SuperBear RAT

យុទ្ធនាការ​បន្លំ​ដោយ​ផ្តោត​លើ​អង្គការ​សង្គម​ស៊ីវិល​កូរ៉េ​ខាង​ត្បូង​បាន​បង្ហាញ​ពី​ការ​គំរាម​កំហែង RAT (Remote Access Trojan) ដែល​គេ​មិន​ស្គាល់​ឈ្មោះ​ថា SuperBear។ អ្នកឯកទេសផ្នែកសន្តិសុខបានកំណត់អត្តសញ្ញាណការគំរាមកំហែងនេះនៅក្នុងឧប្បត្តិហេតុដែលពាក់ព័ន្ធនឹងសកម្មជនមិនស្គាល់អត្តសញ្ញាណដែលបានទទួលឯកសារ LNK ដែលត្រូវបានបំភាន់នៅចុងខែសីហា ឆ្នាំ 2023។ អាសយដ្ឋានអ៊ីមែលរបស់អ្នកផ្ញើបោកប្រាស់បានត្រាប់តាមសមាជិកនៃអង្គការមិនស្វែងរកប្រាក់ចំណេញដែលបានកំណត់គោលដៅ។

ខ្សែសង្វាក់វាយប្រហារច្រើនដំណាក់កាលផ្តល់បន្ទុក SuperBear

នៅពេលធ្វើឱ្យសកម្ម ឯកសារ LNK ចាប់ផ្តើមពាក្យបញ្ជា PowerShell ដើម្បីចាប់ផ្តើមការប្រតិបត្តិនៃស្គ្រីប Visual Basic ។ ស្គ្រីបនេះ ទាញយកបន្ទុកដំណាក់កាលបន្តបន្ទាប់ ពីគេហទំព័រ WordPress ដែលស្របច្បាប់ ប៉ុន្តែត្រូវបានសម្របសម្រួល។

បន្ទុកនេះរួមមានសមាសភាគពីរ៖ ប្រព័ន្ធគោលពីរ Autoit3.exe ដែលត្រូវបានកំណត់ថាជា 'solmir.pdb' និងស្គ្រីប AutoIt ដែលស្គាល់ថា 'solmir_1.pdb'។ អតីតដើរតួជាយន្តការចាប់ផ្តើមសម្រាប់ក្រោយ។

ស្គ្រីប AutoIt ប្រើបច្ចេកទេសចាក់ដំណើរការដែលហៅថាដំណើរការប្រហោង។ បច្ចេកទេសនេះពាក់ព័ន្ធនឹងការបញ្ចូលកូដអាក្រក់ទៅក្នុងដំណើរការដែលផ្អាក។ ក្នុងករណីនេះ វាបង្កើតជាឧទាហរណ៍ថ្មីនៃ Explorer.exe ដើម្បីជួយសម្រួលដល់ការចាក់ SuperBear RAT ដែលមើលមិនឃើញពីមុន។

SuperBear RAT អនុវត្តសកម្មភាពឈ្លានពានលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល

SuperBear RAT អនុវត្តប្រតិបត្តិការវាយប្រហារបឋមចំនួនបី៖ ការស្រង់ចេញនូវដំណើរការ និងទិន្នន័យប្រព័ន្ធ ប្រតិបត្តិពាក្យបញ្ជាសែល និងដំណើរការ DLL ។ តាមលំនាំដើម ម៉ាស៊ីនមេ C2 ណែនាំអតិថិជនឱ្យធ្វើការស្រង់ចេញ និងដំណើរការទិន្នន័យប្រព័ន្ធ ដែលជាលក្ខណៈដែលជារឿយៗត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការវាយប្រហារផ្តោតលើកិច្ចខិតខំប្រឹងប្រែងស្រាវជ្រាវ។

លើសពីនេះទៀត តួអង្គគំរាមកំហែងអាចដឹកនាំ RAT ដើម្បីប្រតិបត្តិពាក្យបញ្ជាសែល ឬទាញយក DLL ដែលត្រូវបានសម្របសម្រួលដាក់លើម៉ាស៊ីនដែលរងផលប៉ះពាល់។ ក្នុងករណីដែល DLL ត្រូវការឈ្មោះឯកសារ វានឹងព្យាយាមបង្កើតចៃដន្យមួយ។ ប្រសិនបើមិនជោគជ័យ វាកំណត់ឈ្មោះ 'SuperBear'។ ការគំរាមកំហែងនេះបានទទួលឈ្មោះរបស់វាពីឥរិយាបថនេះ ដោយឆ្លុះបញ្ចាំងពីវិធីសាស្រ្តបង្កើតឈ្មោះឯកសារថាមវន្តរបស់វា។

ការវាយប្រហារនេះត្រូវបានសន្មតថាជាតារាសម្ដែងរបស់ប្រទេសកូរ៉េខាងជើងដែលត្រូវបានគេស្គាល់ថា Kimsuky (ហៅផងដែរថា APT43 ឬដោយឈ្មោះក្លែងក្លាយដូចជា Emerald Sleet, Nickel Kimball, និង Velvet Chollima)។ គុណលក្ខណៈនេះត្រូវបានដកចេញពីភាពស្រដៀងគ្នារវាងវ៉ិចទ័រវាយប្រហារដំបូង និងពាក្យបញ្ជា PowerShell ដែលប្រើ។

ការគំរាមកំហែងរបស់ RAT អាចត្រូវបានប្ដូរតាមបំណងដើម្បីបំពេញតាមរបៀបវារៈនៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត

ការគំរាមកំហែង RAT (Remote Access Trojan) ដែលអាចត្រូវបានប្ដូរតាមបំណងដើម្បីឲ្យសមស្របទៅនឹងរបៀបវារៈរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត បង្កគ្រោះថ្នាក់យ៉ាងសំខាន់ ដោយសារធម្មជាតិដែលអាចបត់បែនបាន និងអាចសម្របខ្លួនបាន។ នេះគឺជាគ្រោះថ្នាក់សំខាន់ៗមួយចំនួនដែលទាក់ទងនឹងការគំរាមកំហែងបែបនេះ៖

