ការបង្ហាញចារកម្មតាមអ៊ីនធឺណិតរយៈពេលមួយឆ្នាំ៖ វិវរណៈដ៏គួរឱ្យចាប់អារម្មណ៍នៃ RDStealer Malware ផ្ទាល់ខ្លួននៅក្នុងក្រុមហ៊ុន IT គោលដៅ

ដោយ Chance ក្នុង Computer Security

បកប្រែទៅ៖

ការវាយប្រហារតាមអ៊ីនធឺណេតដែលបានគ្រោងទុកយ៉ាងទូលំទូលាយ និងយ៉ាងល្អិតល្អន់ សំដៅលើក្រុមហ៊ុនព័ត៌មានវិទ្យាអាស៊ីបូព៌ាមួយបានកើតឡើង ដែលបង្ហាញឱ្យឃើញពីយុទ្ធសាស្ត្រស្មុគស្មាញដែលប្រើដោយអ្នកគំរាមកំហែង។ ប្រតិបត្តិការរយៈពេលវែងនេះ មានរយៈពេលជាងមួយឆ្នាំ ត្រូវបានរៀបចំឡើងដោយការដាក់ពង្រាយវ៉ារ្យ៉ង់មេរោគដ៏ទំនើប RDStealer ដែលត្រូវបានបង្កើតឡើងដោយប្រើភាសាកម្មវិធី Golang ។ ការរកឃើញលម្អិតដែលបង្ហាញនៅក្នុងរបាយការណ៍បច្ចេកទេសដោយអ្នកស្រាវជ្រាវ Bitdefender Victor Vrabie បង្ហាញពីគោលបំណងចម្បងនៃការវាយប្រហារគឺដើម្បីសម្របសម្រួលព័ត៌មានសម្ងាត់ដ៏មានតម្លៃ និងប្រតិបត្តិការដកទិន្នន័យ។

ភ័ស្តុតាងយ៉ាងទូលំទូលាយដែលប្រមូលបានដោយក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតរ៉ូម៉ានី ចង្អុលទៅការចាប់ផ្តើមយុទ្ធនាការនៅដើមឆ្នាំ 2022 ដោយគោលដៅជាក់លាក់គឺក្រុមហ៊ុន IT ដែលមិនត្រូវបានបង្ហាញនៅក្នុងអាស៊ីបូព៌ា។ វិវរណៈនេះគឺជាការរំលឹកយ៉ាងច្បាស់អំពីវិវឌ្ឍដ៏វិសេសវិសាល និងការបន្តនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតនៅក្នុងពិភពលោកដែលមានទំនាក់ទំនងគ្នានាពេលបច្ចុប្បន្ននេះ។

តារាងមាតិកា

ការបង្ហាញវឌ្ឍនភាព

ក្នុងដំណាក់កាលដំបូងនៃប្រតិបត្តិការ trojans ចូលប្រើពីចម្ងាយទូទៅដូចជា AsyncRAT និង Cobalt Strike បានដើរតួនាទីយ៉ាងសកម្ម។ ទោះបីជាយ៉ាងណាក៏ដោយ មេរោគដែលបានរចនាឡើងដោយខ្លួនឯងបានឈានជើងចូលដើម្បីគេចពីការរកឃើញ នៅពេលដែលការវាយប្រហារបានដំណើរការនៅចុងឆ្នាំ 2021 ឬដើមឆ្នាំ 2022។ យុទ្ធសាស្រ្តគួរឱ្យកត់សម្គាល់មួយពាក់ព័ន្ធនឹងការប្រើប្រាស់ថតឯកសារ Microsoft Windows ដែលត្រូវបានលើកលែងពីការស្កេនសុវត្ថិភាព ដូចជា System32 និងកម្មវិធីឯកសារ ដើម្បីរក្សាទុកបន្ទុកខាងក្រោយ។ វិធីសាស្រ្តនេះមានគោលបំណងទាញយកប្រយោជន៍ពីការកំណត់របស់កម្មវិធីសុវត្ថិភាព និងបង្កើនប្រសិទ្ធភាពនៃការវាយប្រហារ។

