មេរោគ ZenRAT

ប្រលោមលោក និងអំពីវ៉ារ្យ៉ង់មេរោគដែលត្រូវបានគេស្គាល់ថា ZenRAT បានបង្ហាញនៅក្នុងទិដ្ឋភាពឌីជីថល។ មេរោគនេះកំពុងត្រូវបានផ្សព្វផ្សាយតាមរយៈកញ្ចប់ដំឡើងបញ្ឆោត ដែលក្លែងបន្លំជាកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ស្របច្បាប់។ គួរកត់សម្គាល់ថា ZenRAT ផ្តោតជាចម្បងលើសកម្មភាពព្យាបាទរបស់ខ្លួនលើអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Windows ។ ដើម្បីចម្រោះជនរងគ្រោះរបស់វា អ្នកប្រើប្រាស់នៅលើប្រព័ន្ធផ្សេងទៀតនឹងត្រូវបានបញ្ជូនទៅកាន់គេហទំព័រដែលមិនបង្កគ្រោះថ្នាក់។

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានពិនិត្យយ៉ាងយកចិត្តទុកដាក់ និងចងក្រងឯកសារការគំរាមកំហែងដែលកំពុងកើតឡើងនេះនៅក្នុងរបាយការណ៍បច្ចេកទេសដ៏ទូលំទូលាយមួយ។ យោងតាមការវិភាគរបស់ពួកគេ ZenRAT ធ្លាក់ចូលទៅក្នុងប្រភេទនៃ trojans ពីចម្ងាយម៉ូឌុល (RATs) ។ ជាងនេះទៅទៀត វាបង្ហាញពីសមត្ថភាពក្នុងការលួចបន្លំយកព័ត៌មានរសើបចេញពីឧបករណ៍ដែលមានមេរោគ ដោយបង្កើនហានិភ័យដែលអាចកើតមានចំពោះជនរងគ្រោះ និងអង្គការនានា។

ZenRAT ធ្វើជាអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ស្របច្បាប់

ZenRAT ត្រូវ​បាន​លាក់​ទុក​នៅ​ក្នុង​គេហទំព័រ​ក្លែង​ក្លាយ ដោយ​ក្លែង​ក្លាយ​ជា​គេហទំព័រ​សម្រាប់​កម្មវិធី​ស្រប​ច្បាប់។ វិធីសាស្រ្តដែលចរាចរត្រូវបានបញ្ជូនទៅកាន់ដែនបញ្ឆោតទាំងនេះនៅតែមិនច្បាស់លាស់។ ជាប្រវត្តិសាស្ត្រ ទម្រង់នៃមេរោគនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈមធ្យោបាយជាច្រើន រួមទាំងការបន្លំ ការផ្សាយពាណិជ្ជកម្ម និងការវាយប្រហារបំពុល SEO ។

payload ទាញយកពី crazygameis(dot)com គឺជាកំណែអាប់ដេតនៃកញ្ចប់ដំឡើងស្តង់ដារ ដោយផ្ទុកនូវកម្មវិធី .NET ដែលអាចប្រតិបត្តិបានដែលមានមេរោគដែលមានឈ្មោះថា ApplicationRuntimeMonitor.exe ។

ទិដ្ឋភាពដ៏គួរឱ្យចាប់អារម្មណ៍នៃយុទ្ធនាការនេះគឺថាអ្នកប្រើប្រាស់ដែលចូលគេហទំព័រក្លែងបន្លំដោយអចេតនាពីប្រព័ន្ធដែលមិនមែនជា Windows ត្រូវបានបញ្ជូនបន្តទៅអត្ថបទស្ទួនពីគេហទំព័រ opensource.com ដែលបានបោះពុម្ពដំបូងក្នុងខែមីនា ឆ្នាំ 2018 ។ លើសពីនេះ អ្នកប្រើប្រាស់ Windows ដែលចុចលើតំណទាញយកដែលកំណត់សម្រាប់លីនុច ឬ macOS នៅលើទំព័រទាញយកត្រូវបានប្តូរទៅគេហទំព័រផ្លូវការនៃកម្មវិធីស្របច្បាប់។

ការឆ្លងមេរោគ ZenRAT អាចមានផលវិបាកយ៉ាងធ្ងន់ធ្ងរ

នៅពេលដែលបានធ្វើឱ្យសកម្ម ZenRAT ប្រមូលព័ត៌មានអំពីប្រព័ន្ធម៉ាស៊ីន រួមទាំងប្រភេទ CPU ម៉ូដែល GPU កំណែប្រព័ន្ធប្រតិបត្តិការ លិខិតសម្គាល់កម្មវិធីរុករក និងបញ្ជីកម្មវិធីដែលបានដំឡើង និងកម្មវិធីសុវត្ថិភាព។ បន្ទាប់មកទិន្នន័យនេះត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2) ដែលដំណើរការដោយតួអង្គគំរាមកំហែង ដែលមានអាសយដ្ឋាន IP 185.186.72[.]14។

ម៉ាស៊ីនភ្ញៀវបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ហើយដោយមិនគិតពីពាក្យបញ្ជាដែលបានចេញ ឬទិន្នន័យបន្ថែមណាមួយដែលបានបញ្ជូននោះ កញ្ចប់ព័ត៌មានដំបូងដែលបានផ្ញើគឺមានទំហំ 73 បៃ។

ZenRAT ត្រូវបានកំណត់រចនាសម្ព័ន្ធបន្ថែមដើម្បីបញ្ជូនកំណត់ហេតុរបស់វាទៅម៉ាស៊ីនមេជាអត្ថបទធម្មតា។ កំណត់ហេតុទាំងនេះកត់ត្រាស៊េរីនៃការត្រួតពិនិត្យប្រព័ន្ធដែលធ្វើឡើងដោយមេរោគ និងផ្តល់ព័ត៌មានអំពីស្ថានភាពនៃការប្រតិបត្តិនៃម៉ូឌុលនីមួយៗ។ មុខងារនេះបង្ហាញពីតួនាទីរបស់វាជាឧបករណ៍ដាក់បញ្ចូលម៉ូឌុល និងអាចពង្រីកបាន។

កម្មវិធីគំរាមកំហែងត្រូវបានចែកចាយជាញឹកញាប់តាមរយៈឯកសារដែលធ្វើពុតជាអ្នកដំឡើងកម្មវិធីពិតប្រាកដ។ វាមានសារៈសំខាន់ណាស់សម្រាប់អ្នកប្រើប្រាស់ចុងក្រោយក្នុងការអនុវត្តការប្រុងប្រយ័ត្នដោយការទាញយកកម្មវិធីទាំងស្រុងពីប្រភពល្បីឈ្មោះ និងផ្ទៀងផ្ទាត់ថាដែនដែលបង្ហោះកម្មវិធីទាញយកត្រូវគ្នានឹងគេហទំព័រដែលភ្ជាប់ជាមួយគេហទំព័រផ្លូវការ។ លើសពីនេះទៀត បុគ្គលទាំងឡាយគួរតែអនុវត្តការប្រុងប្រយ័ត្ននៅពេលជួបប្រទះការផ្សាយពាណិជ្ជកម្មនៅក្នុងលទ្ធផលម៉ាស៊ីនស្វែងរក ព្រោះថាវាបានលេចចេញជាប្រភពដ៏សំខាន់នៃការឆ្លងនៃប្រភេទនេះ ជាពិសេសនៅក្នុងឆ្នាំមុន។