មេរោគ VOID#GEIST

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការមេរោគពហុដំណាក់កាលដ៏ស្មុគស្មាញមួយ ដែលពឹងផ្អែកលើស្គ្រីបជាបាច់ ដើម្បីចែកចាយទិន្នន័យទិន្នន័យ Trojan ចូលប្រើពីចម្ងាយដែលបានអ៊ិនគ្រីប (RAT)។ យុទ្ធនាការនេះ ដែលត្រូវបានកំណត់ថាជា VOID#GEIST ដាក់ពង្រាយក្រុមគ្រួសារ RAT ជាច្រើន រួមទាំង XWorm, AsyncRAT និង Xeno RAT។

ខ្សែសង្វាក់វាយប្រហារប្រើប្រាស់ស្គ្រីបបាច់ដែលមិនច្បាស់លាស់ ដែលចាប់ផ្តើមលំដាប់នៃសកម្មភាពដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញ។ សកម្មភាពទាំងនេះរួមមានការបើកដំណើរការស្គ្រីបបាច់បន្ថែម ការរៀបចំបរិស្ថានដំណើរការ Python ដែលបានបង្កប់ស្របច្បាប់ និងការឌិគ្រីប payloads shellcode ដែលបានអ៊ិនគ្រីប។ shellcode ត្រូវបានប្រតិបត្តិដោយផ្ទាល់នៅក្នុងអង្គចងចាំបន្ទាប់ពីត្រូវបានចាក់ចូលទៅក្នុងឧទាហរណ៍ដាច់ដោយឡែកនៃដំណើរការ Windows explorer.exe ដោយប្រើបច្ចេកទេសដែលគេស្គាល់ថាជាការចាក់ Early Bird Asynchronous Procedure Call (APC)។

ការចែកចាយមេរោគដែលជំរុញដោយស្គ្រីប៖ គំរូគំរាមកំហែងទំនើប

ភ្នាក់ងារគំរាមកំហែងសម័យទំនើបកំពុងបោះបង់ចោលមេរោគដែលអាចប្រតិបត្តិបានបែបប្រពៃណីកាន់តែខ្លាំងឡើង ដោយងាកទៅរកក្របខ័ណ្ឌចែកចាយដែលមានមូលដ្ឋានលើស្គ្រីបជាស្រទាប់ៗ ដែលធ្វើត្រាប់តាមឥរិយាបថអ្នកប្រើប្រាស់ស្របច្បាប់។ ជំនួសឱ្យការដាក់ពង្រាយប្រព័ន្ធគោលពីរចល័តដែលអាចប្រតិបត្តិបាន (PE) ធម្មតា អ្នកវាយប្រហាររៀបចំបំពង់បង្ហូរពហុសមាសភាគ ដែលរួមបញ្ចូលគ្នានូវបច្ចេកវិទ្យាស្របច្បាប់ជាច្រើន និងបរិស្ថានស្គ្រីប។

សមាសធាតុធម្មតាដែលប្រើក្នុងក្របខ័ណ្ឌទាំងនេះរួមមាន៖

• ស្គ្រីបជាបាច់ដែលប្រើដើម្បីរៀបចំលំដាប់នៃការឆ្លងមេរោគ។
• ពាក្យបញ្ជា PowerShell ដែលជួយសម្រួលដល់ការរៀបចំ payload ដោយលួចលាក់។
• ពេលវេលាដំណើរការស្របច្បាប់ដែលបានបង្កប់ដែលធានានូវភាពងាយស្រួលក្នុងការចល័តនៅទូទាំងប្រព័ន្ធ។
• កូដសែលឆៅត្រូវបានប្រតិបត្តិដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ដើម្បីរក្សាភាពស្ថិតស្ថេរ និងការគ្រប់គ្រង។

វិធីសាស្រ្តប្រតិបត្តិដែលគ្មានឯកសារនេះកាត់បន្ថយឱកាសយ៉ាងច្រើនសម្រាប់ការរកឃើញដែលមានមូលដ្ឋានលើឌីស។ ដំណាក់កាលនីមួយៗហាក់ដូចជាគ្មានគ្រោះថ្នាក់អ្វីទេនៅពេលដែលពិនិត្យដោយឯករាជ្យ ហើយជារឿយៗស្រដៀងនឹងសកម្មភាពរដ្ឋបាលធម្មតា ដែលអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងដំណើរការក្នុងបរិយាកាសដែលរងការសម្របសម្រួលដោយមិនបង្កើនការជូនដំណឹងសុវត្ថិភាពភ្លាមៗ។

