មេរោគ TransferLoader

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខកំពុងភ្ជាប់ទំនាក់ទំនងរវាងតួអង្គដ៏ល្បីល្បាញនៅពីក្រោយ RomCom RAT និងកម្មវិធីផ្ទុកមេរោគដែលមានឈ្មោះថា TransferLoader ។ យុទ្ធនាការនេះ ដែលបានកំណត់គោលដៅអង្គភាពដែលមានចារកម្ម និងការវាយប្រហារ ransomware រំលេចនូវបច្ចេកទេសទំនើបៗ និងហេដ្ឋារចនាសម្ព័ន្ធត្រួតស៊ីគ្នា ដែលទាមទារឱ្យមានការត្រួតពិនិត្យយ៉ាងជិតស្និទ្ធ។

ចង្កោមតារាសម្ដែងការគំរាមកំហែងពីរ៖ TA829 និង UNK_GreenSec

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់សកម្មភាពដែលទាក់ទងនឹង TransferLoader ទៅជាក្រុមអ្នកគំរាមកំហែងចម្បងពីរ៖

• TA829 ក៏ត្រូវបានតាមដានក្រោមឈ្មោះក្លែងក្លាយដូចជា RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, និង Void Rabisu ។
• UNK_GreenSec ជាចង្កោមដែលមិនសូវស្គាល់ដែលដំណើរការស្របគ្នាជាមួយនឹងយុទ្ធសាស្ត្រស្រដៀងគ្នា។

TA829 គឺគួរឱ្យកត់សម្គាល់ជាពិសេសសម្រាប់ប្រតិបត្តិការកូនកាត់របស់វា រួមបញ្ចូលគ្នានូវចារកម្ម និងការវាយប្រហារដែលជំរុញដោយហិរញ្ញវត្ថុ។ ក្រុម​ដែល​មាន​សម្ព័ន្ធភាព​ជាមួយ​រុស្ស៊ី​នេះ​ពីមុន​បាន​ប្រើ​ភាព​ងាយ​រងគ្រោះ​សូន្យ​ថ្ងៃ​នៅក្នុង Mozilla Firefox និង Microsoft Windows ដើម្បី​ដាក់​ពង្រាយ RomCom RAT ដោយ​កំណត់​គោលដៅ​លើ​អង្គការ​ពិភពលោក​ដែល​មានតម្លៃ​ខ្ពស់។

TransferLoader៖ ការកើតឡើង និងតួនាទីនៅក្នុងយុទ្ធនាការ Malware

TransferLoader ត្រូវបានគេកំណត់អត្តសញ្ញាណជាលើកដំបូងនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2025 ក្នុងអំឡុងពេលយុទ្ធនាការមួយដែលពាក់ព័ន្ធនឹង Morpheus ransomware ដែលជាកំណែប្តូរម៉ាករបស់ HellCat ransomware ។ មេរោគនេះត្រូវបានប្រើប្រឆាំងនឹងក្រុមហ៊ុនច្បាប់ដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិកដែលមិនបញ្ចេញឈ្មោះ។ មិនដូច RomCom ទេ TransferLoader បម្រើជាចម្បងជាយន្តការចែកចាយបំបាំងកាយ ដែលអនុញ្ញាតឱ្យមានការដាក់ពង្រាយបន្ទុកព្យាបាទបន្ថែមដូចជា Metasploit និង Morpheus ។

បេសកកម្មរបស់ TransferLoader គឺសាមញ្ញ៖ នៅតែមិនអាចរកឃើញ និងបញ្ជូនមេរោគបន្ថែមទៀត។

ការទាញយករចនាសម្ព័ន្ធប្រូកស៊ី REM

ទាំង TA829 និង UNK_GreenSec ពឹងផ្អែកលើសេវាកម្មប្រូកស៊ី REM ដែលជារឿយៗត្រូវបានបង្ហោះនៅលើរ៉ោតទ័រ MikroTik ដែលត្រូវបានសម្របសម្រួល។ ប្រូកស៊ីទាំងនេះត្រូវបានប្រើដើម្បីបញ្ជូនចរាចរព្យាបាទ ដោយក្លែងបន្លំប្រភពដើមពិតរបស់វា។ ក្រុមប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធនេះដើម្បី៖

• ផ្ញើអ៊ីមែលបន្លំតាមរយៈសេវាកម្ម freemail (ឧ. Gmail, ukr.net)
• បញ្ជូនបន្តចរាចរណ៍ដើម្បីលាក់សកម្មភាពខាងលើ
• ចាប់ផ្តើមយុទ្ធនាការដោយប្រើទាំងគណនីអ៊ីមែលដែលបានបង្កើត និងសម្របសម្រួល

អ្នកស្រាវជ្រាវសង្ស័យថាការប្រើប្រាស់ឧបករណ៍បង្កើតអ៊ីមែលដែលបង្កើតអាសយដ្ឋានអ្នកផ្ញើយ៉ាងច្រើនដូចជា ximajazehox333@gmail.com និង hannahsilva1978@ukr.net សម្រាប់ការចែកចាយបន្លំ។

យន្តការបន្លំ និងការដឹកជញ្ជូនបន្ទុក

សារ​បន្លំ​ផ្ញើ​ដោយ​ក្រុម​ទាំង​ពីរ​ច្រើន​តែ​មាន​តំណ​បង្កប់​ក្នុង​តួ​អ៊ីមែល ឬ​ឯកសារ​ភ្ជាប់ PDF។ ជនរងគ្រោះដែលចុចតំណភ្ជាប់ទាំងនេះត្រូវបានទទួលរងនូវខ្សែសង្វាក់នៃការបញ្ជូនបន្តតាមរយៈ Rebrandly ដែលទីបំផុតបានចុះចតនៅលើទំព័រ Google Drive ឬ Microsoft OneDrive ក្លែងក្លាយ។ ការបញ្ជូនបន្តទាំងនេះរួមមានយន្តការទៅកាន់៖

