Xctdoor Backdoor

ម៉ាស៊ីនមេធ្វើបច្ចុប្បន្នភាពរបស់អ្នកលក់ ERP (Enterprise Resource Planning) របស់កូរ៉េខាងត្បូងត្រូវបានរកឃើញថាមានការសម្របសម្រួល ដោយចែកចាយ Backdoor ដែលមានមូលដ្ឋានលើ Go ដែលមានឈ្មោះថា Xctdoor ។ អ្នកស្រាវជ្រាវបានរកឃើញការវាយប្រហារនេះនៅក្នុងខែឧសភា ឆ្នាំ 2024 ហើយខណៈពេលដែលពួកគេមិនបានកំណត់ពីតួអង្គគំរាមកំហែងជាក់លាក់មួយ ឬក្រុមនោះ ពួកគេបានកត់សម្គាល់ភាពស្រដៀងគ្នាជាមួយនឹងយុទ្ធសាស្ត្រដែលប្រើដោយ Andariel ដែលជាក្រុមរងដែលភ្ជាប់ទៅនឹង ក្រុម Lazarus ដ៏ល្បីល្បាញ។

យុទ្ធសាស្ត្រទាំងនេះបានបន្លឺឡើងនូវឧប្បត្តិហេតុកាលពីអតីតកាលដែលពាក់ព័ន្ធនឹងសត្រូវរបស់កូរ៉េខាងជើង ដែលពីមុនបានកេងប្រវ័ញ្ចដំណោះស្រាយ ERP ដើម្បីផ្សព្វផ្សាយមេរោគដូចជា HotCroissant (ត្រូវបានគេស្គាល់ផងដែរថាជា Rifdoor ) ក្នុងឆ្នាំ 2017 ។ នេះត្រូវបានសម្រេចដោយការបញ្ចូលកូដព្យាបាទទៅក្នុងយន្តការអាប់ដេតកម្មវិធី។

Xctdoor Backdoor ផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពបង្កគ្រោះថ្នាក់ជាច្រើន។

ក្នុងអំឡុងពេលនៃការវិភាគការវាយប្រហារ វាត្រូវបានគេកំណត់ថាអាចប្រតិបត្តិបានត្រូវបានផ្លាស់ប្តូរដើម្បីដំណើរការឯកសារ DLL ពីផ្លូវជាក់លាក់មួយដោយប្រើដំណើរការ regsvr32.exe ជំនួសឱ្យការចាប់ផ្តើមកម្មវិធីទាញយក។ ឯកសារ DLL នេះ ត្រូវបានគេស្គាល់ថាជា Xctdoor មានសមត្ថភាពក្នុងការចាប់យកព័ត៌មានប្រព័ន្ធដូចជា ការចុចគ្រាប់ចុច រូបថតអេក្រង់ និងមាតិកាក្ដារតម្បៀតខ្ទាស់ និងការប្រតិបត្តិពាក្យបញ្ជាដែលចេញដោយអ្នកវាយប្រហារ។

Xctdoor ប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) តាម HTTP ជាមួយនឹងការអ៊ិនគ្រីបកញ្ចប់ព័ត៌មានដោយប្រើ Mersenne Twister (MT19937) និង Base64 algorithms ។ ការវាយប្រហារនេះក៏ពាក់ព័ន្ធនឹងវ៉ារ្យ៉ង់មេរោគមួយផ្សេងទៀតដែលមានឈ្មោះថា XcLoader ដែលត្រូវបានរចនាឡើងដើម្បីចាក់ Xctdoor ទៅក្នុងដំណើរការស្របច្បាប់ដូចជា 'explorer.exe'។ ការរកឃើញថ្មីៗបង្ហាញពីករណីដែលម៉ាស៊ីនមេគេហទំព័រដែលមិនមានសុវត្ថិភាពគ្រប់គ្រាន់ត្រូវបានសម្របសម្រួលក្នុងការដំឡើង XcLoader ចាប់តាំងពីយ៉ាងហោចណាស់ខែមីនាឆ្នាំ 2024។

