UDPGangster Backdoor

យុទ្ធនាការគម្រាមកំហែងមួយត្រូវបានសន្មតថាជាក្រុមដែលមានទំនាក់ទំនងជាមួយអ៊ីរ៉ង់ MuddyWater បានបង្ហាញឱ្យឃើញពីការដាក់ពង្រាយ backdoor ដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីដែលមានឈ្មោះថា UDPGangster ។ មិនដូចមេរោគធម្មតាដែលពឹងផ្អែកលើការទំនាក់ទំនងដែលមានមូលដ្ឋានលើ TCP ឧបករណ៍នេះប្រើប្រាស់ User Datagram Protocol ជាបណ្តាញ Command-and-Control របស់វាដែលធ្វើឱ្យចរាចរណ៍របស់វាកាន់តែពិបាកសម្រាប់ដំណោះស្រាយសុវត្ថិភាពបែបប្រពៃណីក្នុងការរកឃើញ។ នៅពេលដែលសកម្ម ទ្វារខាងក្រោយផ្តល់នូវការរៀបចំពីចម្ងាយពេញលេញនៃប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល បើកដំណើរការការប្រតិបត្តិពាក្យបញ្ជា ការលួចឯកសារ និងការចែកចាយមេរោគបន្ទាប់បន្សំ។

គោលដៅក្នុងតំបន់ និងការជម្រុញចារកម្ម

ក្រុមអ្នកស្រាវជ្រាវរាយការណ៍ថាជនរងគ្រោះត្រូវបានកំណត់អត្តសញ្ញាណជាចម្បងនៅក្នុងប្រទេសទួរគី អ៊ីស្រាអែល និងអាស៊ែបៃហ្សង់។ ធម្មជាតិនៃប្រតិបត្តិការនេះ រួមផ្សំជាមួយនឹងការផ្តោតទៅលើភូមិសាស្ត្ររបស់វា បង្ហាញសញ្ញានៃកិច្ចខិតខំប្រឹងប្រែងចារកម្មដែលមានគោលបំណងប្រមូលផ្តុំការស៊ើបការណ៍សម្ងាត់ និងទទួលបានកន្លែងឈរជើងពីចម្ងាយនៅក្នុងបរិយាកាសរសើប។

ការបោកបញ្ឆោត និងឯកសារព្យាបាទ

អ្នកវាយប្រហារពឹងផ្អែកយ៉ាងខ្លាំងលើ spear-phishing ដើម្បីជ្រៀតចូលបណ្តាញ។ អ៊ីមែលដែលក្លែងបន្លំជាសាធារណៈរដ្ឋទួរគីនៃក្រសួងការបរទេស Cyprus ខាងជើងត្រូវបានផ្ញើទៅអ្នកទទួលដែលមិនមានការសង្ស័យ ដោយក្លែងបន្លំអញ្ជើញពួកគេឱ្យចូលរួមក្នុងសិក្ខាសាលាអនឡាញមួយដែលមានចំណងជើងថា 'ការបោះឆ្នោតប្រធានាធិបតី និងលទ្ធផល។'

ឯកសារភ្ជាប់ជាមួយអ៊ីមែលទាំងនេះមានកំណែដូចគ្នាបគ្នាពីរនៃឯកសារព្យាបាទ៖ បណ្ណសារហ្ស៊ីបដែលមានឈ្មោះថា seminer.zip និងឯកសារ Word ដែលមានចំណងជើងថា seminer.doc។ នៅពេលបើក ឯកសារនឹងជំរុញឱ្យអ្នកប្រើប្រាស់បើកម៉ាក្រូ ដែលអនុញ្ញាតឱ្យបន្ទុកដែលបានបង្កប់របស់វាដំណើរការដោយស្ងៀមស្ងាត់។ ដើម្បីបិទបាំងសកម្មភាពព្យាបាទ ម៉ាក្រូបង្ហាញរូបភាពបញ្ឆោតជាភាសាហេប្រ៊ូពីក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍អ៊ីស្រាអែល Bezeq ដោយសន្មត់ថាពិពណ៌នាអំពីការរំខានសេវាកម្មដែលបានគ្រោងទុកនៅដើមខែវិច្ឆិកា ឆ្នាំ 2025។