ការចូលប្រើដំបូងតាមរយៈការបន្លំតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធ Cloudflare

ចំណុចចូលនៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងស្គ្រីបបណ្តុំព្យាបាទដែលបានបញ្ជូនតាមរយៈអ៊ីមែលបន្លំ។ ស្គ្រីបនេះត្រូវបានទាញយកពីហេដ្ឋារចនាសម្ព័ន្ធដែលបង្ហោះនៅលើដែន TryCloudflare។ នៅពេលដែលត្រូវបានប្រតិបត្តិ ស្គ្រីបនឹងជៀសវាងការប៉ុនប៉ងបង្កើនសិទ្ធិដោយចេតនា ហើយផ្ទុយទៅវិញដំណើរការយ៉ាងតឹងរ៉ឹងនៅក្នុងព្រំដែននៃការអនុញ្ញាតរបស់អ្នកប្រើប្រាស់ដែលបានចូលបច្ចុប្បន្ន។

យុទ្ធសាស្ត្រនេះអនុញ្ញាតឱ្យមេរោគបង្កើតជំហរដំបូងរបស់វា ខណៈពេលដែលលាយបញ្ចូលគ្នាទៅក្នុងប្រតិបត្តិការកម្រិតអ្នកប្រើប្រាស់ធម្មតា។ តាមរយៈការជៀសវាងសកម្មភាពដែលតម្រូវឱ្យមានសិទ្ធិខ្ពស់ ការវាយប្រហារនេះកាត់បន្ថយលទ្ធភាពនៃការបង្កឱ្យមានការព្រមានសុវត្ថិភាព ឬការជំរុញរដ្ឋបាល។

ការរំខានដែលមើលឃើញ និងបច្ចេកទេសអនុវត្តការលួចលាក់

បន្ទាប់ពីការប្រតិបត្តិ ដំណាក់កាលដំបូងនៃមេរោគនឹងបើកដំណើរការឯកសារក្លែងក្លាយមួយដើម្បីរំខានជនរងគ្រោះ។ Google Chrome ត្រូវបានបើកក្នុងរបៀបពេញអេក្រង់ដើម្បីបង្ហាញឯកសារហិរញ្ញវត្ថុ ឬវិក្កយបត្រដែលបង្ហាញជា PDF។ ខណៈពេលដែលអ្នកប្រើប្រាស់ផ្តោតលើឯកសារ សកម្មភាពព្យាបាទនៅតែបន្តនៅផ្ទៃខាងក្រោយ។

ក្នុងពេលជាមួយគ្នានេះ ពាក្យបញ្ជា PowerShell ត្រូវបានប្រតិបត្តិដើម្បីបើកដំណើរការស្គ្រីបបាច់ដើមឡើងវិញជាមួយនឹងប៉ារ៉ាម៉ែត្រប្រតិបត្តិដែលលាក់។ ការប្រើប្រាស់ប៉ារ៉ាម៉ែត្រ -WindowStyle Hidden ការពារបង្អួចកុងសូលដែលអាចមើលឃើញពីការលេចឡើង ដែលធានាថាសកម្មភាពព្យាបាទនៅតែលាក់បាំងពីអ្នកប្រើប្រាស់។

ភាពស្ថិតស្ថេរតាមរយៈការប្រតិបត្តិចាប់ផ្តើមកម្រិតអ្នកប្រើប្រាស់

ដើម្បីរក្សាភាពស្ថិតស្ថេរបន្ទាប់ពីប្រព័ន្ធចាប់ផ្តើមឡើងវិញ មេរោគនេះដាក់ពង្រាយស្គ្រីបបាច់ជំនួយទៅក្នុងថតឯកសារចាប់ផ្តើមរបស់អ្នកប្រើប្រាស់ Windows។ ទីតាំងនេះធានាថាស្គ្រីបត្រូវបានប្រតិបត្តិដោយស្វ័យប្រវត្តិនៅពេលណាដែលជនរងគ្រោះចូលទៅក្នុងប្រព័ន្ធ។

យន្តការ​រក្សា​ទុក​នេះ​គឺ​មាន​ចេតនា​មិន​ច្បាស់លាស់។ ជំនួស​ឲ្យ​ការ​ប្រើ​បច្ចេកទេស​ជ្រៀតជ្រែក​ច្រើន​ជាង​នេះ​ដូចជា​ការ​កែប្រែ​សោ​ចុះបញ្ជី​ប្រព័ន្ធ ការ​បង្កើត​កិច្ចការ​ដែល​បាន​កំណត់​ពេល ឬ​ការ​ដំឡើង​សេវាកម្ម មេរោគ​នេះ​ពឹងផ្អែក​ទាំងស្រុង​លើ​ឥរិយាបថ​ចាប់ផ្តើម​កម្រិត​អ្នកប្រើប្រាស់​ស្តង់ដារ។ ដោយសារ​វិធីសាស្ត្រ​នេះ​ដំណើរការ​ទាំងស្រុង​ក្នុង​បរិបទ​នៃ​សិទ្ធិ​របស់​អ្នកប្រើប្រាស់​បច្ចុប្បន្ន វា​ជៀសវាង​ការ​ជំរុញ​ឲ្យ​មាន​ការ​បង្កើន​សិទ្ធិ និង​កាត់បន្ថយ​លទ្ធភាព​នៃ​ការ​រកឃើញ​ដោយ​ឧបករណ៍​ត្រួតពិនិត្យ​បញ្ជីឈ្មោះ។

ក្របខ័ណ្ឌទាញយក និងឌិគ្រីបបន្ទុកបន្ទុក

ក្នុងដំណាក់កាលបន្ទាប់នៃខ្សែសង្វាក់នៃការឆ្លងមេរោគ មេរោគនឹងទាក់ទងដែន TryCloudflare ដើម្បីទាញយកសមាសធាតុ payload បន្ថែមដែលខ្ចប់ក្នុងបណ្ណសារ ZIP។ បណ្ណសារទាំងនេះមានម៉ូឌុលដែលត្រូវការដើម្បីឌិគ្រីប និងប្រតិបត្តិ payload មេរោគចុងក្រោយ។

ប័ណ្ណសារដែលបានទាញយកជាធម្មតាមានសមាសធាតុដូចខាងក្រោម៖

• runn.py – កម្មវិធី​ផ្ទុក​ទិន្នន័យ​ដែល​មាន​មូលដ្ឋាន​លើ Python ដែល​ទទួល​ខុស​ត្រូវ​ក្នុង​ការ​ឌិគ្រីប និង​ចាក់​បញ្ចូល​ម៉ូឌុល​កូដ​សែល​ដែល​បាន​អ៊ិនគ្រីប​ទៅ​ក្នុង​អង្គ​ចងចាំ។
• new.bin – បន្ទុកទិន្នន័យសែលកូដដែលបានអ៊ិនគ្រីបដែលភ្ជាប់ជាមួយ XWorm
• xn.bin – បន្ទុកទិន្នន័យសែលកូដដែលបានអ៊ិនគ្រីបដែលត្រូវគ្នានឹង Xeno RAT
• pul.bin – បន្ទុកទិន្នន័យសែលកូដដែលបានអ៊ិនគ្រីបដែលត្រូវគ្នានឹង AsyncRAT
• a.json, n.json, និង p.json – ឯកសារសំខាន់ៗដែលប្រើដោយ Python loader ដើម្បីឌិគ្រីប payloads shellcode យ៉ាងស្វាហាប់ក្នុងអំឡុងពេលដំណើរការ។

ការរចនាម៉ូឌុលនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំ payload ផ្សេងៗគ្នាដោយឯករាជ្យ និងធ្វើឱ្យវាសកម្មតែនៅពេលដែលត្រូវការប៉ុណ្ណោះ។

កម្មវិធី Python Runtime ដែលបានបង្កប់សម្រាប់ភាពងាយស្រួលក្នុងការចល័ត និងលាក់ខ្លួន

នៅពេលដែលបណ្ណសារត្រូវបានស្រង់ចេញ មេរោគនឹងដាក់ពង្រាយ Python runtime ស្របច្បាប់ដែលទទួលបានដោយផ្ទាល់ពី python.org។ ការបង្កប់អ្នកបកប្រែស្របច្បាប់លុបបំបាត់ការពឹងផ្អែកលើការដំឡើង Python ណាមួយដែលអាចមានរួចហើយនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល។

