WildPressure APT

ត្រលប់ទៅឆ្នាំ 2019 យុទ្ធនាការគម្រាមកំហែងដែលដាក់ពង្រាយការគំរាមកំហែង Trojan ពេញលេញប្រឆាំងនឹងគោលដៅដែលទាក់ទងនឹងឧស្សាហកម្មនៅមជ្ឈិមបូព៌ាបានបរាជ័យក្នុងការផ្គូផ្គង TTPs (យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី) នៃតួអង្គគំរាមកំហែងដែលបានបង្កើតឡើងរួចហើយនៅក្នុងតំបន់។ ជាលទ្ធផល វាត្រូវបានសន្មតថាជាក្រុម ATP (Advanced Persistent Threat) ដែលទើបនឹងបង្កើតថ្មីដែលបានផ្ដល់ឱ្យឈ្មោះថា WildPressure ។

ចាប់តាំងពីប្រតិបត្តិការដំបូងនេះ ពួក Hacker ហាក់ដូចជាបានចំណាយកិច្ចខិតខំប្រឹងប្រែងយ៉ាងច្រើនក្នុងការពង្រីក និងកែលម្អឃ្លាំងអាវុធរបស់ពួកគេនៃឧបករណ៍បង្កគ្រោះថ្នាក់។ ជាការពិតណាស់ យុទ្ធនាការថ្មីមួយដែលមានសញ្ញានៃ WildPressure ឥឡូវនេះកំពុងដាក់ពង្រាយការគំរាមកំហែងមេរោគដែលមិនធ្លាប់មានពីមុនមក ដែលមួយក្នុងចំណោមនោះមានសមត្ថភាពក្នុងការសម្របសម្រួលប្រព័ន្ធ macOS ។ ជនរងគ្រោះ​មក​ពី​មជ្ឈិមបូព៌ា​ម្តង​ទៀត ហើយ​ដោយ​មាន​ការ​ប៉ាន់​ប្រមាណ​ជា​បណ្តោះ​អាសន្ន​ថា ពួកគេ​ពាក់ព័ន្ធ​នឹង​វិស័យ​ប្រេង និង​ឧស្ម័ន។

WildPressure ក៏បានធ្វើពិពិធកម្មហេដ្ឋារចនាសម្ព័ន្ធរបស់ខ្លួនផងដែរ។ ប្រតិបត្តិការឆ្នាំ 2019 មាន VPS (Virtual Private Servers) ខណៈពេលដែលយុទ្ធនាការបច្ចុប្បន្នក៏រួមបញ្ចូលគេហទំព័រ WordPress ស្របច្បាប់មួយចំនួនដែលត្រូវបានសម្របសម្រួលផងដែរ។ ក្នុងចំណោមនោះមាន 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com, 'hxxp://www. glisru[.]eu,' និង 'hxxp://www.mozh[.]org ។'

នេះ Milum Trojan

ការគំរាមកំហែង Trojan ដើមត្រូវបានទម្លាក់ដោយ WildPressure ។ វាត្រូវបានសរសេរជា C++ ហើយប្រើទម្រង់ JSON សម្រាប់ទិន្នន័យកំណត់រចនាសម្ព័ន្ធរបស់វា។ ទម្រង់ដូចគ្នានេះក៏ត្រូវបានប្រើប្រាស់នៅក្នុងការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ។ ការអ៊ិនគ្រីបតែមួយគត់ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុង Milum គឺ RC4 ប៉ុន្តែការគំរាមកំហែងប្រើសោ 64 បៃផ្សេងគ្នាសម្រាប់ជនរងគ្រោះម្នាក់ៗ។ នៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល Trojan យកទម្រង់នៃបង្អួចរបារឧបករណ៍ដែលមើលមិនឃើញ។ សមត្ថភាពគម្រាមកំហែងរបស់វារួមមានការប្រតិបត្តិពាក្យបញ្ជាដែលបានទទួល ការបង្ហោះទិន្នន័យទៅកាន់ម៉ាស៊ីនមេ ការទទួលបានឯកសារ និងព័ត៌មានលម្អិតនៃប្រព័ន្ធ បង្កើត និងប្រតិបត្តិស្គ្រីបបាច់ដែលយក Milum ចេញពីប្រព័ន្ធ ក៏ដូចជាការធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង ប្រសិនបើកំណែថ្មីត្រូវបានបញ្ចេញដោយពួក Hacker ។

