មេរោគ Vampire Bot

តួអង្គគម្រាមនិយាយភាសាវៀតណាមដែលត្រូវបានតាមដានថា BatShadow កំពុងដំណើរការយុទ្ធនាការគោលដៅដែលទាក់ទាញអ្នកស្វែងរកការងារ និងអ្នកជំនាញផ្នែកទីផ្សារឌីជីថលឱ្យដំឡើងមេរោគ Go-based ដែលមិនមានឯកសារពីមុន ដែលអ្នកស្រាវជ្រាវហៅថា Vampire Bot ។ ក្រុមនេះក្លែងបន្លំអ្នកជ្រើសរើសបុគ្គលិក និងចែកចាយការពិពណ៌នាការងារដែលហាក់បីដូចជាស្របច្បាប់ និងជា PDFs របស់ក្រុមហ៊ុន ដែលនៅពេលដែលមានអន្តរកម្មជាមួយ បង្កឱ្យមានខ្សែសង្វាក់ឆ្លងមេរោគច្រើនដំណាក់កាល និងផ្តល់នូវការឃ្លាំមើលពីចម្ងាយ និងសមត្ថភាពលួចទិន្នន័យ។

វិស្វកម្មសង្គម និងការដឹកជញ្ជូនទាក់ទាញ

អ្នកវាយប្រហារបង្កើតសារទម្រង់ជ្រើសរើសបុគ្គលិក និងឯកសារភ្ជាប់ ZIP ដែលមានឯកសារ PDF ក្លែងក្លាយ រួមជាមួយផ្លូវកាត់ព្យាបាទ (LNK) ឬអាចប្រតិបត្តិបានក្លែងធ្វើជា PDF ។ ការទាក់ទាញឯកសារគឺសំដៅជាពិសេសទៅលើតួនាទីទីផ្សារ (ការទាក់ទាញមួយដែលសំដៅទៅលើការងារទីផ្សារ Marriott) ដើម្បីបង្កើនភាពជឿជាក់ជាមួយជនរងគ្រោះដែលមានបំណង។ ជនរងគ្រោះត្រូវបានលើកទឹកចិត្តឱ្យ 'មើលជាមុន' ឬទាញយកការពិពណ៌នាការងារ ដែលចាប់ផ្តើមលំដាប់នៃការកេងប្រវ័ញ្ចច្រើនដំណាក់កាល។

ការវិវត្តនៃខ្សែសង្វាក់ឆ្លង

កញ្ចប់ ZIP រួមមាន LNK ព្យាបាទដែលដំណើរការស្គ្រីប PowerShell ដែលបានបង្កប់។ ស្គ្រីបនោះទាក់ទងទៅម៉ាស៊ីនមេខាងក្រៅដើម្បីទាញយកឯកសារ PDF ដ៏ទាក់ទាញ និងកញ្ចប់ ZIP ដាច់ដោយឡែកដែលមានឯកសារទាក់ទងនឹង XtraViewer (កម្មវិធីកុំព្យូទ័រពីចម្ងាយ)។ សមាសធាតុ XtraViewer ត្រូវបានប្រតិបត្តិ — ទំនងជាបង្កើតភាពជាប់លាប់ ឬការចូលប្រើពីចម្ងាយ — ហើយខ្សែសង្វាក់បន្តរហូតដល់ការប្រតិបត្តិ Go ត្រូវបានដាក់ពង្រាយ។

បំពាន​ការ​បញ្ជូន​បន្ត​គែម

ល្បិចសំខាន់នៅក្នុងយុទ្ធនាការគឺទំព័រចុះចតដែលបង្ហាញកំហុស 'កម្មវិធីរុករកដែលមិនគាំទ្រ' ក្លែងក្លាយ ហើយណែនាំជនរងគ្រោះឱ្យចម្លង URL ហើយបើកវានៅក្នុង Microsoft Edge ។ ការបញ្ជូនបន្តស្គ្រីបជារឿយៗត្រូវបានរារាំងដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិតទំនើប ដូច្នេះអ្នកវាយប្រហារពឹងផ្អែកលើការបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យអនុវត្តសកម្មភាពដោយដៃ (ចម្លង/បិទភ្ជាប់ទៅក្នុង Edge) ដែលបន្ទាប់មកត្រូវបានចាត់ទុកជាអ្នកប្រើប្រាស់ដែលផ្តួចផ្តើមគំនិត និងអនុញ្ញាតឱ្យដំណើរការទាញយកបន្ត។ នៅពេលបើកនៅក្នុង Edge ទំព័របង្ហាញកំហុសក្លែងក្លាយមួយទៀតដែលអះអាងថា PDF ត្រូវបានបង្ហាប់ ហើយ 'ផ្ញើទៅឧបករណ៍របស់អ្នក' ដែលបង្កឱ្យមានការទាញយក ZIP ដោយស្វ័យប្រវត្តិ។