ពីទស្សនៈរបស់អ្នកវាយប្រហារ ជំហាននេះផ្តល់នូវគុណសម្បត្តិជាយុទ្ធសាស្ត្រជាច្រើន។ មេរោគនេះក្លាយជាបរិយាកាសប្រតិបត្តិដែលមានដោយខ្លួនឯង ដែលមានសមត្ថភាពឌិគ្រីប និងចាក់បញ្ចូលបន្ទុកដោយមិនតម្រូវឱ្យមានការពឹងផ្អែកពីខាងក្រៅ។ នេះធ្វើអោយប្រសើរឡើងនូវភាពងាយស្រួលក្នុងការចល័តឆ្លងកាត់ប្រព័ន្ធផ្សេងៗគ្នា បង្កើនភាពជឿជាក់ និងរួមចំណែកដល់ការលួចលាក់ប្រតិបត្តិការដោយប្រើប្រាស់សមាសធាតុកម្មវិធីស្របច្បាប់។

ការប្រតិបត្តិក្នុងអង្គចងចាំនៃបន្ទុក RAT ច្រើន

បន្ទាប់មក runtime Python ដែលបានបង្កប់ត្រូវបានប្រើដើម្បីប្រតិបត្តិស្គ្រីប runn.py loader។ loader ឌិគ្រីបលេខកូដសែលដែលភ្ជាប់ជាមួយ XWorm ហើយចាក់វាចូលទៅក្នុង instance ដែលកំពុងដំណើរការរបស់ explorer.exe ដោយប្រើការចាក់ Early Bird APC។

ដើម្បីដាក់ពង្រាយ Xeno RAT មេរោគនេះប្រើប្រាស់ប្រព័ន្ធគោលពីរស្របច្បាប់របស់ Microsoft មួយឈ្មោះថា AppInstallerPythonRedirector.exe ដែលត្រូវបានប្រើដើម្បីហៅ Python និងប្រតិបត្តិសមាសធាតុដែលត្រូវការ។ បច្ចេកទេសចាក់ដូចគ្នាត្រូវបានប្រើឡើងវិញដើម្បីដាក់ពង្រាយ AsyncRAT ដោយធានាថា payloads ទាំងអស់ត្រូវបានប្រតិបត្តិទាំងស្រុងនៅក្នុងអង្គចងចាំដោយមិនបន្សល់ទុកវត្ថុបុរាណដែលអាចប្រតិបត្តិបាននៅលើថាស។

សញ្ញាបញ្ជា និងត្រួតពិនិត្យ និងស្ថាបត្យកម្មម៉ូឌុល

ដំណាក់កាលចុងក្រោយនៃការវាយប្រហារពាក់ព័ន្ធនឹងការផ្ញើ HTTP beacon តិចតួចបំផុតទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលបង្ហោះនៅលើ TryCloudflare។ beacon នេះបញ្ជាក់ថាប្រព័ន្ធត្រូវបានវាយប្រហារដោយជោគជ័យ ហើយត្រៀមខ្លួនរួចជាស្រេចដើម្បីទទួលបានការណែនាំបន្ថែម។

ទោះបីជាគោលដៅជាក់លាក់នៃយុទ្ធនាការនេះនៅតែមិនទាន់ដឹងក៏ដោយ ខ្សែសង្វាក់នៃការឆ្លងមេរោគបង្ហាញពីស្ថាបត្យកម្មម៉ូឌុលខ្ពស់។ ជំនួសឱ្យការដាក់ពង្រាយបន្ទុកមេរោគធំតែមួយ អ្នកវាយប្រហារណែនាំសមាសធាតុបន្តិចម្តងៗឆ្លងកាត់ដំណាក់កាលជាច្រើន។ ការរចនានេះធ្វើអោយប្រសើរឡើងនូវភាពបត់បែន និងភាពធន់នៃប្រតិបត្តិការ។

ពីទស្សនៈនៃការរកឃើញ សូចនាករអាកប្បកិរិយាគួរឱ្យកត់សម្គាល់មួយលេចឡើងពេញមួយយុទ្ធនាការ៖ ការចាក់ដំណើរការម្តងហើយម្តងទៀតទៅក្នុង explorer.exe ក្នុងរយៈពេលខ្លី។ គំរូនេះអាចបម្រើជាសញ្ញាដ៏រឹងមាំសម្រាប់អ្នកការពារដែលព្យាយាមភ្ជាប់សកម្មភាពគួរឱ្យសង្ស័យនៅទូទាំងដំណាក់កាលផ្សេងៗគ្នានៃវដ្តជីវិតនៃការវាយប្រហារ។