WARMCOOKIE Backdoor
មេរោគ backdoor ដូចជា WARMCOOK គឺជាកម្មវិធីគំរាមកំហែងដែលបង្កើតឡើងដើម្បីទាញយកភាពងាយរងគ្រោះរបស់កុំព្យូទ័រ ដែលអនុញ្ញាតឱ្យចូលប្រើ និងគ្រប់គ្រងដោយគ្មានការអនុញ្ញាត។ កម្មវិធីទាំងនេះមានគោលបំណងបង្កើតចំណុចចូលដែលលាក់ ដែលអាចឱ្យអ្នកវាយប្រហារអនុវត្តសកម្មភាពបង្កគ្រោះថ្នាក់ផ្សេងៗ រួមទាំងការដំឡើងមេរោគបន្ថែម។ ជាការពិតណាស់ គោលបំណងចម្បងរបស់ WAMCOOKIE គឺជួយសម្រួលដល់ការឆ្លងបន្ថែមទៀតដោយការទាញយក និងដំឡើងការគំរាមកំហែងមេរោគក្នុងដំណាក់កាលបន្ទាប់ទៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
វ៉ារ្យ៉ង់មេរោគនេះ ត្រូវបានគេស្គាល់ថាជា WARMCOOKIE ត្រូវបានកំណត់អត្តសញ្ញាណនៅដើមនិទាឃរដូវឆ្នាំ 2024 ដោយមានសក្តានុពលសូម្បីតែកំណែមុននៅក្នុងចរាចរ។ អ្នកស្រាវជ្រាវព្រមានថា WARMCOOKIE ត្រូវបានចែកចាយយ៉ាងសកម្មតាមរយៈយុទ្ធនាការសារឥតបានការតាមអ៊ីមែលគោលដៅ ដែលអ្នកប្រើប្រាស់ដែលមិនសង្ស័យត្រូវបានបញ្ឆោតឱ្យបើកឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ ឬចុចលើតំណភ្ជាប់ក្លែងបន្លំ។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបោកបញ្ឆោតជនរងគ្រោះដោយប្រើអ៊ីមែលបន្លំ
WARMCOOKIE ត្រូវបានចែកចាយតាមរយៈយុទ្ធនាការអ៊ីមែលឥតបានការដែលបានប្រើស្បែកដែលទាក់ទងនឹងការងារដើម្បីទាក់ទាញអ្នកទទួល។ អ៊ីមែលទាំងនេះក្លែងបន្លំជាក្រុមហ៊ុនជ្រើសរើសបុគ្គលិកស្របច្បាប់ ដោយប្រាប់ជនរងគ្រោះតាមឈ្មោះពិតរបស់ពួកគេ និងផ្តល់ព័ត៌មានលម្អិតដូចជាមុខតំណែងការងារបច្ចុប្បន្នរបស់ពួកគេ ដែលធ្វើឱ្យពួកគេមើលទៅពិតប្រាកដ។
អ្នកទទួលត្រូវបានទាក់ទាញឱ្យចុចលើតំណនៅក្នុងអ៊ីមែល ដោយជឿថាវានឹងនាំពួកគេទៅកាន់ប្រព័ន្ធខាងក្នុងដើម្បីពិនិត្យមើលការផ្តល់ជូនការងារ។ ទោះជាយ៉ាងណាក៏ដោយ តំណភ្ជាប់នេះបានបញ្ជូនបន្តពួកគេតាមរយៈគេហទំព័រដែលសម្របសម្រួលជាបន្តបន្ទាប់ ដែលជារឿយៗបង្ហោះនៅលើដែនដែលអាចទុកចិត្តបាន ទីបំផុតនាំទៅដល់គេហទំព័រដែលទាក់ទងនឹងការក្លែងបន្លំ។
នៅលើទំព័រចុះចត ដែលហាក់ដូចជាជាផ្នែកមួយនៃដំណើរការជ្រើសរើស ជនរងគ្រោះត្រូវបានបង្ហាញជាមួយនឹងព័ត៌មានផ្ទាល់ខ្លួន ដើម្បីបង្កើនភាពជឿជាក់។ ពួកគេត្រូវបានជំរុញឱ្យទាញយកឯកសារដែលរៀបរាប់លម្អិតអំពីការផ្តល់ជូនការងារ ដោយតម្រូវឱ្យមានការធ្វើតេស្ត CAPTCHA មុនពេលបន្ត។
