ព័ត៌មាន

ក្រុមហេគឃ័រចាប់ផ្តើមចែកចាយមេរោគ FlawedAmmyy Malware តាមរយៈឯកសារ MS Excel Macros ដែលមាន Backdoor ដ៏មានឥទ្ធិពល

Saturday, ទី9 March, ឆ្នាំ2019 20:03 pm 0

តួឯកគំរាមកំហែងពី TA505 បច្ចុប្បន្នកំពុងរីករាលដាល FlawedAmmyy RAT តាមរយៈ​ឯក​សារដែលមានមេរោគ MS Excel 4.0 macro ដែលមានគំនិតអាក្រក់​ដែលពិបាក​ក្នុងការ​ត្រួត​ពិនិត្យស្តង់ដារសុវត្ថិភាព។ គំរូ FlawedAmmyy RAT មានស្មារតីខ្ពស់អាចគ្រប់គ្រងជន​រង​គ្រោះ​ពីចម្ងាយនិងគេចពីកម្មវិធីសុវត្ថិភាព។ តួអង្គគំរាម TA505 គឺជាក្រុមឧក្រិដ្ឋកម្ម​អ៊ិនធឺណិត​ល្បីឈ្មោះដែលបញ្ចូលមេរោគដែលមានគ្រោះថ្នាក់ជាច្រើនរួមទាំងមានយុទ្ធនាការធំ ៗ ដូចជា Dridex, Locky និង GlobeImposter ជាដើម។

 image

ផ្អែកលើសមត្ថភាពរបស់មេរោគវានឹង​ត្រូវ​គេរក​ឃើញនៅពេលដែលវាឆ្លងកាត់កម្រិតដំបូងរបស់ការប្រតិបត្តិឯកសារ MSI (កម្មវិធី​ដំ​ឡើងវីនដូ) ។ អ្នកស្រាវជ្រាវរាយការណ៍ថា FlawedAmmyy RAT អាចធ្វើប្រតិបត្តិការផ្សេងៗរួមមាន ការគ្រប់គ្រងពីចម្ងាយលើអ្នកគ្រប់គ្រងប្រព័ន្ធឯកសារ ការប្រើ proxy និង audio chat។

image

ក្រៅពីការឆ្លងមេរោគទាំងនេះវាក៏អាចផ្តល់ការចូលដំណើរការពេញលេញលើម៉ាស៊ីនរបស់ជនរងគ្រោះដល់អ្នកវាយប្រហារ និងលួចយកឯកសារ  លិខិតសម្គាល់ ប្រមូលរូបថតអេក្រង់​និងចូលដំណើរការលើមេរ៉ានិងមីក្រូហ្វូន។ដំណើរការឆ្លងមេរោគ FlawedAmmyyTA505 តួអង្គគំរាមកំហែងដំបូងប្រើយុទ្ធនាការអ៊ីម៉ែល malspam ដើម្បីផ្សព្វផ្សាយ Flawed​Ammyy RAT ដល់ជនរងគ្រោះ ដែលគេប្រើប្រាស់យុទ្ធសាស្រ្តចាស់ចាប់តាំងពី​មេរោគ​ចាស់​មុន។ អ៊ីម៉ែលមានភ្ជាប់ឯកសារ Excel និងខ្លឹមសាររបស់អ្នកប្រើប្រាស់អ៊ីនធឺរណិតដើម្បី បញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបើកឯកសារដែលផ្ទុកនិងប្រតិបត្តិកូដ Excel 4.0 macro ។

image

មេរោគកូដម៉ាក្រូ XLM ព្យាបាទស្ថិតនៅក្នុងទម្រង់លាក់ខ្លួនដើម្បីជៀសវាងការ​យកចិត្តទុកដាក់ ពីជនរងគ្រោះ។ ឈ្មោះរបស់សំណុំបែបបទដែលលាក់នេះត្រូវគេសរសេរក្នុងភាសារុស្ស៊ី Макрос1  និងក្នុងភាសាអង់គ្លេស Macro 1។ ក្រោយពីការដំណើរការ​​ Macro បានជោគ​​ជ័យនោះ MSI dropper ជាដំណាក់កាលដំបូងនៃដំណើរការ msiexec.exe របស់មេរោគ​ដែលជាកម្មវិធីទាញយកមួយផ្សេងទៀតរបស់ FlawedAmmyy RAT ដើម (wsus.exe) ។

ក្រោយមក វាបង្កើតទំនាក់ទំនងម៉ាស៊ីនមេ C2 ដែលទទួលបានពាក្យបញ្ជា​ពីអ្នកវាយ​ប្រហារ  ប៉ុន្តែម៉ាស៊ីនបម្រើ C2 ដែលត្រូវអ្នកវាយប្រហារប្រើប្រាស់ ហើយឥឡូវនេះគឺវានៅក្រៅបណ្តាញ ដោយផ្អែកលើសេចក្តីថ្លែងការណ៍របស់អ្នកស្រាវជ្រាវ។ អ្នកក៏អាចអានពត៌មានលម្អិតរបស់ ការវិភាគបច្ចេកទេសនៅទីនេះ។ អ្នកប្រើដែលទទួលអ៊ីម៉ែលជាមួយឯកសារ xls គួរតែដឹងថា ឯកសារអាចជាមធ្យោបាយដែលមិនស្គាល់ចែកចាយមេរោគគ្រប់ប្រភេទ ហើយការឆ្លងគឺពឹង​ផ្អែក​លើជនរងគ្រោះដែលអនុញ្ញាតឱ្យម៉ាក្រូដំណើរការ។ អ្នកប្រើគួរតែធានាថា macros ត្រូវគេបិទក្នុងកម្មវិធី Microsoft Office របស់ពួកគេ៕

Tags: