មេរោគ SweetRAT
SwaetRAT គឺជា Trojan ការចូលប្រើពីចម្ងាយ (RAT) ដែលបង្កើតឡើងជាកម្មវិធី 32-bit ដោយប្រើ .NET framework ។ ប្រភេទនៃការគំរាមកំហែងនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងដោយគ្មានការអនុញ្ញាតលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដោយអនុញ្ញាតឱ្យពួកគេត្រួតពិនិត្យសកម្មភាពអ្នកប្រើប្រាស់ ទាញយកព័ត៌មានរសើប និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។
តារាងមាតិកា
ការចូលលួចទិន្នន័យ និងការលួចទិន្នន័យ
មុខងារចម្បងមួយរបស់ SwaetRAT គឺការចាក់សោរដែលចាប់យករាល់ការចុចគ្រាប់ចុចដែលធ្វើឡើងដោយជនរងគ្រោះ។ សមត្ថភាពនេះអនុញ្ញាតឱ្យវាកត់ត្រាព័ត៌មានសម្ងាត់ចូល ព័ត៌មានលម្អិតហិរញ្ញវត្ថុ សារផ្ទាល់ខ្លួន និងទិន្នន័យសម្ងាត់ផ្សេងទៀត។ លើសពីនេះទៀត RAT ស្កេនឯកសារ 'Log.tmp' សម្រាប់ពាក្យគន្លឹះដូចជា 'Paypal' និង 'Binance' ដែលជាវេទិកាហិរញ្ញវត្ថុដែលប្រើយ៉ាងទូលំទូលាយពីរ។ ប្រសិនបើការផ្គូផ្គងណាមួយត្រូវបានរកឃើញ ព័ត៌មានត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ Command-and-Control (C2) របស់អ្នកវាយប្រហារ ដោយផ្តល់ការយល់ដឹងអំពីឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទៅក្នុងសកម្មភាពហិរញ្ញវត្ថុរបស់ជនរងគ្រោះ។
ទម្រង់ប្រព័ន្ធ និងការប្រតិបត្តិពាក្យបញ្ជា
SwaetRAT ប្រមូលព័ត៌មានលម្អិតនៃប្រព័ន្ធផ្សេងៗ រួមទាំងលេខសម្គាល់ប្រព័ន្ធតែមួយគត់ ឈ្មោះអ្នកប្រើប្រាស់ ព័ត៌មានប្រព័ន្ធប្រតិបត្តិការ កម្មវិធីសុវត្ថិភាពដែលបានដំឡើង និងថាតើអ្នកប្រើប្រាស់មានសិទ្ធិគ្រប់គ្រងដែរឬទេ។ លើសពីការប្រមូលព័ត៌មាន RAT គាំទ្រជួរនៃពាក្យបញ្ជាដើម្បីអនុវត្តសកម្មភាពជាច្រើននៅលើឧបករណ៍ដែលមានមេរោគ។
សមត្ថភាពរបស់វារួមមានការសរសេរ និងដំណើរការស្គ្រីប PowerShell ទាញយក និងបើកដំណើរការឯកសារពីទីតាំងដាច់ស្រយាល ចាប់យករូបថតអេក្រង់ ថតសកម្មភាពអេក្រង់ក្នុងពេលវេលាជាក់ស្តែង បង្កើតឯកសារនៅលើកុំព្យូទ័រលើតុ និងសូម្បីតែដកខ្លួនចេញពីប្រព័ន្ធ។ មុខងារទាំងនេះអាចនាំឱ្យមានផលវិបាកដូចជាការលួចអត្តសញ្ញាណ ការក្លែងបន្លំហិរញ្ញវត្ថុ ការឆ្លងបន្ថែមទៀត និងការសម្របសម្រួលប្រព័ន្ធយូរ។
ខ្សែសង្វាក់ឆ្លងមេរោគ និងការដាក់ពង្រាយ
SwaetRAT ជាធម្មតាត្រូវបានចែកចាយតាមរយៈអ៊ីមែលបន្លំដែលបញ្ជូនជនរងគ្រោះទៅកាន់គេហទំព័រក្លែងបន្លំដែលបង្ហោះអតិថិជន ScreenConnect ដែលត្រូវបានសម្របសម្រួល។ នៅពេលប្រតិបត្តិ អតិថិជនភ្ជាប់ម៉ាស៊ីនដែលមានមេរោគទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។
បន្ទាប់ពីនេះ ស្គ្រីប VBS ត្រូវបានទម្លាក់ទៅលើប្រព័ន្ធ ដែលទាញយកកូដដែលមិនមានសុវត្ថិភាពបន្ថែមពីអ៊ីនធឺណិត។ កូដនេះត្រូវបានឌិកូដ និងប្រតិបត្តិ ដែលទីបំផុតនាំទៅដល់ការដាក់ពង្រាយ Ande Loader ដែលផ្តល់ SwaetRAT ជាបន្ទុកចុងក្រោយ។
ជាមួយនឹងការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើប្រព័ន្ធដែលមានមេរោគ SwaetRAT បង្កហានិភ័យយ៉ាងច្រើនដល់ជនរងគ្រោះ សម្របសម្រួលការលួចទិន្នន័យ ការឃ្លាំមើលដោយគ្មានការអនុញ្ញាត និងការកេងប្រវ័ញ្ចបន្ថែមទៀតនៃឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។