ការអនុវត្តម៉ាក្រូ និងការដឹកជញ្ជូនបន្ទុក

នៅពេលដែលម៉ាក្រូត្រូវបានធ្វើឱ្យសកម្ម ដំណក់ទឹកនឹងប្រើព្រឹត្តិការណ៍ Document_Open() ដើម្បីឌិកូដទិន្នន័យ Base64 ដោយស្វ័យប្រវត្តិដែលរក្សាទុកក្នុងវាលទម្រង់លាក់។ ខ្លឹមសារលទ្ធផលត្រូវបានសរសេរទៅ៖

C:\Users\Public\ui.txt

បន្ទាប់មកឯកសារនេះត្រូវបានដាក់ឱ្យដំណើរការតាមរយៈ Windows API CreateProcessA ដោយចាប់ផ្តើម UDPGangster backdoor ។

ការបំបាំងកាយដោយការរចនា៖ ការតស៊ូ និងយុទ្ធសាស្ត្រប្រឆាំងការវិភាគ

UDPGangster ធានាវត្តមានរបស់វានៅលើម៉ាស៊ីនតាមរយៈ Windows Registry ជាប់លាប់។ វាក៏រួមបញ្ចូលផងដែរនូវអារេដ៏ធំទូលាយនៃបច្ចេកទេសប្រឆាំងការវិភាគដែលមានគោលបំណងរារាំងបរិស្ថាននិម្មិត ប្រអប់ខ្សាច់ និងការពិនិត្យកោសល្យវិច្ច័យ។ ទាំងនេះរួមមាន:

• ការត្រួតពិនិត្យបរិស្ថាន និងនិម្មិត
• ការធ្វើតេស្តសម្រាប់ការបំបាត់កំហុសសកម្ម
• ត្រួតពិនិត្យលក្ខណៈ CPU សម្រាប់សញ្ញានៃម៉ាស៊ីននិម្មិត

• កំណត់អត្តសញ្ញាណប្រព័ន្ធដែលមាន RAM តិចជាង 2 GB

• ធ្វើឱ្យមានសុពលភាពបុព្វបទអាសយដ្ឋាន MAC ដើម្បីស្វែងរកអ្នកលក់ VM

• កំពុងពិនិត្យមើលថាតើឧបករណ៍នេះជាកម្មសិទ្ធិរបស់ក្រុមការងារ Windows លំនាំដើមឬអត់

• កំពុងស្កេនរកមើលដំណើរការដូចជា VBoxService.exe, VBoxTray.exe, vmware.exe និង vmtoolsd.exe

• ការពិនិត្យមើលធាតុចុះបញ្ជីសម្រាប់ឧបករណ៍កំណត់អត្តសញ្ញាណនិម្មិត រួមមាន VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE និង Xen

• កំពុងស្វែងរកឧបករណ៍ប្រើប្រាស់ sandboxing ឬបំបាត់កំហុសដែលគេស្គាល់

• កំណត់ថាតើការប្រតិបត្តិកើតឡើងនៅក្នុងបរិយាកាសវិភាគឬអត់

មានតែនៅពេលដែលការត្រួតពិនិត្យទាំងនេះត្រូវបានជម្រះទេ មេរោគចាប់ផ្តើមទាញយកទិន្នន័យប្រព័ន្ធ និងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេខាងក្រៅរបស់វានៅច្រក UDP 1269 នៅលើ 157.20.182[.]75។ តាមរយៈឆានែលនេះ វាអាចដំណើរការពាក្យបញ្ជាសែលតាមរយៈ cmd.exe ផ្ទេរឯកសារ ធ្វើបច្ចុប្បន្នភាពព័ត៌មានលម្អិតនៃការកំណត់រចនាសម្ព័ន្ធ និងដាក់ពង្រាយបន្ទុកតាមដាន។

