White Rabbit Ransomware

ត្រលប់ទៅខែធ្នូមុនដំណាច់ឆ្នាំ 2021 គ្រួសារ ransomware ថ្មីមួយបានលេចឡើងនៅលើទិដ្ឋភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតក្នុងការវាយប្រហារប្រឆាំងនឹងធនាគារអាមេរិក។ រកឃើញដោយក្រុមអ្នកស្រាវជ្រាវនៅ Trend Micro និងត្រូវបានចាត់ថ្នាក់ជា White Rabbit ransomware ការគំរាមកំហែងបង្ហាញលក្ខណៈពេញលេញនៃមេរោគទំនើបនៃប្រភេទនេះ។ ខណៈពេលដែលទម្លាប់នៃការអ៊ិនគ្រីបរបស់ White Rabbit គឺមិនស្មុគ្រស្មាញទេ វាបង្ហាញពីការផ្តោតអារម្មណ៍កាន់តែខ្លាំងទៅលើការបិទបាំងសកម្មភាពដែលរំខានរបស់វា។ វាគួរតែត្រូវបានកត់សម្គាល់ថាព័ត៌មានលម្អិតជាក់លាក់បង្ហាញពីទំនាក់ទំនងរវាង White Rabbit និងក្រុម APT ដែលត្រូវបានគេស្គាល់ថា FIN8 ។

ព័ត៌មានលម្អិតអំពីទន្សាយស

បន្ទាប់ពីការវិភាគការវាយប្រហារ អ្នកជំនាញ infosec បានកត់សម្គាល់សញ្ញាដែលថា White Rabbit ត្រូវបានដាក់ពង្រាយទៅកាន់ប្រព័ន្ធគោលដៅតាមរយៈការប្រើប្រាស់ Cobalt Strike ដែលជាឧបករណ៍ធ្វើតេស្តការជ្រៀតចូលស្របច្បាប់ដែលរកឃើញថាខ្លួនវាជាផ្នែកមួយនៃការវាយប្រហារព្យាបាទជាញឹកញាប់ដោយសារតែលក្ខណៈពិសេសដ៏ទូលំទូលាយរបស់វា។ White Rabbit payload binary ពិតប្រាកដគឺជាឯកសារតូចមួយប្រហែល 100KB ដែលមិនបង្ហាញខ្សែអក្សរ ឬសកម្មភាពដែលគួរអោយកត់សំគាល់ណាមួយឡើយ។

ដើម្បីដោះសោសមត្ថភាពបំផ្លិចបំផ្លាញរបស់វា White Rabbit ទាមទារពាក្យសម្ងាត់បន្ទាត់ពាក្យបញ្ជាជាក់លាក់។ ក្រោយមក ការគំរាមកំហែងអាចឌិគ្រីបការកំណត់រចនាសម្ព័ន្ធខាងក្នុងរបស់វា ហើយចាប់ផ្តើមអនុវត្តទម្លាប់នៃការអ៊ិនគ្រីបរបស់វា។ នេះមិនមែនជាលើកទីមួយទេ ដែលបច្ចេកទេសពិសេសនេះត្រូវបានប្រើដោយការគំរាមកំហែង ransomware ពីមុន គ្រួសារ Egregor ransomware បានប្រើប្រាស់វាដើម្បីលាក់សកម្មភាពព្យាបាទរបស់វា។

ដំណើរការអ៊ិនគ្រីប និងតម្រូវការ

White Rabbit កំណត់គោលដៅជាច្រើននៃប្រភេទឯកសារ និងបង្កើតឯកសារអត្ថបទដែលមានសារកំណត់ចំណាំតម្លៃលោះដូចគ្នាសម្រាប់ឯកសារដែលបានចាក់សោនីមួយៗ។ ឈ្មោះឯកសារអត្ថបទគឺជាការរួមបញ្ចូលគ្នានៃឈ្មោះនៃឯកសារដែលពាក់ព័ន្ធដែលភ្ជាប់មកជាមួយ '.scrypt.txt ។' ដើម្បីធានាថាដំណើរការអ៊ិនគ្រីបរបស់វាមិនត្រូវបានរារាំង ការគំរាមកំហែងមានសមត្ថភាពក្នុងការបញ្ចប់ដំណើរការ និងសេវាកម្មជាក់លាក់ ដូចជាផលិតផលដែលជាកម្មសិទ្ធិរបស់ផលិតផលប្រឆាំងមេរោគជាដើម។ White Rabbit ក៏ព្យាយាមជៀសវាងការធ្វើឱ្យប្រព័ន្ធគាំង ឬកំហុសធ្ងន់ធ្ងរដោយរំលងឯកសារនៅក្នុងផ្លូវ និងថតសំខាន់ៗ។ ឧទាហរណ៍មួយចំនួនរួមមាន \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ និងច្រើនទៀត។

កំណត់ចំណាំតម្លៃលោះបង្ហាញថា White Rabbit កំពុងដំណើរការគម្រោងជំរិតពីរដង។ មុនពេលឯកសារត្រូវបានចាក់សោ ពួក Hacker អះអាងថាបានលួចទិន្នន័យឯកជនសំខាន់ៗដោយជោគជ័យ។ ជនរងគ្រោះត្រូវបានផ្តល់ពេល 4 ថ្ងៃដើម្បីបង្កើតទំនាក់ទំនងជាមួយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ឬព័ត៌មានដែលត្រូវបានលួចនឹងត្រូវបានចេញផ្សាយជាសាធារណៈ ឬផ្តល់ជូនសម្រាប់លក់ទៅឱ្យស្ថាប័នប្រកួតប្រជែង។ សោ​ឌិគ្រីប​ចាំបាច់​ក៏​នឹង​ត្រូវ​បាន​លុប​ដែរ ដែល​ធ្វើ​ឱ្យ​ការ​ស្ដារ​ឯកសារ​ដែល​បាន​ចាក់សោ​ទាំងអស់​មិន​អាច​ទៅ​រួច។

ការតភ្ជាប់ទៅ FIN8

ក្រុម FIN8 APT ត្រូវបានចូលរួមជាចម្បងនៅក្នុងប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិត ការជ្រៀតចូល និងប្រតិបត្តិការឈ្លបយកការណ៍។ មានព័ត៌មានលម្អិតជាក់លាក់ដែលភ្ជាប់ក្រុមទៅនឹងការគំរាមកំហែង ransomware របស់ White Rabbit ។ ដូចដែលបានបញ្ជាក់ដោយអ្នកស្រាវជ្រាវមកពី Lodestone URL ព្យាបាទដែលត្រូវបានគេមើលឃើញថាជាផ្នែកមួយនៃការវាយប្រហាររបស់ White Rabbit ពីមុនត្រូវបានទាក់ទងទៅនឹងក្រុម FIN8 ។ លើសពីនេះទៀត ការរកឃើញរបស់ពួកគេបង្ហាញថា White Rabbit កំពុងប្រើប្រាស់កំណែ Badhatch ដែលជា backdoor ដែលត្រូវបានចាត់ទុកថាជាផ្នែកមួយនៃឃ្លាំងអាវុធរបស់ FIN8 នៃឧបករណ៍ព្យាបាទ។ ប្រសិនបើទំនាក់ទំនងរវាង White Rabbit និង FIN8 កើតឡើងដោយចៃដន្យ ឬក្រុមនេះពិតជាកំពុងពង្រីកសកម្មភាពរបស់ខ្លួន ហើយការចូលទៅក្នុងឈុត ransomware នៅតែត្រូវបានគេមើលឃើញ។