នៅពេលដែល CAPTCHA ត្រូវបានបញ្ចប់ ជនរងគ្រោះបានទាញយកឯកសារ JavaScript ដែលមិនយល់ស្របដោយមិនដឹងខ្លួន។ ឯកសារនេះបានដំណើរការស្គ្រីប PowerShell ដែលត្រូវបានរចនាឡើងដើម្បីឆ្លងប្រព័ន្ធជាមួយ Warmcookie បង្កើតការចូលប្រើ backdoor និងចាប់ផ្តើមសកម្មភាពព្យាបាទបន្ថែមទៀត។
WARMCOOKIE Backdoor អាចបង្ហាញជនរងគ្រោះទៅនឹងការគំរាមកំហែងមេរោគបន្ថែមទៀត
WARMCOOKIE ទោះបីជាសមត្ថភាពមានកម្រិតរបស់វាក៏ដោយ វាមានតួនាទីសំខាន់ជាមេរោគ backdoor ដោយផ្តល់នូវចំណុចចូលដំបូងទៅក្នុងបណ្តាញគោលដៅ។ ដូចផ្នែកខាងក្រោយជាច្រើនដែរ WARMCOOKIE ត្រូវបានរចនាឡើងជាមួយនឹងមុខងារប្រឆាំងនឹងការវិភាគ ដើម្បីគេចពីការរកឃើញ ដូចជាយន្តការប្រឆាំងនឹងការកែកំហុស និងសមត្ថភាពក្នុងការរកឃើញបរិស្ថានប្រអប់ខ្សាច់។ ជាងនេះទៅទៀត វាធានានូវភាពស្ថិតស្ថេរដោយកំណត់ពេលខ្លួនវាឱ្យដំណើរការរាល់ដប់នាទី ដែលអនុញ្ញាតឱ្យវារក្សាការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
នៅពេលដែលជ្រៀតចូលដោយជោគជ័យ WARMCOOKIE ចាប់ផ្តើមប្រតិបត្តិការរបស់ខ្លួនជាពីរដំណាក់កាល។ ដំបូង វាប្រមូលព័ត៌មានសំខាន់ៗពីម៉ាស៊ីនដែលមានមេរោគ រួមមានលេខសៀរៀលកម្រិតសំឡេង ដែន DNS ឈ្មោះឧបករណ៍ និងឈ្មោះអ្នកប្រើប្រាស់។ បន្ទាប់មកទិន្នន័យនេះត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ Command-and-Control (C&C) របស់អ្នកវាយប្រហារ ដែលត្រូវបាន hardcoded ចូលទៅក្នុង malware។
នៅក្នុងដំណាក់កាលទីពីររបស់វា WARMCOOKIE បន្តប្រមូលព័ត៌មាន ដោយផ្តោតលើការស្រង់ចេញព័ត៌មានលម្អិត CPU អាសយដ្ឋាន IP របស់ជនរងគ្រោះ និងបញ្ជីទូលំទូលាយនៃកម្មវិធីដែលបានដំឡើង រួមទាំងឈ្មោះ កំណែ និងកាលបរិច្ឆេទដំឡើង។
WARMCOOKIE មានសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាផ្សេងៗនៅលើប្រព័ន្ធដែលមានមេរោគ ដូចជាការអានឯកសារ ការចាប់យករូបថតអេក្រង់ និងការទាញយកឯកសារបន្ថែមទៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ មុខងារចម្បងរបស់វាស្ថិតនៅក្នុងការទាញយក និងដំឡើងមេរោគបន្ថែម ដោយហេតុនេះអាចបន្តការឆ្លងបន្ថែមទៀត។
ខណៈពេលដែលតាមទ្រឹស្ដី backdoors មានសក្តានុពលដើម្បីណែនាំប្រភេទមេរោគណាមួយទៅក្នុងប្រព័ន្ធ ពួកវាជាធម្មតាដំណើរការក្នុងដែនកំណត់ជាក់លាក់។ ក្នុងករណី WARMCOOKIE នេះអាចនាំទៅដល់ការដំឡើងមេរោគ Trojan ឬកម្មវិធីព្យាបាទស្រដៀងគ្នា ពង្រីកវិសាលភាពនៃការឆ្លងមេរោគ និងបង្កការគំរាមកំហែងកាន់តែខ្លាំងចំពោះប្រព័ន្ធដែលរងផលប៉ះពាល់។