សមត្ថភាពប្រតិបត្តិការ និងការលួចទិន្នន័យ

បន្ទាប់ពីសុពលភាព មេរោគប្រមូលទិន្នន័យមេតារបស់ប្រព័ន្ធ ហើយបញ្ជូនវាទៅម៉ាស៊ីនមេ C2 ពីចម្ងាយ។ ការទំនាក់ទំនងដែលមានមូលដ្ឋានលើ UDP របស់វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនដែលមានមេរោគក្នុងពេលវេលាជាក់ស្តែង ដោយណែនាំវាឱ្យប្រតិបត្តិពាក្យបញ្ជា ដំឡើងកំណែ backdoor ឬទម្លាក់ម៉ូឌុលព្យាបាទបន្ថែមតាមតម្រូវការ។ រចនាសម្ព័ន្ធនេះគាំទ្រទាំងប្រតិបត្តិការឈ្លបយកការណ៍ និងប្រតិបត្តិការចារកម្មរយៈពេលវែង។

ការបន្ធូរបន្ថយ និងការយល់ដឹង

ដោយសារខ្សែសង្វាក់ឆ្លងមេរោគជាប់នឹងឯកសារបន្លំដែលអាចបើកដំណើរការម៉ាក្រូ ការយល់ដឹងរបស់អ្នកប្រើប្រាស់នៅតែជាវិធានការការពារដ៏សំខាន់។ ឯកសារភ្ជាប់ដែលគួរឱ្យសង្ស័យ ឬមិនបានស្នើសុំ ជាពិសេសឯកសារភ្ជាប់ដែលជំរុញឱ្យដំណើរការម៉ាក្រូ គួរតែត្រូវបានព្យាបាលដោយប្រុងប្រយ័ត្នបំផុត។ អង្គការគួរអនុវត្តការរឹតបន្តឹងម៉ាក្រូ ដាក់ពង្រាយដំណោះស្រាយត្រួតពិនិត្យអាកប្បកិរិយា និងបណ្តុះបណ្តាលអ្នកប្រើប្រាស់ឱ្យស្គាល់យុទ្ធសាស្ត្របន្លំគោលដៅ។

វិធានការការពារដែលបានណែនាំ

• ដាក់កម្រិត ឬបិទម៉ាក្រូនៅទូទាំងស្ថាប័ន។
• ដាក់ពង្រាយការការពារចំណុចបញ្ចប់ដែលមានសមត្ថភាពរកឃើញដំណក់ទឹកដែលមានមូលដ្ឋានលើម៉ាក្រូ។
• ត្រួតពិនិត្យសម្រាប់ចរាចរណ៍ UDP ខាងក្រៅមិនធម្មតា។
• ទង់ទំនាក់ទំនងព្យាយាមទៅកាន់ច្រកដែលមិនស្គាល់ ឬគួរឱ្យសង្ស័យ។
• អប់រំបុគ្គលិកអំពីសូចនាករបន្លំគោលដៅ។

ដោយការរួមបញ្ចូលការបញ្ឆោតបញ្ឆោត ការប្រតិបត្តិម៉ាក្រូដ៏លាក់កំបាំង និងវិធីសាស្ត្រគេចវេសកម្រិតខ្ពស់ យុទ្ធនាការ UDPGangster របស់ MuddyWater បង្ហាញពីការសង្កត់ធ្ងន់ជាថ្មីលើការចូលលួចលាក់ និងការប្រមូលផ្តុំព័ត៌មានសម្ងាត់ក្នុងតំបន់។ ការរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការវាយប្រហារផ្អែកលើឯកសារគឺចាំបាច់ដើម្បីទប់ស្កាត់ការគំរាមកំហែងបែបនេះពីការបង្កើតមូលដ្ឋាន។