ឆ្មាំ Trojan

ការគំរាមកំហែងមេរោគនេះត្រូវបានសរសេរនៅក្នុង Python ហើយអាចឆ្លងទាំងប្រព័ន្ធ Windows និង macOS ។ វាហាក់ដូចជាថា ខណៈពេលដែលបង្កើតវា អ្នកវាយប្រហារ WildPressure ត្រូវបានបំផុសគំនិតយ៉ាងខ្លាំង និងពឹងផ្អែកលើកូដភាគីទីបីដែលមានជាសាធារណៈ។ សរុបមក ការគំរាមកំហែងចែករំលែកភាពស្រដៀងគ្នាជាច្រើនជាមួយឧបករណ៍ WildPressure ផ្សេងទៀត ជាពិសេសនៅពេលនិយាយអំពីរចនាប័ទ្មសរសេរកូដ ការរចនារបស់វា និងពិធីការទំនាក់ទំនង C2 ។ អ្នកស្រាវជ្រាវ Infosec ជឿថា Guard Trojan នៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍សកម្ម។

មុខងារដំបូងមួយក្នុងចំណោមមុខងារដំបូងដែលត្រូវបានធ្វើឱ្យសកម្មជាពិសេសនៅលើឧបករណ៍ macOS គឺដើម្បីកំណត់ថាតើឧទាហរណ៍ Trojan ផ្សេងទៀតមិនទាន់ដំណើរការឬអត់។ យន្តការតស៊ូក៏ខុសគ្នាដែរ។ នៅលើឧបករណ៍ Windows Trojan បង្កើតកូនសោចុះបញ្ជី RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system។ ទោះយ៉ាងណាក៏ដោយ សម្រាប់ប្រព័ន្ធ macOS Guard ឌិកូដឯកសារ XML ហើយបន្ទាប់មកបង្កើតឯកសារ plist ។ បន្ទាប់មកមេរោគប្រើមាតិកានៃឯកសារនោះនៅ $HOME/Library/LaunchAgents/com.apple.pyapple.plist ដើម្បីដំណើរការដោយខ្លួនវាផ្ទាល់។ ការគំរាមកំហែងនេះក៏ប្រើវិធីសាស្រ្តដាច់ដោយឡែកសម្រាប់ការទទួលបានព័ត៌មានលម្អិតអំពីប្រព័ន្ធអាស្រ័យលើ OS ។ ចំពោះសមត្ថភាពរបស់វា Guard អាចត្រូវបានណែនាំឱ្យទាញយកឯកសារបន្ថែមទៅប្រព័ន្ធដែលបំពាន ផ្ទុកឡើងឯកសារដែលចាប់អារម្មណ៍ទៅម៉ាស៊ីនមេ C2 ប្រតិបត្តិពាក្យបញ្ជា ទាញយកកំណែថ្មី ឬអនុវត្តទម្លាប់សម្អាតដើម្បីលុបដានរបស់វាចេញពីប្រព័ន្ធ។