ថតរងជាក់លាក់ដែលដើរតួយ៉ាងសំខាន់ក្នុងការវាយប្រហារគឺ "C:\Program Files\Dell\CommandUpdate" ដែលបម្រើជាទីតាំងសម្រាប់ Dell Command | អាប់ដេត កម្មវិធី Dell ស្របច្បាប់។ គួរឱ្យចាប់អារម្មណ៍ ម៉ាស៊ីនដែលសម្របសម្រួលទាំងអស់នៅទូទាំងឧប្បត្តិហេតុគឺត្រូវបានក្រុមហ៊ុន Dell ផលិតដោយបង្ហាញពីជម្រើសដោយចេតនាដោយអ្នកគំរាមកំហែងដើម្បីប្រើប្រាស់ថតឯកសារនេះជាការក្លែងបន្លំសម្រាប់សកម្មភាពព្យាបាទរបស់ពួកគេ។ ការសង្កេតនេះត្រូវបានពង្រឹងដោយការពិតដែលថាអ្នកវាយប្រហារបានចុះឈ្មោះដែនបញ្ជា និងគ្រប់គ្រង (C2) ដូចជា "dell-a[.]ntp-update[.]com" ដែលត្រូវបានរចនាឡើងជាយុទ្ធសាស្រ្តដើម្បីបញ្ចូលគ្នាយ៉ាងរលូនទៅក្នុងបរិយាកាសគោលដៅ។

យុទ្ធនាការឈ្លានពានប្រើប្រាស់ backdoor ខាង server ដែលគេស្គាល់ថា RDStealer ដែលមានជំនាញក្នុងការប្រមូលទិន្នន័យជាបន្តបន្ទាប់ពីក្តារតម្បៀតខ្ទាស់ និងការចុចគ្រាប់ចុចលើម៉ាស៊ីនដែលមានមេរោគ។ អាកប្បកិរិយានេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងប្រមូលព័ត៌មានរសើបដោយលួចលាក់។

លក្ខណៈពិសេសប្លែក

អ្វីដែលកំណត់ការវាយប្រហារនេះដាច់ពីគ្នាគឺសមត្ថភាពរបស់វាក្នុងការត្រួតពិនិត្យការតភ្ជាប់ចូលមកពី Remote Desktop Protocol (RDP) និងទាញយកម៉ាស៊ីនពីចម្ងាយប្រសិនបើការធ្វើផែនទីម៉ាស៊ីនភ្ញៀវត្រូវបានបើក។ នៅពេលដែលការភ្ជាប់ម៉ាស៊ីនភ្ញៀវ RDP ថ្មីត្រូវបានរកឃើញ RDStealer ចេញពាក្យបញ្ជាដើម្បីទាញយកព័ត៌មានរសើប រួមទាំងប្រវត្តិរុករក អត្តសញ្ញាណប័ណ្ណ និងសោឯកជន ពីកម្មវិធីដូចជា mRemoteNG, KeePass និង Google Chrome ជាដើម។ នោះសង្កត់ធ្ងន់ថា តួអង្គគម្រាមកំហែងកំណត់គោលដៅយ៉ាងសកម្មនូវព័ត៌មានសម្ងាត់ និងរក្សាទុកការតភ្ជាប់ទៅប្រព័ន្ធផ្សេងទៀត ដូចដែល Marin Zugec អ្នកស្រាវជ្រាវនៅ Bitdefender បានគូសបញ្ជាក់នៅក្នុងការវិភាគដាច់ដោយឡែកមួយ។ លើសពីនេះទៀត អតិថិជន RDP ដែលភ្ជាប់ទៅម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលចាប់ Logutil ដែលជាមេរោគដែលមានមូលដ្ឋានលើ Golang ផ្ទាល់ខ្លួនផ្សេងទៀត។

Logutil ប្រើបច្ចេកទេសផ្ទុកចំហៀង DLL ដើម្បីបង្កើតការជាប់លាប់នៅក្នុងបណ្តាញជនរងគ្រោះ និងសម្រួលដល់ការប្រតិបត្តិពាក្យបញ្ជា។ ព័ត៌មានមានកំណត់អំពីតួអង្គគំរាមកំហែងគឺអាចរកបាន លើកលែងតែសកម្មភាពរបស់ពួកគេដែលមានអាយុកាលតាំងពីឆ្នាំ 2020។ លោក Zugec កត់សម្គាល់លើការច្នៃប្រឌិតជាបន្តបន្ទាប់ និងការវិវឌ្ឍន៍ភាពទំនើបនៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលប្រើប្រាស់បច្ចេកវិទ្យាថ្មីៗ និងបង្កើតឡើងដើម្បីអនុវត្តសកម្មភាពព្យាបាទរបស់ពួកគេ។ ការវាយប្រហារនេះបម្រើជាសក្ខីភាពមួយចំពោះភាពស្មុគស្មាញកាន់តែខ្លាំងឡើងនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតទំនើប និងសមត្ថភាពរបស់តួអង្គគំរាមកំហែងក្នុងការទាញយកបច្ចេកវិទ្យាដែលបានអនុម័តយ៉ាងទូលំទូលាយ។