកបើកបរដែលងាយរងគ្រោះផ្ទាល់ខ្លួនរបស់អ្នក' ដើម្បីបង្កើនសិទ្ធិទៅកម្រិតប្រព័ន្ធ ដែលអនុញ្ញាតឱ្យវាឆ្លងកាត់វិធានការសុវត្ថិភាព។

មេរោគនេះត្រូវបានរីករាលដាលជាចម្បងតាមរយៈវេទិកា និងគេហទំព័រ torrent ដែលជាកន្លែងដែលវាក្លែងបន្លំជាឧបករណ៍បំបែកដែលដំណើរការកម្មវិធីស្របច្បាប់ដូចជា Foxit PDF Editor, JetBrains និង AutoCAD ។ ការប្រើប្រាស់កម្មវិធីបញ្ជាដែលងាយរងគ្រោះសម្រាប់ការកើនឡើងឯកសិទ្ធិគឺជាយុទ្ធសាស្ត្រមួយដែលជាទូទៅត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងតួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋ និងក្រុម ransomware ។ ទោះយ៉ាងណាក៏ដោយ ឥឡូវនេះវាហាក់ដូចជាត្រូវបានអនុម័តដោយយុទ្ធនាការប្រមូលព័ត៌មានមេរោគផងដែរ។

អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណប្រតិបត្តិការរបស់ SteelFox ជាលើកដំបូងនៅក្នុងខែសីហា ទោះបីជាពួកគេបានកត់សម្គាល់ថាមេរោគនេះមានសកម្មភាពតាំងពីខែកុម្ភៈ ឆ្នាំ 2023 ក៏ដោយ។ ការចែកចាយរបស់វាកំពុងកើនឡើងក្នុងប៉ុន្មានខែថ្មីៗនេះតាមរយៈបណ្តាញផ្សេងៗ រួមទាំង torrent ប្លុក និងការបង្ហោះវេទិកា។

ការឆ្លង និងការកើនឡើងនៃសិទ្ធិរបស់ SteelFox

របាយការណ៍បង្ហាញថាការបង្ហោះដែលផ្សព្វផ្សាយកម្មវិធីទម្លាក់មេរោគ SteelFox ជារឿយៗរួមបញ្ចូលការណែនាំលម្អិតអំពីរបៀបធ្វើឱ្យកម្មវិធីដំណើរការដោយខុសច្បាប់។ ជាឧទាហរណ៍ ការបង្ហោះបែបនេះផ្តល់នូវការណែនាំជាជំហាន ៗ អំពីរបៀបធ្វើឱ្យ JetBrains សកម្ម។ ខណៈពេលដែល dropper អនុវត្តមុខងារផ្សាយពាណិជ្ជកម្មនៃការធ្វើឱ្យកម្មវិធីសកម្ម អ្នកប្រើប្រាស់បានឆ្លងមេរោគដោយអចេតនាលើប្រព័ន្ធរបស់ពួកគេជាមួយនឹងមេរោគនៅក្នុងដំណើរការនេះ។

ដោយសារកម្មវិធីដែលបានកំណត់គោលដៅត្រូវបានដំឡើងជាធម្មតានៅក្នុងឯកសារកម្មវិធី ការបន្ថែមការបង្ក្រាបតម្រូវឱ្យមានការចូលប្រើកម្រិតអ្នកគ្រប់គ្រង ដែលមេរោគប្រើប្រាស់ក្នុងអំឡុងពេលវាយប្រហាររបស់វា។ អ្នកស្រាវជ្រាវកត់សម្គាល់ថាដំណើរការដំឡើងមានភាពស្របច្បាប់រហូតដល់ចំណុចដែលឯកសារត្រូវបានពន្លា។ នៅដំណាក់កាលនោះ មុខងារមិនមានសុវត្ថិភាពត្រូវបានណែនាំ ដែលបន្ទាប់មកទម្លាក់កូដដែលទទួលខុសត្រូវក្នុងការផ្ទុក SteelFox ទៅក្នុងប្រព័ន្ធ។