Payload And Decoy ល្បិចដាក់ឈ្មោះ

ZIP ដែលទាញយកដោយស្វ័យប្រវត្តិមានផ្ទុកការពិពណ៌នាការងារដែលបានអះអាង និងកម្មវិធីដែលអាចប្រតិបត្តិបានដោយព្យាបាទ ដើម្បីឱ្យមើលទៅដូចជា PDF (ឧទាហរណ៍ 'Marriott_Marketing_Job_Description.pdf.exe')។ កម្មវិធីដែលអាចប្រតិបត្តិបានប្រើ padding ឈ្មោះឯកសារ (ចន្លោះបន្ថែមរវាង '.pdf' និង '.exe') ដូច្នេះវាមើលទៅដូចជា PDF នៅក្នុងទិដ្ឋភាពមួយចំនួន ដែលបង្កើនលទ្ធភាពដែលជនរងគ្រោះនឹងដំណើរការវា។

សមត្ថភាពរបស់ Vampire Bot

ការ​ប្រតិបត្តិ​ដែល​បាន​ទម្លាក់​គឺ Golang binary ដែល​មាន​ឈ្មោះ​ថា Vampire Bot។ សមត្ថភាពសង្កេតរបស់វារួមមាន:

• ការរាប់បញ្ចូល និងកំណត់ទម្រង់ម៉ាស៊ីនដែលឆ្លងមេរោគ,

គុណលក្ខណៈ និងហេដ្ឋារចនាសម្ព័ន្ធ

អ្នកវិភាគបានភ្ជាប់សកម្មភាពនេះទៅនឹងប្រទេសវៀតណាមដោយផ្អែកលើការប្រើប្រាស់ឡើងវិញនូវហេដ្ឋារចនាសម្ព័ន្ធ — ឧទាហរណ៍ អាសយដ្ឋាន IP (103.124.95.161) ដែលពីមុនត្រូវបានភ្ជាប់ជាមួយប្រតិបត្តិករដែលភ្ជាប់ជាមួយវៀតណាម — និងលើលំនាំកំណត់គោលដៅ។ BatShadow បានកំណត់គោលដៅអ្នកជំនាញផ្នែកទីផ្សារឌីជីថលមុន និងត្រួតលើគ្នាជាមួយក្រុមវៀតណាមដែលជំរុញផ្នែកហិរញ្ញវត្ថុផ្សេងទៀតដែលគេស្គាល់ថាដាក់ពង្រាយអ្នកលួចដែលប្លន់ទ្រព្យសម្បត្តិអាជីវកម្ម Facebook ។ ក្រុមនេះហាក់ដូចជាសកម្មយ៉ាងហោចណាស់មួយឆ្នាំ ហើយពីមុនបានប្រើដែនដូចជា samsung-work.com ដើម្បីចែកចាយមេរោគក្នុងគ្រួសាររួមមាន Agent Tesla, Lumma Stealer, Venom RAT ហើយនៅខែតុលា ឆ្នាំ 2024 យុទ្ធនាការចែកចាយ Quasar RAT តាមរយៈឯកសារពិពណ៌នាការងារដែលជាប់គាំងស្រដៀងគ្នា។

ហេតុអ្វីបានជាការវាយប្រហារមានប្រសិទ្ធភាព?

BatShadow រួមបញ្ចូលគ្នានូវការទាក់ទាញដែលទាក់ទងនឹងឧស្សាហកម្ម (ការផ្សាយពាណិជ្ជកម្មការងារទីផ្សារ) ល្បិចឈ្មោះឯកសារ ការផ្ទុកជាដំណាក់កាល (ដើម្បីគេចពីការស្កេនឯកសារសាមញ្ញ) និងលំហូរដែលបង្ខំឱ្យសកម្មភាពកម្មវិធីរុករកតាមអ៊ីនធឺណិតដោយដៃដើម្បីចៀសវាងការការពារការបញ្ជូនបន្តដែលមានស្គ្រីប។ ការលាយបញ្ចូលគ្នានៃវិស្វកម្មសង្គម និងជំហានបច្ចេកទេសពហុដំណាក់កាលនោះ បង្កើនឱកាសនៃការសម្របសម្រួលប្រកបដោយជោគជ័យ និងការចូលប្រើប្រាស់រយៈពេលវែង។

សេចក្តីសន្និដ្ឋាន

យុទ្ធនាការរបស់ BatShadow គូសបញ្ជាក់ពីរបៀបដែលវិស្វកម្មសង្គមកំណត់គោលដៅមានប្រសិទ្ធភាពនៅពេលដែលត្រូវបានផ្គូផ្គងជាមួយនឹងខ្សែសង្វាក់បច្ចេកទេសដែលគេចចេញពីដំណាក់កាល។ អង្គការដែលជ្រើសរើសជាញឹកញាប់ ឬដោះស្រាយចរាចរណ៍អ្នកដាក់ពាក្យ — និងអ្នកជំនាញផ្នែកទីផ្សារឌីជីថលដែលគ្រប់គ្រងទ្រព្យសកម្មលើអ៊ីនធឺណិត គួរតែពង្រឹងការគ្រប់គ្រងសំបុត្រ/ឯកសារភ្ជាប់ អនុវត្តការគ្រប់គ្រងប្រតិបត្តិយ៉ាងតឹងរ៉ឹង និងចាត់ទុកឯកសារភ្ជាប់ទម្រង់ជ្រើសរើសបុគ្គលិកថាមានហានិភ័យខ្ពស់រហូតដល់មានសុពលភាព។