មេរោគ WailingCrab
អ្នកស្រាវជ្រាវ Infosec កំពុងព្រមានថាអ៊ីមែលដែលមានប្រធានបទចែកចាយ និងការដឹកជញ្ជូនកំពុងត្រូវបានប្រើប្រាស់ជាមធ្យោបាយមួយដើម្បីចែកចាយកម្មវិធីផ្ទុកមេរោគដ៏ទំនើបមួយដែលមានឈ្មោះថា WailingCrab ។ មេរោគនេះមានធាតុផ្សំជាច្រើន រួមទាំងកម្មវិធីផ្ទុក ឧបករណ៍ចាក់ថ្នាំ កម្មវិធីទាញយក និង backdoor ។ ការប្រាស្រ័យទាក់ទងដោយជោគជ័យជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ជាញឹកញាប់ត្រូវបានទាមទារដើម្បីទាញយកដំណាក់កាលជាបន្តបន្ទាប់នៃមេរោគ។
Threat Actors កំពុងបង្កើតមេរោគ WailingCrab យ៉ាងសកម្ម
អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណដំបូង WailingCrab នៅក្នុងខែសីហា ឆ្នាំ 2023 បន្ទាប់ពីបានបង្ហាញពីការចូលរួមរបស់ខ្លួននៅក្នុងយុទ្ធនាការវាយប្រហារប្រឆាំងនឹងអង្គការអ៊ីតាលី។ មេរោគនេះបានបម្រើការជាឧបករណ៍សម្រាប់ដាក់ពង្រាយ Ursnif Trojan (ត្រូវបានគេស្គាល់ផងដែរថាជា Gozi) ។ មេក្លោងនៅពីក្រោយ WailingCrab គឺជាតួអង្គគំរាមកំហែង TA544 ដែលត្រូវបានទទួលស្គាល់ថាជា Bamboo Spider និង Zeus Panda ផងដែរ។
បន្តរក្សាដោយប្រតិបត្តិកររបស់ខ្លួន មេរោគបង្ហាញលក្ខណៈពិសេសដែលបានរចនាឡើងសម្រាប់ការបំបាំងកាយ ដែលអនុញ្ញាតឱ្យវារារាំងកិច្ចខិតខំប្រឹងប្រែងវិភាគបានប្រសើរជាងមុន។ ដើម្បីបង្កើនលក្ខណៈសម្ងាត់របស់វា មេរោគចាប់ផ្តើមទំនាក់ទំនង C2 តាមរយៈគេហទំព័រស្របច្បាប់ ប៉ុន្តែមានការសម្របសម្រួល។
លើសពីនេះ សមាសធាតុនៃមេរោគត្រូវបានរក្សាទុកនៅលើវេទិកាដែលប្រើយ៉ាងទូលំទូលាយដូចជា Discord ជាដើម។ គួរកត់សម្គាល់ថាការកែប្រែដ៏សំខាន់ចំពោះឥរិយាបថរបស់មេរោគចាប់តាំងពីពាក់កណ្តាលឆ្នាំ 2023 ពាក់ព័ន្ធនឹងការទទួលយក MQTT ដែលជាពិធីសារផ្ញើសារទម្ងន់ស្រាលដែលមានបំណងសម្រាប់ឧបករណ៍ចាប់សញ្ញាតូច និងឧបករណ៍ចល័តសម្រាប់ការទំនាក់ទំនង C2 ។ ពិធីការនេះគឺកម្រមាននៅក្នុងទិដ្ឋភាពនៃការគំរាមកំហែង ដោយមានតែករណីមួយចំនួននៃការប្រើប្រាស់របស់វា ដូចដែលបានសង្កេតឃើញពីមុននៅក្នុងករណីដូចជា Tizi និង MQsTTang ជាដើម។
ខ្សែសង្វាក់វាយប្រហារសម្រាប់ការចែកចាយមេរោគ WailingCrab
លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយអ៊ីមែលដែលមានឯកសារភ្ជាប់ PDF ដែលផ្ទុក URLs ។ ការចុច URLs ទាំងនេះបង្កឱ្យមានការទាញយកឯកសារ JavaScript ដែលត្រូវបានរចនាឡើងដើម្បីទាញយក និងប្រតិបត្តិកម្មវិធី WailingCrab ដែលបង្ហោះនៅលើ Discord ។
តួនាទីរបស់អ្នកផ្ទុកគឺដើម្បីផ្តួចផ្តើមដំណាក់កាលបន្តបន្ទាប់ ដោយបើកដំណើរការ shellcode ដែលបម្រើជាម៉ូឌុល injector ។ នេះជាការជំរុញឱ្យមានការប្រតិបត្តិកម្មវិធីទាញយកដែលទទួលខុសត្រូវសម្រាប់ការដាក់ពង្រាយ backdoor ចុងក្រោយ។ នៅក្នុងការនិយាយឡើងវិញមុន សមាសភាគនេះនឹងទាញយកដោយផ្ទាល់នូវ backdoor ដែលបង្ហោះជាឯកសារភ្ជាប់នៅលើ Discord CDN ។
កំណែចុងក្រោយបំផុតរបស់ WailingCrab អ៊ិនគ្រីបសមាសធាតុ backdoor ជាមួយ AES ។ ជំនួសឱ្យការទាញយក backdoor វាទៅដល់ម៉ាស៊ីនមេ C2 របស់វាដើម្បីទទួលបានសោឌិគ្រីបសម្រាប់ការឌិគ្រីប backdoor ។ Backdoor ដែលដើរតួជាស្នូលរបស់មេរោគ បង្កើតការជាប់លាប់នៅលើម៉ាស៊ីនដែលឆ្លងមេរោគ និងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 តាមរយៈពិធីការ MQTT ដើម្បីទទួលបានបន្ទុកបន្ថែម។
លើសពីនេះទៅទៀត វ៉ារ្យ៉ង់ចុងក្រោយបង្អស់នៃ backdoor បោះបង់ចោលផ្លូវទាញយកដែលមានមូលដ្ឋានលើ Discord ក្នុងការពេញចិត្តនៃ payload-based shellcode ដោយផ្ទាល់ពី C2 តាមរយៈ MQTT ។ ការផ្លាស់ប្តូរនេះទៅប្រើប្រាស់ពិធីការ MQTT ដោយ WailingCrab បង្ហាញពីការផ្តោតអារម្មណ៍ដោយចេតនាលើការលើកកម្ពស់ការបំបាំងកាយ និងការគេចពីការរកឃើញ។ កំណែថ្មីនៃ WailingCrab ក៏លុបបំបាត់ការពឹងផ្អែកទៅលើ Discord សម្រាប់ការទាញយក payload ដោយបង្កើនសមត្ថភាពបំបាំងកាយរបស់វាបន្ថែមទៀត។