ដំណើរការដូចគ្នានេះត្រូវបានបំពានដោយការគំរាមកំហែងមេរោគផ្សេងទៀត។

ដំណើរការ regsvr32.exe ត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងយុទ្ធនាការផ្សេងទៀតដែលភ្ជាប់ទៅនឹងប្រទេសកូរ៉េខាងជើង ជាពិសេសដោយក្រុម Kimsuky APT។ ពួកគេបានប្រើប្រាស់ backdoor ដែលមិនបញ្ចេញឈ្មោះមួយឈ្មោះថា HappyDoor ដែលដំណើរការតាំងពីយ៉ាងតិចខែកក្កដា ឆ្នាំ 2021។

លំដាប់នៃការវាយប្រហារទាំងនេះ ជាធម្មតាចាប់ផ្តើមជាមួយ spear-phishing emails ចែកចាយឯកសារដែលបានបង្ហាប់។ នៅក្នុងបណ្ណសារនេះ បានរកឃើញ JavaScript ឬ dropper ដែលស្រពិចស្រពិល ដែលនៅពេលប្រតិបត្តិ បើកដំណើរការ HappyDoor រួមជាមួយឯកសារបញ្ឆោត។ HappyDoor ដែលត្រូវបានអនុវត្តជាឯកសារ DLL តាមរយៈ regsvr32.exe បង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេពីចម្ងាយតាមរយៈ HTTP ។ មុខងាររបស់វារួមមានការលួចទិន្នន័យ សមត្ថភាពទាញយក/ផ្ទុកឯកសារ និងសមត្ថភាពក្នុងការធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង និងបញ្ចប់ដំណើរការ។

ការឆ្លងតាមទ្វារក្រោយអាចមានផលវិបាកធ្ងន់ធ្ងរចំពោះជនរងគ្រោះ

ជនរងគ្រោះនៃការឆ្លងមេរោគ backdoor អាចប្រឈមមុខនឹងផលវិបាកធ្ងន់ធ្ងរ ដោយសារតែលក្ខណៈលាក់កំបាំង និងជាប់លាប់នៃការគំរាមកំហែងទាំងនេះ។ នេះគឺជាផលប៉ះពាល់ដែលអាចកើតមានមួយចំនួន៖