ការកេងប្រវ័ញ្ចអ្នកបើកបរដែលងាយរងគ្រោះ

នៅពេលដែល SteelFox ទទួលបានសិទ្ធិផ្នែករដ្ឋបាល វានឹងដំឡើងសេវាកម្មដែលដំណើរការ WinRing0.sys ដែលជាកម្មវិធីបញ្ជាដែលងាយរងគ្រោះដែលងាយរងគ្រោះទៅនឹង CVE-2020-14979 និង CVE-2021-41285។ ភាពងាយរងគ្រោះទាំងនេះអនុញ្ញាតឱ្យមេរោគបង្កើនសិទ្ធិទៅកម្រិត NT/SYSTEM ដោយផ្តល់ឱ្យវានូវកម្រិតខ្ពស់បំផុតនៃការចូលប្រើប្រព័ន្ធ ពោលគឺខ្លាំងជាងសិទ្ធិអ្នកគ្រប់គ្រង។ កម្រិតនៃការចូលប្រើនេះអនុញ្ញាតឱ្យមេរោគអាចគ្រប់គ្រងធនធានប្រព័ន្ធណាមួយ ឬដំណើរការដោយសេរី។

បន្ថែមពីលើការកើនឡើងឯកសិទ្ធិ កម្មវិធីបញ្ជា WinRing0.sys ត្រូវបានប្រើនៅក្នុងការជីកយករ៉ែ cryptocurrency ។ វាគឺជាផ្នែកមួយនៃក្រុមហ៊ុនរុករករ៉ែ XMRig ដែលជីកយករ៉ែ Monero ។ អ្នកវាយប្រហារដាក់ពង្រាយកំណែដែលបានកែប្រែរបស់អ្នករុករករ៉ែនេះ ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីភ្ជាប់ទៅអាងរុករករ៉ែដែលមានព័ត៌មានសម្ងាត់រឹង។

មេរោគនេះក៏បង្កើតការតភ្ជាប់ដែលមានសុវត្ថិភាពជាមួយនឹងម៉ាស៊ីនមេ Command-and-Control (C2) របស់វាដោយប្រើការខ្ទាស់ SSL និង TLS v1.3 ដោយធានាថាទំនាក់ទំនងត្រូវបានអ៊ិនគ្រីប និងការពារពីការស្ទាក់ចាប់។ លើសពីនេះ វាធ្វើឱ្យសកម្មសមាសភាគលួចព័ត៌មានដែលប្រមូលទិន្នន័យពីកម្មវិធីរុករកបណ្ដាញដប់បី ព័ត៌មានប្រព័ន្ធ ព័ត៌មានលម្អិតបណ្តាញ និងការតភ្ជាប់ RDP (ពិធីការផ្ទៃតុពីចម្ងាយ) ណាមួយ។ SteelFox អាចប្រមូលទិន្នន័យ រួមទាំងកាតឥណទាន ប្រវត្តិរុករក និងខូគី។

SteelFox ឆ្លងដល់ជនរងគ្រោះមកពីប្រទេសជាច្រើន។

ទោះបីជា C2 domain ដែលប្រើដោយ SteelFox ត្រូវបាន hardcoded ក៏ដោយ ក៏អ្នកវាយប្រហារលាក់វាដោយការផ្លាស់ប្តូរអាសយដ្ឋាន IP របស់ខ្លួនជាញឹកញាប់ និងដោះស្រាយវាតាមរយៈ Google Public DNS និង DNS លើ HTTPS (DoH) ។ ការវាយប្រហាររបស់ SteelFox មិនកំណត់គោលដៅបុគ្គលជាក់លាក់ទេ ប៉ុន្តែហាក់ដូចជាប៉ះពាល់ដល់អ្នកប្រើប្រាស់ AutoCAD, JetBrains និង Foxit PDF Editor ជាចម្បង។ មេរោគនេះត្រូវបានគេសង្កេតឃើញប្រព័ន្ធសម្របសម្រួលនៅក្នុងប្រទេសដូចជាប្រេស៊ីល ចិន រុស្ស៊ី ម៉ិកស៊ិក អារ៉ាប់រួម អេហ្ស៊ីប អាល់ហ្សេរី វៀតណាម ឥណ្ឌា និងស្រីលង្កា។

ទោះបីជាមានលក្ខណៈថ្មីក៏ដោយ SteelFox គឺជាកញ្ចប់ឧក្រិដ្ឋកម្មដ៏ទូលំទូលាយ។ ការវិភាគ Malware បង្ហាញថាអ្នកអភិវឌ្ឍន៍របស់ខ្លួនមានជំនាញក្នុងការសរសេរកម្មវិធី C++ ហើយបានបញ្ចូលបណ្ណាល័យខាងក្រៅដើម្បីបង្កើតមេរោគដ៏មានប្រសិទ្ធភាពខ្ពស់។