• រំលងបរិស្ថានប្រអប់ខ្សាច់
• ត្រងប្រព័ន្ធដែលមិនចាប់អារម្មណ៍
• ផ្តល់បន្ទុកចុងក្រោយផ្សេងៗគ្នា អាស្រ័យលើក្រុមគំរាមកំហែង

ផ្លូវវាយប្រហារខុសគ្នា ៖

• UNK_GreenSec ប្រើផ្លូវនេះដើម្បីដាក់ពង្រាយ TransferLoader
• TA829 បញ្ជូនបន្តគោលដៅទៅកាន់មេរោគ SlipScreen

ឧបករណ៍ និងរចនាសម្ព័ន្ធដែលបានចែករំលែក

ក្រុមតារាទាំងពីរបង្ហាញពីឧបករណ៍ត្រួតស៊ីគ្នា និងជម្រើសហេដ្ឋារចនាសម្ព័ន្ធ៖

• ការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ PLINK របស់ PuTTY សម្រាប់ការបង្កើតផ្លូវរូងក្រោមដី SSH
• បង្ហោះឧបករណ៍ប្រើប្រាស់ព្យាបាទនៅលើសេវា IPFS (ប្រព័ន្ធឯកសារអន្តរភព)
• ការប្រើប្រាស់ចំណុចបញ្ចប់នៃការបញ្ជូនបន្តដែលមានមូលដ្ឋានលើ PHP ថាមវន្តសម្រាប់ការត្រងចរាចរណ៍

វិធីសាស្រ្តដែលបានចែករំលែកទាំងនេះបង្ហាញពីការសម្របសម្រួលដែលអាចធ្វើទៅបាន ឬការទទួលយកទៅវិញទៅមកនៃយុទ្ធសាស្ត្រដ៏មានប្រសិទ្ធភាព។

ប្រធានបទវិស្វកម្មសង្គម និងយុទ្ធសាស្ត្រចែកចាយ

យុទ្ធនាការដែលពាក់ព័ន្ធនឹង TransferLoader ជារឿយៗក្លែងបន្លំជាអ៊ីមែលឱកាសការងារ ដោយទាក់ទាញជនរងគ្រោះជាមួយនឹងតំណភ្ជាប់ដែលអះអាងថានាំទៅរកការបន្ត PDF ។ តាមការពិត តំណភ្ជាប់នេះបង្កឱ្យមានការទាញយក TransferLoader ដែលបង្ហោះនៅលើការចែករំលែកបណ្តាញ IPFS ។

លក្ខណៈបច្ចេកទេសសំខាន់ៗនៃប្រតិបត្តិការ TransferLoader

Evades Detection - ប្រើការបញ្ជូនបន្ត ការត្រង និងការបង្ហោះវិមជ្ឈការ ដើម្បីចៀសវាងការការពារបែបប្រពៃណី។

Payload Delivery – ដើរតួជាអ្នកផ្ទុកមេរោគដែលមានគ្រោះថ្នាក់ច្រើនជាងមុន រួមទាំង ransomware និងឧបករណ៍ចូលប្រើពីចម្ងាយ។

បច្ចេកទេសផ្សេងគ្នា - ប្រើរចនាសម្ព័ន្ធបញ្ជូនបន្តតែមួយគត់ (JavaScript ទៅចំណុចបញ្ចប់ PHP) ដើម្បីគាំទ្រការចែកចាយមាតិកាថាមវន្ត។

សេចក្តីសន្និដ្ឋាន៖ ការយល់ដឹងអំពីការគំរាមកំហែងរបស់ TransferLoader

TransferLoader តំណាងឱ្យការគំរាមកំហែងយ៉ាងសំខាន់ជាឧបករណ៍ផ្ទុកដែលបំបាំងកាយដែលមានសមត្ថភាពបើកការវាយប្រហារដែលមានផលប៉ះពាល់ខ្ពស់។ ការប្រើប្រាស់របស់វាទាំង UNK_GreenSec និង TA829 បង្ហាញពីរបៀបដែលក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តបង្កើតថ្មី ចែករំលែកឧបករណ៍ និងទាញយកហេដ្ឋារចនាសម្ព័ន្ធវិមជ្ឈការ ដើម្បីជៀសវាងការរកឃើញ និងសម្រេចបាននូវគោលដៅរបស់ពួកគេ។

សូចនាករនៃការគំរាមកំហែង TransferLoader រួមមាន:

• ការប្រើប្រាស់សេវាកម្មប្រូកស៊ី REM
• អ៊ីមែល​ទាក់ទាញ​ការ​យោង​កម្មវិធី​ការងារ ឬ​ប្រវត្តិរូប​សង្ខេប
• បញ្ជូនបន្តខ្សែសង្វាក់ដែលពាក់ព័ន្ធនឹងតំណ Rebrandly
• ការផ្ទុកនៅលើវេទិកាដែលមានមូលដ្ឋានលើ IPFS

អង្គការត្រូវតែមានការប្រុងប្រយ័ត្ន អនុវត្តការត្រងអ៊ីមែល និងគេហទំព័រដ៏រឹងមាំ ហើយតាមដានជាបន្តបន្ទាប់សម្រាប់ឥរិយាបថបណ្តាញមិនប្រក្រតីដែលភ្ជាប់ទៅនឹងយុទ្ធសាស្ត្រទាំងនេះ។