សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ មេរោគ ZynorRAT

មេរោគ ZynorRAT

ដោយ Mezo ក្នុង មេរោគ, ឧបករណ៍គ្រប់គ្រងពីចម្ងាយ
បកប្រែទៅ៖

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណក្រុមមេរោគប្រលោមលោកមួយ ដែលរួមមានកម្មវិធី Go-compiled remote access trojan (RAT) ដែលមានឈ្មោះថា ZynorRAT ។ ការផ្សាំនេះមានគោលដៅទាំង Linux និង Windows hosts ត្រូវបានគ្រប់គ្រងតាមរយៈ Telegram bot ហើយ - ផ្អែកលើភស្តុតាងដែលមាន - បានបង្ហាញខ្លួនជាលើកដំបូងនៅថ្ងៃទី 8 ខែកក្កដា ឆ្នាំ 2025។ អ្នកវិភាគរាយការណ៍ថាមិនមានកូដ ឬអាកប្បកិរិយាត្រួតស៊ីគ្នាជាមួយគ្រួសារដែលបានចាត់តាឡុកពីមុនទេ ដោយស្នើឱ្យមានការអនុវត្តថ្មីជាជាងវ៉ារ្យ៉ង់នៃឧបករណ៍ដែលមានស្រាប់។

ប្រវត្តិរូបបច្ចេកទេស — ភាសា បង្កើត និងកំណត់ចំណាំឆ្លងវេទិកា

ZynorRAT ត្រូវបានអនុវត្តនៅក្នុង Go ដែលអនុញ្ញាតឱ្យមូលដ្ឋានកូដតែមួយដើម្បីបង្កើតប្រព័ន្ធគោលពីរសម្រាប់គោលដៅប្រព័ន្ធប្រតិបត្តិការច្រើន។ ការបង្កើតលីនុចគឺសំបូរទៅដោយលក្ខណៈពិសេស និងបង្ហាញនូវសមត្ថភាពទូលំទូលាយសម្រាប់ការឈ្លបយកការណ៍ ការប្រមូលទិន្នន័យ និងការបញ្ជាពីចម្ងាយ។ ការស្ថាបនាវីនដូក៏ត្រូវបានគេសង្កេតឃើញដែរ ហើយមានមុខងារស្រដៀងទៅនឹងវ៉ារ្យ៉ង់លីនុច។ ទោះយ៉ាងណាក៏ដោយ វានៅតែប្រើបច្ចេកទេសតស៊ូតាមរចនាប័ទ្មលីនុច (សេវាប្រព័ន្ធ) ដែលបង្ហាញថាវត្ថុបុរាណរបស់វីនដូអាចមិនពេញលេញ ឬស្ថិតនៅក្រោមការអភិវឌ្ឍន៍សកម្ម។

សមត្ថភាព - អ្វីដែលមេរោគអាចធ្វើបាន

បេសកកម្មចម្បងរបស់មេរោគគឺការប្រមូល ការបណ្ដេញចេញ និងការចូលប្រើពីចម្ងាយ ជាមួយនឹង Command-and-Control (C2) ដែលគ្រប់គ្រងតាមរយៈ Telegram bot (កំណត់ថា @lraterrorsbot, aka 'lrat')។ នៅពេលដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់ ZynorRAT ទទួលបានការណែនាំបន្ថែមពី bot នោះ ហើយអនុវត្តការងារនៅក្នុងមូលដ្ឋានលើម៉ាស៊ីនជនរងគ្រោះ។ សមត្ថភាពសំខាន់ៗរបស់លីនុចរួមមានការរុករកឯកសារ និងការស្រង់ចេញ ទម្រង់ប្រព័ន្ធ ការចុះបញ្ជីដំណើរការ និងការបញ្ចប់ ការថតអេក្រង់ ការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងការបន្តដំណើរការតាមរយៈប្រព័ន្ធ។

