យុទ្ធនាការបន្លំតាមប្រព័ន្ធអេឡិចត្រូនិក VENOMOUS#HELPER
យុទ្ធនាការបន្លំបែបទំនើបមួយ ដែលត្រូវបានកំណត់អត្តសញ្ញាណថាជា VENOMOUS#HELPER បានធ្វើសកម្មភាពចាប់តាំងពីយ៉ាងហោចណាស់ខែមេសា ឆ្នាំ២០២៥ ដោយកំណត់គោលដៅវ៉ិចទ័រវាយប្រហារច្រើនតាមរយៈការរំលោភបំពានឧបករណ៍ត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយ (RMM) ស្របច្បាប់។ អង្គការជាង ៨០ ដែលភាគច្រើននៅសហរដ្ឋអាមេរិក បានរងផលប៉ះពាល់។ សកម្មភាពនេះត្រួតស៊ីគ្នាជាមួយចង្កោមដែលបានចងក្រងជាឯកសារពីមុន ដែលគេស្គាល់ថាជា STAC6405។ ទោះបីជាការកំណត់អត្តសញ្ញាណនៅតែមិនប្រាកដប្រជាក៏ដោយ គំរូប្រតិបត្តិការស្របគ្នាយ៉ាងខ្លាំងជាមួយក្រុម Initial Access Brokers (IABs) ឬក្រុមមុន ransomware ដែលជំរុញដោយហិរញ្ញវត្ថុ ដែលកំពុងស្វែងរកការបង្កើតមូលដ្ឋានសម្រាប់ការកេងប្រវ័ញ្ចនៅពេលក្រោយ។
តារាងមាតិកា
ការរស់នៅដោយពឹងផ្អែកលើឧបករណ៍ដែលគួរឱ្យទុកចិត្ត៖ ការរំលោភបំពានកម្មវិធី RMM ស្របច្បាប់
ជំនួសឲ្យការដាក់ពង្រាយកម្មវិធីព្យាបាទដោយចំហ អ្នកវាយប្រហារពឹងផ្អែកលើកំណែដែលបានប្ដូរតាមបំណងរបស់ឧបករណ៍ស្របច្បាប់ដូចជា SimpleHelp និង ConnectWise ScreenConnect។ ដោយសារតែកម្មវិធីទាំងនេះត្រូវបានប្រើប្រាស់ជាទូទៅក្នុងបរិយាកាសសហគ្រាស វត្តមានរបស់វាច្រើនតែរំលងការគ្រប់គ្រងសុវត្ថិភាពបែបប្រពៃណី និងជៀសវាងការបង្កើនការសង្ស័យ។
ការដាក់ពង្រាយឧបករណ៍ទាំងពីរក្នុងពេលដំណាលគ្នាគឺជាយុទ្ធសាស្ត្រដែលចេតនា។ តាមរយៈការបង្កើតឆានែលចូលប្រើពីចម្ងាយពីរ អ្នកវាយប្រហារធានានូវភាពធន់នៃប្រតិបត្តិការ។ ប្រសិនបើការតភ្ជាប់មួយត្រូវបានរកឃើញ និងបន្សាប ឆានែលទីពីរនៅតែសកម្ម ដែលអនុញ្ញាតឱ្យបន្តចូលប្រើដោយគ្មានការអនុញ្ញាតដោយគ្មានការរំខាន។
ចំណុចចូលនៃការបន្លំតាមប្រព័ន្ធអេឡិចត្រូនិក៖ វិស្វកម្មសង្គមជាមួយនឹងការក្លែងបន្លំដែលអាចទុកចិត្តបាន
ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំបន្លំដែលបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្នដោយក្លែងបន្លំជារដ្ឋបាលសន្តិសុខសង្គមសហរដ្ឋអាមេរិក (SSA)។ សារនេះជំរុញឱ្យអ្នកទទួលផ្ទៀងផ្ទាត់អាសយដ្ឋានអ៊ីមែលរបស់ពួកគេ និងទាញយកសេចក្តីថ្លែងការណ៍ SSA ដែលត្រូវបានចោទប្រកាន់តាមរយៈតំណភ្ជាប់ដែលបានបង្កប់។
ជាពិសេស តំណភ្ជាប់នេះនាំជនរងគ្រោះទៅកាន់គេហទំព័រអាជីវកម្មម៉ិកស៊ិកស្របច្បាប់មួយ ប៉ុន្តែត្រូវបានគំរាមកំហែង ដោយបង្ហាញពីការខិតខំប្រឹងប្រែងដោយចេតនាដើម្បីគេចពីតម្រងសារឥតបានការ និងការការពារដោយផ្អែកលើកេរ្តិ៍ឈ្មោះ។ ពីទីនោះ ជនរងគ្រោះត្រូវបានបញ្ជូនបន្តទៅកាន់ដែនទីពីរដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលជាកន្លែងផ្ទុកទិន្នន័យព្យាបាទដែលក្លែងបន្លំជាឯកសារស្របច្បាប់។
ការដឹកជញ្ជូនបន្ទុក និងការតស៊ូ៖ ការចូលប្រើប្រាស់វិស្វកម្មរយៈពេលវែង
នៅពេលដែលទាញយករួច បន្ទុកផ្ទុកទិន្នន័យ ដែលវេចខ្ចប់ជាឯកសារដែលអាចប្រតិបត្តិបានរបស់ Windows នឹងចាប់ផ្តើមការដំឡើងឧបករណ៍ SimpleHelp RMM។ អ្នកវាយប្រហារត្រូវបានគេជឿថាបានលួចចូលគណនី cPanel នៅលើម៉ាស៊ីនមេបង្ហោះដើម្បីរៀបចំឯកសារព្យាបាទ។
បន្ទាប់ពីការប្រតិបត្តិ មេរោគបង្កើតភាពស្ថិតស្ថេរ និងភាពធន់តាមរយៈយន្តការជាច្រើន៖
- ការដំឡើងជាសេវាកម្ម Windows ជាមួយនឹងសមត្ថភាពរក្សា Safe Mode
- ការដាក់ពង្រាយឧបករណ៍ឃ្លាំមើលដោយខ្លួនឯងដែលចាប់ផ្តើមសេវាកម្មឡើងវិញដោយស្វ័យប្រវត្តិប្រសិនបើត្រូវបានបញ្ឈប់។
- ការរាប់បញ្ចូលជាប្រចាំនៃផលិតផលសុវត្ថិភាពដែលបានដំឡើងតាមរយៈលំហឈ្មោះ WMI root\SecurityCenter2 រៀងរាល់ 67 វិនាទីម្តង
- ការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃសកម្មភាពអ្នកប្រើប្រាស់នៅចន្លោះពេល 23 វិនាទី
បច្ចេកទេសទាំងនេះធានាថាវត្តមានព្យាបាទនៅតែសកម្ម សម្របខ្លួនបាន និងពិបាកលុបបំបាត់។
ការដំឡើងឋានៈសិទ្ធិ និងការគ្រប់គ្រងប្រព័ន្ធពេញលេញ
ដើម្បីសម្រេចបានការគ្រប់គ្រងអន្តរកម្មពេញលេញលើប្រព័ន្ធដែលរងការសម្របសម្រួល កម្មវិធី SimpleHelp បង្កើនសិទ្ធិដោយទទួលបាន SeDebugPrivilege តាមរយៈ AdjustTokenPrivileges។ លើសពីនេះ សមាសធាតុស្របច្បាប់នៃកម្មវិធី 'elev_win.exe' ត្រូវបានប្រើប្រាស់ដើម្បីទទួលបានការចូលប្រើកម្រិតប្រព័ន្ធ។
កម្រិតសិទ្ធិខ្ពស់នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារ៖
- តាមដាន និងចាប់យកសកម្មភាពអេក្រង់
- បញ្ចូលការចុចគ្រាប់ចុចក្នុងពេលវេលាជាក់ស្តែង
- ចូលប្រើប្រាស់ធនធានរសើបនៅក្នុងបរិបទរបស់អ្នកប្រើប្រាស់
សមត្ថភាពបែបនេះផ្តល់ការគ្រប់គ្រងពេញលេញលើបរិស្ថានរបស់ជនរងគ្រោះដោយមិនចាំបាច់បង្កឱ្យមានការជូនដំណឹងសុវត្ថិភាពធម្មតា។
យុទ្ធសាស្ត្រចូលប្រើលើសចំណុះ៖ ScreenConnect ជាឆានែលបម្រុង
បន្ទាប់ពីការបង្កើតឆានែលចូលប្រើចម្បង អ្នកវាយប្រហារដាក់ពង្រាយ ConnectWise ScreenConnect ជាយន្តការចូលប្រើពីចម្ងាយបន្ទាប់បន្សំ។ នេះធានានូវភាពស្ថិតស្ថេរ ទោះបីជាការតភ្ជាប់ SimpleHelp ដំបូងត្រូវបានកំណត់អត្តសញ្ញាណ និងរារាំងក៏ដោយ។
ការប្រើប្រាស់ឧបករណ៍ស្របច្បាប់ច្រើនបានបង្ហាញពីយុទ្ធសាស្ត្រចូលប្រើជាស្រទាប់ៗដែលត្រូវបានរចនាឡើងសម្រាប់ភាពធន់ និងការលួចលាក់ ដែលធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងក្នុងការរកឃើញ និងឆ្លើយតបនឹងឧប្បត្តិហេតុ។
ផលប៉ះពាល់ប្រតិបត្តិការ៖ ការគ្រប់គ្រងដោយស្ងៀមស្ងាត់ក្រោមរ៉ាដា
កំណែ SimpleHelp (5.0.1) ដែលបានដាក់ពង្រាយផ្តល់នូវសំណុំមុខងារគ្រប់គ្រងពីចម្ងាយដ៏រឹងមាំ។ នៅពេលដែលបានបង្កប់នៅក្នុងបរិស្ថាន អ្នកវាយប្រហារទទួលបានសមត្ថភាពក្នុងការធ្វើប្រតិបត្តិការដោយសេរី និងសម្ងាត់។ អង្គការដែលរងការសម្របសម្រួលត្រូវបានទុកឱ្យប្រឈមនឹងការកេងប្រវ័ញ្ចជាបន្តបន្ទាប់ ព្រោះអ្នកវាយប្រហារអាចចូលទៅក្នុងប្រព័ន្ធឡើងវិញតាមចិត្ត។
បរិស្ថាននេះក្លាយជាទ្រព្យសម្បត្តិដែលត្រូវបានគ្រប់គ្រងយ៉ាងមានប្រសិទ្ធភាព ដែលសត្រូវអាចប្រតិបត្តិពាក្យបញ្ជាដោយស្ងៀមស្ងាត់ ផ្ទេរឯកសារទាំងសងខាង និងផ្លាស់ទីទៅចំហៀងឆ្លងកាត់បណ្តាញ។ ដោយសារតែសកម្មភាពទាំងអស់ហាក់ដូចជាមានប្រភពមកពីកម្មវិធីដែលមានហត្ថលេខាស្របច្បាប់ដែលផលិតដោយអ្នកលក់ល្បីឈ្មោះនៅចក្រភពអង់គ្លេស កំចាត់មេរោគបែបប្រពៃណី និងការការពារដែលមានមូលដ្ឋានលើហត្ថលេខាជារឿយៗមិនអាចរកឃើញការឈ្លានពាននោះទេ។
សេចក្តីសន្និដ្ឋាន៖ គំរូសម្រាប់ការឈ្លានពានសម័យទំនើប
VENOMOUS#HELPER គឺជាឧទាហរណ៍នៃនិន្នាការកើនឡើងនៃការប្រើប្រាស់ឧបករណ៍រដ្ឋបាលស្របច្បាប់សម្រាប់គោលបំណងព្យាបាទ។ ដោយការរួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គម ការរំលោភបំពានកម្មវិធីដែលទុកចិត្ត និងយន្តការចូលប្រើដែលលែងត្រូវការ យុទ្ធនាការនេះសម្រេចបាននូវការតស៊ូ ការលួចលាក់ និងភាពបត់បែននៃប្រតិបត្តិការ។ វិធីសាស្រ្តនេះគូសបញ្ជាក់ពីតម្រូវការបន្ទាន់សម្រាប់ការត្រួតពិនិត្យអាកប្បកិរិយា គោលការណ៍សូន្យទំនុកចិត្ត និងការត្រួតពិនិត្យកាន់តែប្រសើរឡើងនៃការប្រើប្រាស់ឧបករណ៍ស្របច្បាប់នៅក្នុងបរិយាកាសសហគ្រាស។