នេះ Tandis Trojan

Tandis គឺជាការគំរាមកំហែង VBScript ដែលអាចឌិគ្រីបដោយខ្លួនឯង។ បើប្រៀបធៀបទៅនឹង Guard Trojan, Tandis កំណត់គោលដៅតែប្រព័ន្ធ Windows ហើយពឹងផ្អែកខ្លាំងលើសំណួរ WQL ។ ទោះយ៉ាងណាក៏ដោយ បើមិនដូច្នេះទេ មុខងាររបស់វាភាគច្រើនស្របគ្នាជាមួយនឹង Guard និងការគំរាមកំហែង WildPressure ផ្សេងទៀត។ វាសម្រេចបាននូវភាពស្ថិតស្ថេរតាមរយៈការចុះបញ្ជីប្រព័ន្ធ និងមានសមត្ថភាពប្រតិបត្តិពាក្យបញ្ជាដោយលួចលាក់ ទម្លាក់បន្ទុកបន្ថែមទៅក្នុងប្រព័ន្ធ ផ្ទុកឯកសារដែលបានជ្រើសរើសធ្វើបច្ចុប្បន្នភាពដោយខ្លួនវា ដំណើរការទម្លាប់សម្អាត និងស្នាមម្រាមដៃម៉ាស៊ីន។ ពិសេសជាងនេះទៅទៀត Tandis ស្វែងរកផលិតផលសុវត្ថិភាពដែលបានដំឡើងទាំងអស់ លើកលែងតែ Defender ។

កម្មវិធីជំនួយ C++ ព្យាបាទ

ម៉ូឌុលដែលភ្ជាប់គ្នាយ៉ាងសាមញ្ញមួយចំនួនដែលសរសេរក្នុង C++ ក៏ត្រូវបានរកឃើញផងដែរ។ ពួកវាមាន Orchestrator និងកម្មវិធីជំនួយជាច្រើនដែលបំពេញការងារជាក់លាក់។ ម៉ូឌុលមេ (Orchestrator) ពិនិត្យមើលថាតើឯកសារកំណត់រចនាសម្ព័ន្ធដែលមានឈ្មោះ 'thumbnail.dat' មានវត្តមាននៅលើឧបករណ៍ដែលបំពានឬអត់។ ទីតាំងពិតប្រាកដនៃឯកសារនេះប្រែប្រួលអាស្រ័យលើកំណែរបស់ Windows OS ។ Orchestrator ដំណើរការរៀងរាល់ពីរនាទីម្តង ហើយស្កេនឯកសារកំណត់រចនាសម្ព័ន្ធសម្រាប់ព័ត៌មានដែលត្រូវការដើម្បីប្រតិបត្តិកម្មវិធីជំនួយជាក់លាក់មួយ។

កម្មវិធីជំនួយដែលខូចមានទម្រង់ជា DLLs។ កម្មវិធីជំនួយមួយក្នុងចំណោមកម្មវិធីជំនួយដែលបានរកឃើញគឺអាចទទួលបានព័ត៌មានលម្អិតបំផុតអំពីប្រព័ន្ធតាមរយៈសំណួរ WQL ។ ទិន្នន័យដែលប្រមូលបានរួមមានកំណែ OS, កម្មវិធីជួសជុលប្រព័ន្ធប្រតិបត្តិការដែលបានដំឡើង, ក្រុមហ៊ុនផលិត BIOS និង HDD, ផលិតផលកម្មវិធីដែលបានដំឡើង និងដំណើរការបច្ចុប្បន្ន, ផលិតផលសុវត្ថិភាពដែលបានដំឡើង និងដំណើរការ, គណនីអ្នកប្រើប្រាស់, ការកំណត់អាដាប់ទ័របណ្តាញ និងច្រើនទៀត។ កម្មវិធីជំនួយបន្ថែមចំនួនពីរត្រូវបានផ្តល់ភារកិច្ចក្នុងការបង្កើតទម្លាប់នៃការចាក់សោរសោ។ ទីមួយកំណត់ទំពក់ WH_KEYBOARD_LL ហើយបន្ទាប់មកអាចចាប់យកការចុចគ្រាប់ចុច ក៏ដូចជាស្ទាក់ចាប់មាតិកាក្ដារតម្បៀតខ្ទាស់ និងចំណងជើង WIndows ។ កម្មវិធីជំនួយផ្សេងទៀតគឺទទួលខុសត្រូវចំពោះការថតអេក្រង់នៃប្រព័ន្ធ អាស្រ័យលើកម្មវិធីកំណត់ម៉ោង និងព្រឹត្តិការណ៍កណ្តុរ ដោយកំណត់ទំពក់ WH_MOUSE_LL ។