ចំណុចបញ្ចប់ពាក្យបញ្ជាដែលបានសង្កេត (ដូចដែលបានអនុវត្តនៅក្នុង Linux build)៖

  • / fs_list — រាប់បញ្ចូលបញ្ជីឈ្មោះ
  • / fs_get — ស្រង់ឯកសារចេញពីម៉ាស៊ីន
  • /metrics — អនុវត្ត​ទម្រង់​ប្រព័ន្ធ
  • /proc_list — ដំណើរការសមមូលនៃ ps ដើម្បីរាយបញ្ជីដំណើរការ
  • /proc_kill — សម្លាប់ដំណើរការដោយ PID
  • /capture_display — ថតអេក្រង់នៃការបង្ហាញ
  • /persist - បង្កើតការតស៊ូ (សេវាប្រព័ន្ធ)

ពាក្យបញ្ជា និងការគ្រប់គ្រង និងការចែកចាយ — របៀបដែលប្រតិបត្តិករដំណើរការ និងផ្សព្វផ្សាយវា។

Telegram គឺជាប៉ុស្តិ៍ C2 របស់ ZynorRAT៖ មេរោគចូលជាមួយ @lratrrorsbot bot ហើយទទួលពាក្យបញ្ជាលើឧបករណ៍ផ្ទុកនោះ។ រូបថតអេក្រង់ និងវត្ថុបុរាណផ្សេងទៀតដែលបានចែករំលែកតាមរយៈ Telegram bot បង្ហាញពីបន្ទុកដែលត្រូវបានចែកចាយតាមរយៈសេវាកម្មចែករំលែកឯកសារដែលមានឈ្មោះថា Dosya.co ។ ការវិភាគលើរូបថតអេក្រង់ទាំងនោះបង្ហាញថាអ្នកនិពន្ធប្រហែលជាបានប្រើម៉ាស៊ីនដែលពួកគេគ្រប់គ្រងដើម្បីសាកល្បង ឬធ្វើឱ្យមុខងារមានសុពលភាព (ការឆ្លងដោយខ្លួនឯង)។ ការប្រើប្រាស់វេទិកាផ្ញើសារសាធារណៈដូចជា Telegram ជា C2 ផ្តល់នូវភាពងាយស្រួលក្នុងការប្រើប្រាស់សម្រាប់ប្រតិបត្តិករ និងកម្រិតនៃភាពបត់បែនក្នុងប្រតិបត្តិការមួយចំនួន ប៉ុន្តែវាក៏បង្កើតសូចនាករច្បាស់លាស់ (ចំណុចទាញ bot, ចរាចរ Telegram មិនធម្មតា) ដែលអ្នកការពារអាចស្វែងរកបាន។

គុណលក្ខណៈ និងការកំណត់ពេលវេលា — អ្វីដែលយើងអាចសន្និដ្ឋានបានដោយសមហេតុផល

ភ័ស្តុតាងចង្អុលទៅសកម្មភាពដែលចាប់ផ្តើមនៅថ្ងៃទី 8 ខែកក្កដា ឆ្នាំ 2025។ វត្ថុបុរាណភាសានៅក្នុងការជជែកតាមបូត និងអត្ថបទដែលបានរកឃើញផ្សេងទៀតបង្ហាញថា ប្រតិបត្តិករអាចជាភាសាទួរគី ឬយ៉ាងហោចណាស់ប្រើប្រាស់ធនធានភាសាទួរគី ហើយការវិភាគបច្ចុប្បន្នពេញចិត្តនឹងតួអង្គឯកម្នាក់ ដែលទំនងជាឯកោ ជាជាងការប្រឹងប្រែងអភិវឌ្ឍក្រុម។ នោះបាននិយាយថា គុណលក្ខណៈបុគ្គល ឬប្រជាជាតិ គួរតែរក្សាការប្រុងប្រយ័ត្ន រង់ចាំការបញ្ជាក់បន្ថែម។