• ការលួចទិន្នន័យ ៖ ជារឿយៗ Backdoors អនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រមូលព័ត៌មានឯកជន ដូចជាព័ត៌មានសម្ងាត់សម្រាប់ការចូល ទិន្នន័យហិរញ្ញវត្ថុ កម្មសិទ្ធិបញ្ញា និងឯកសារផ្ទាល់ខ្លួន។ ទិន្នន័យដែលប្រមូលបាននេះអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីទទួលបានផលចំណេញផ្នែកហិរញ្ញវត្ថុ ឬប្រើប្រាស់ក្នុងការវាយប្រហារបន្ថែមទៀត។
• ការឃ្លាំមើល និងការត្រួតពិនិត្យ ៖ Backdoors អាចធ្វើឱ្យអ្នកវាយប្រហារអាចតាមដាន និងឃ្លាំមើលសកម្មភាពរបស់ជនរងគ្រោះ រួមទាំងការចុចគ្រាប់ចុច រូបថតអេក្រង់ ផ្ទាំងព័ត៌មានគេហទំព័រ និងការបញ្ចូលមីក្រូហ្វូន។ ការឈ្លានពាននៃភាពឯកជននេះអាចនាំឱ្យមានចារកម្មផ្ទាល់ខ្លួន ឬសាជីវកម្ម។
• ការចូលប្រើដោយគ្មានការអនុញ្ញាត ៖ អ្នកវាយប្រហារអាចទទួលបានសិទ្ធិចូលដំណើរការដោយគ្មានការអនុញ្ញាតយូរទៅប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ការចូលប្រើនេះអាចត្រូវបានប្រើដើម្បីរៀបចំ ឬបំផ្លាញប្រព័ន្ធ រំខានដល់ប្រតិបត្តិការ ឬសូម្បីតែដាក់ពង្រាយមេរោគបន្ថែម។
• ការសម្របសម្រួលប្រព័ន្ធ ៖ Backdoors ជារឿយៗធ្វើឱ្យមុខងារសុវត្ថិភាពទាំងមូលរបស់ប្រព័ន្ធចុះខ្សោយ ដែលធ្វើឱ្យវាងាយរងការកេងប្រវ័ញ្ចបន្ថែមទៀត។ នេះអាចនាំទៅដល់ការសម្របសម្រួលនៃប្រព័ន្ធ ឬធនធានដែលបានតភ្ជាប់ផ្សេងទៀតនៅក្នុងបណ្តាញ។
• ការបាត់បង់ផ្នែកហិរញ្ញវត្ថុ ៖ អាជីវកម្មអាចទទួលរងការខាតបង់ផ្នែកហិរញ្ញវត្ថុដោយសារតែការលួចមូលនិធិ ការបាត់បង់ឱកាសអាជីវកម្ម បំណុលផ្លូវច្បាប់ និងការចំណាយដែលទាក់ទងនឹងការប្រឹងប្រែងជួសជុល និងការស្តារឡើងវិញ។
• ការខូចខាតកេរ្តិ៍ឈ្មោះ ៖ សម្រាប់ស្ថាប័ន ការឆ្លងមេរោគនៅខាងក្រោយអាចនាំឱ្យខូចកេរ្តិ៍ឈ្មោះ បាត់បង់ទំនុកចិត្តរបស់អតិថិជន និងតម្លៃម៉ាកយីហោធ្លាក់ចុះ។ នេះអាចមានផលវិបាករយៈពេលវែងលើទំនាក់ទំនងអាជីវកម្ម និងប្រតិបត្តិការ។
• ការរំខានផ្នែកប្រតិបត្តិការ ៖ Backdoors អាចរំខានដល់ប្រតិបត្តិការធម្មតាដោយបង្កឱ្យប្រព័ន្ធគាំង ដំណើរការយឺត ឬបដិសេធលក្ខខណ្ឌសេវាកម្ម។ នេះអាចបណ្តាលឱ្យមានការផ្អាក បាត់បង់ផលិតភាព និងផលប៉ះពាល់ផ្នែកហិរញ្ញវត្ថុ ដោយសារសេវារំខាន។
• បញ្ហាបទប្បញ្ញត្តិ និងអនុលោមភាព ៖ អង្គការអាចប្រឈមមុខនឹងការផាកពិន័យបទប្បញ្ញត្តិ និងផលវិបាកផ្នែកច្បាប់ ប្រសិនបើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលដោះស្រាយទិន្នន័យរសើបដោយគោរពតាមច្បាប់ឯកជនភាព ឬបទប្បញ្ញត្តិឧស្សាហកម្ម។
• ភាពលំបាកក្នុងការរកឃើញ និងការដកយកចេញ ៖ Backdoors ត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញដោយវិធានការសុវត្ថិភាពដូចជាកម្មវិធីប្រឆាំងមេរោគ និងជញ្ជាំងភ្លើង។ ការរកឃើញ និងដកពួកវាចេញទាំងស្រុងអាចជាបញ្ហាប្រឈម ដែលទាមទារចំណេះដឹង និងឧបករណ៍ឯកទេស។
• ភាពងាយរងគ្រោះរយៈពេលវែង ៖ ទោះបីជាបន្ទាប់ពីការដោះស្រាយដំបូងក៏ដោយ ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលអាចនៅតែងាយរងគ្រោះចំពោះការវាយប្រហារនាពេលអនាគត ឬការប៉ុនប៉ងធ្វើឱ្យសកម្មឡើងវិញនៅខាងក្រោយដោយអ្នកវាយប្រហារដែលបានកំណត់។

សរុបមក ផលវិបាកនៃការឆ្លងមេរោគ backdoor អាចមានលក្ខណៈធ្ងន់ធ្ងរ និងមានលក្ខណៈចម្រុះ ដែលជះឥទ្ធិពលទាំងបុគ្គល និងស្ថាប័នទាក់ទងនឹងការខូចខាតផ្នែកហិរញ្ញវត្ថុ ប្រតិបត្តិការ និងកេរ្តិ៍ឈ្មោះ ក៏ដូចជាការបំផ្លាញឯកជនភាព និងសុវត្ថិភាពរបស់ពួកគេ។