• ការបញ្ជាពីចម្ងាយដែលមិនមានការរឹតបន្តឹង ៖ RATs ផ្តល់នូវឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជាមួយនឹងការចូលដំណើរការពេញលេញ និងគ្មានការរឹតបន្តឹងទៅកាន់ប្រព័ន្ធដែលមានមេរោគ។ កម្រិតនៃការគ្រប់គ្រងនេះអនុញ្ញាតឱ្យពួកគេអនុវត្តសកម្មភាពបង្កគ្រោះថ្នាក់ជាច្រើន រួមទាំងការលួចទិន្នន័យ ការឃ្លាំមើល និងការរៀបចំប្រព័ន្ធ ដោយមិនចាំបាច់មានចំណេះដឹង ឬការយល់ព្រមពីជនរងគ្រោះឡើយ។
• ការលួចទិន្នន័យ ៖ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចប្រើ RATs ដើម្បីប្រមូលព័ត៌មានរសើបដូចជាទិន្នន័យផ្ទាល់ខ្លួន កំណត់ត្រាហិរញ្ញវត្ថុ លិខិតបញ្ជាក់ការចូល កម្មសិទ្ធិបញ្ញា និងច្រើនទៀត។ ទិន្នន័យដែលប្រមូលបានអាចត្រូវបានលក់នៅលើ Dark Web ឬប្រើសម្រាប់ការលួចអត្តសញ្ញាណ ការក្លែងបន្លំហិរញ្ញវត្ថុ ឬចារកម្មសាជីវកម្ម។
• ចារកម្ម និងការឃ្លាំមើល ៖ RATs ដែលអាចប្ដូរតាមបំណងបានជារឿយៗត្រូវបានប្រើប្រាស់សម្រាប់គោលបំណងចារកម្ម ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចតាមដាន និងកត់ត្រាសកម្មភាពរបស់ជនរងគ្រោះ ចាប់យករូបថតអេក្រង់ កត់ត្រាការចុចគ្រាប់ចុច និងសូម្បីតែធ្វើឱ្យកាមេរ៉ាបណ្ដាញ និងមីក្រូហ្វូនរបស់ជនរងគ្រោះសកម្ម។ នេះអាចបង្កើតការបំពានឯកជនភាព និងការប្រមូលព័ត៌មានផ្ទាល់ខ្លួន ឬព័ត៌មានសាជីវកម្មដ៏រសើប។
• Persistent Access : RATs ត្រូវបានរចនាឡើងដើម្បីរក្សាការចូលប្រើប្រាស់ជាប្រចាំទៅកាន់ប្រព័ន្ធដែលមានមេរោគ ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរក្សាការគ្រប់គ្រងលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួលសម្រាប់រយៈពេលបន្ថែម។ ភាពស្ថិតស្ថេរនេះធ្វើឱ្យមានការពិបាកសម្រាប់ជនរងគ្រោះក្នុងការស្វែងរក និងលុបមេរោគនេះ ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវមូលដ្ឋានដែលកំពុងដំណើរការនៅក្នុងប្រព័ន្ធ។
• ការផ្សព្វផ្សាយ និងការរីករាលដាល ៖ RATs ប្ដូរតាមបំណងអាចត្រូវបានកម្មវិធីដើម្បីផ្សព្វផ្សាយទៅកាន់ប្រព័ន្ធផ្សេងទៀតនៅក្នុងបណ្តាញមួយ ដែលសក្តានុពលនាំទៅដល់ការសម្របសម្រួលនៃឧបករណ៍ជាច្រើន និងសូម្បីតែអង្គការទាំងមូល។ នេះអាចបណ្តាលឱ្យមានការខូចខាតយ៉ាងទូលំទូលាយ ការបំពានទិន្នន័យ និងការរំខានដល់ប្រតិបត្តិការ។
• ការវាយប្រហារតាមតម្រូវការ ៖ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចកែសម្រួល RATs ដើម្បីប្រតិបត្តិវ៉ិចទ័រវាយប្រហារជាក់លាក់ ដែលធ្វើឱ្យវាពិបាកសម្រាប់កម្មវិធីសុវត្ថិភាពក្នុងការស្វែងរក និងរារាំងពួកគេ។ ការវាយប្រហារទាំងនេះអាចត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅជាក់លាក់នៃអង្គការ ឧស្សាហកម្ម ឬបុគ្គល ដោយបង្កើនឱកាសនៃភាពជោគជ័យ។
• Evading Detection : RATs ប្ដូរតាមបំណងជារឿយៗរួមបញ្ចូលនូវបច្ចេកទេសប្រឆាំងនឹងការរកឃើញ រួមទាំងការអ៊ិនគ្រីប ការយល់ច្រឡំ និងពហុមុខងារ ដែលធ្វើឱ្យវាពិបាកសម្រាប់ដំណោះស្រាយសុវត្ថិភាពដើម្បីកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយការគំរាមកំហែង។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារនៅតែលាក់ និងជៀសវាងការរកឃើញសម្រាប់រយៈពេលបន្ថែម។
• ការដាក់ពង្រាយ Ransomware : RATs អាចត្រូវបានប្រើជាមធ្យោបាយមួយដើម្បីបញ្ជូនបន្ទុក ransomware ចាក់សោជនរងគ្រោះចេញពីប្រព័ន្ធរបស់ពួកគេផ្ទាល់ ឬអ៊ិនគ្រីបទិន្នន័យរបស់ពួកគេ។ បន្ទាប់មក ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចទាមទារប្រាក់លោះជាថ្នូរនឹងសោរឌិគ្រីប ដែលបណ្តាលឱ្យមានការរំខានផ្នែកហិរញ្ញវត្ថុ និងប្រតិបត្តិការ។
• ការបង្កើត Botnet ៖ RATs ដែលអាចប្ដូរតាមបំណងអាចត្រូវបានប្រើដើម្បីជ្រើសរើសឧបករណ៍ដែលមានមេរោគចូលទៅក្នុង botnet ដែលបន្ទាប់មកអាចត្រូវបានប្រើប្រាស់សម្រាប់គោលបំណងព្យាបាទផ្សេងៗ ដូចជាការវាយប្រហារដែលចែកចាយការបដិសេធសេវាកម្ម (DDoS) ការចែកចាយសារឥតបានការ ឬការផ្សព្វផ្សាយបន្ថែមទៀតនៃមេរោគ។

សរុបមក ការគំរាមកំហែងរបស់ RAT ដែលអាចត្រូវបានប្ដូរតាមបំណងឱ្យសមស្របទៅនឹងគោលបំណងរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត បង្កឱ្យមានគ្រោះថ្នាក់ច្រើនមុខ ដោយសារពួកវាបើកដំណើរការយ៉ាងទូលំទូលាយនៃសកម្មភាពមិនមានសុវត្ថិភាព ជាមួយនឹងសក្តានុពលសម្រាប់ការខូចខាតផ្នែកហិរញ្ញវត្ថុ ប្រតិបត្តិការ និងកេរ្តិ៍ឈ្មោះដល់បុគ្គល អង្គការ និងសូម្បីតែវិស័យទាំងមូល។ ដើម្បីប្រយុទ្ធប្រឆាំងនឹងការគំរាមកំហែងទាំងនេះ វិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏រឹងមាំ រួមទាំងការធ្វើបច្ចុប្បន្នភាពជាប្រចាំ ការបណ្តុះបណ្តាលបុគ្គលិក និងឧបករណ៍ស្វែងរក និងការពារការគំរាមកំហែងកម្រិតខ្ពស់ គឺជារឿងចាំបាច់។