ហេតុអ្វីបានជាវាសំខាន់ — និន្នាការនៃការអភិវឌ្ឍន៍ថ្មី និងមេរោគ

ទោះបីជា RATs ជារឿងធម្មតាក៏ដោយ ZynorRAT គឺគួរឱ្យកត់សម្គាល់ព្រោះវាហាក់ដូចជាការអនុវត្តបន្ទប់ស្អាត (មិនមានការត្រួតស៊ីគ្នាជាមួយគ្រួសារដែលគេស្គាល់) ដែលអនុវត្តការគ្រប់គ្រងដោយស្វ័យប្រវត្តិ និងកណ្តាលតាមរយៈ Telegram ។ មហិច្ឆតាឆ្លងវេទិការបស់វា និងការប្រើប្រាស់ Go បង្ហាញពីនិន្នាការនៃប្រតិបត្តិករតូចតាចដែលផលិតឧបករណ៍ពហុប្រព័ន្ធប្រតិបត្តិការដែលមានសមត្ថភាពយ៉ាងឆាប់រហ័ស។ ភាពស្មុគ្រស្មាញនៅដំណាក់កាលដំបូងនៅទីនេះបង្ហាញពីរបៀបដែល RAT ប្រលោមលោកយ៉ាងឆាប់រហ័សអាចលេចឡើង និងត្រូវបានបញ្ចូល។

ការវាយតម្លៃបញ្ចប់

ZynorRAT តំណាងឱ្យឧទាហរណ៍សហសម័យនៃ RAT ទម្ងន់ស្រាល ប៉ុន្តែមានសមត្ថភាពដែលបង្កើតឡើងសម្រាប់ការដាក់ឱ្យប្រើប្រាស់ឆ្លងវេទិកា និងគ្រប់គ្រងតាមរយៈសេវាកម្មផ្ញើសារក្រៅធ្នើ។ ការរកឃើញរបស់វាគូសបញ្ជាក់ថា សូម្បីតែប្រតិបត្តិករតែមួយអាចផលិតឧបករណ៍ចូលប្រើពីចម្ងាយដែលអាចបត់បែនបានយ៉ាងឆាប់រហ័សដោយប្រើភាសាទំនើបដូចជា Go ។ អង្គការគួរតែចាត់ទុក C2 ដែលមានមូលដ្ឋានលើ Telegram និងការប្រើប្រាស់សេវាកម្មចែករំលែកឯកសារអ្នកប្រើប្រាស់ដែលមិនរំពឹងទុកជាធាតុស្វែងរកអាទិភាពខ្ពស់ ពង្រឹងការបង្កើតសេវាកម្មនៅលើចំណុចបញ្ចប់ និងអនុវត្តការបន្ធូរបន្ថយដែលបានរាយខាងលើ ដើម្បីកាត់បន្ថយការប៉ះពាល់។

និន្នាការ

Miaiw Qoaks ដោយ Suproa Tm Asjs

កម្មវិធីដែលមិនចង់បានសក្តានុពល, Adware, ចោរប្លន់កម្មវិធីរុករក
ការការពារឧបករណ៍របស់អ្នកពីកម្មវិធីដែលរំខានគឺមានសារៈសំខាន់ក្នុងការធានាទាំងសុវត្ថិភាព និងដំណើរការ។ ក្នុងចំណោមកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUPs)...

គេហទំព័របោកប្រាស់ Keeta ក្លែងក្លាយ

គេហទំព័រក្លែងក្លាយ
ការរីកចម្រើនយ៉ាងឆាប់រហ័សនៃបច្ចេកវិទ្យាឌីជីថលបានបង្កើតឱកាសរាប់មិនអស់ ប៉ុន្តែក៏មានការកើនឡើងដែលមិនធ្លាប់មានពីមុនមកក្នុងការបោកប្រាស់តាមអ៊ីនធឺណិត។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តទាញយកម៉ាកល្បី ៗ និងគម្រោង...

Madstudiyo.com

Adware
អ៊ិនធឺណិតគឺពោរពេញទៅដោយធនធាន ប៉ុន្តែវាក៏ផ្ទុកគេហទំព័របោកប្រាស់ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកអ្នកទស្សនាដែលមិនមានការសង្ស័យផងដែរ។ ទំព័រដូចជា Madstudiyo.com បន្លំខ្លួនជាគេហទំព័រស្របច្បាប់...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
35,407
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...
កំពុង​ផ្ទុក...