ព័ត៌មាន

ការវាយប្រហារដ៏ធំមួយតាមរយៈមេរោគ Emotet Malware ទៅលើប្រព័ន្ធសហគ្រាស Enterprise Endpoint Systems តាមរយៈឯកសារ Word

យុទ្ធនាការមេរោគ Emotet ចែកចាយយុទ្ធសាស្ត្រ Nozelesn ដែលផ្តោតសំខាន់លើ​វិស័យ​បដិសណ្ឋារកិច្ចឧស្សាហកម្ម​ ដែលមានមូលដ្ឋានលើប្រព័ន្ធ​ endpoint តាមរយៈឯកសារ word  ដែលមានមេរោគព្យាបាទ។ Telemetry រកឃើញមេរោគច្រើនជាង ១៤ ០០០ តាមរយៈសារ អេឡិចត្រូនិក emotet ដែលចែកចាយទូទាំងពិភពលោកចន្លោះថ្ងៃទី០៩ ខែមករាឆ្នាំ ២០១៩ និងថ្ងៃទី០៧ ខែកុម្ភៈឆ្នាំ២០១៩។ 

 image

ការឆ្លងដ៏ធំទាំងនេះផ្តោតលើប្រទេសជាក់លាក់។ ជាដំបូង យុទ្ធនាការថ្មីនេះត្រូវគេរកឃើញតាមរយៈប្រព័ន្ធគ្រប់គ្រង និងគ្រប់គ្រងការឆ្លើយតប (MDR) របស់ Trend Micro ដែលអ្នកស្រាវជ្រាវអាចរកមើលសំណាកឯកសារភ្ជាប់ Emotet ជិត ៨៥០ ដែលមានលក្ខណៈស្រដៀងគ្នា។ អ្នកវាយប្រហារប្រើបច្ចេកទេសវិស្វកម្មសង្គម​ទូទៅបំផុត ក្នុងអ៊ីម៉ែលដូចជា “វិក័យប័ត្រចុងក្រោយ” “ព័ត៌មានលំអិតនៃការដឹកជញ្ជូន” “ខ្សែបញ្ជូនចេញ នៅថ្ងៃនេះ” និង “ការបញ្ជូនបន្ទាន់” ដើម្បីសម្រុះសម្រួលលើជនរង គ្រោះឱ្យពួកគេចុចលើតំណ ភ្ជាប់ ឬបើកឯកសារដែលមានជាប់ទាក់ទង។

image

អ៊ីម៉ែលឥតបានការ (spam emails ) មានឯកសារពាក្យភ្ជាប់នៅពេលដែលឯកសារភ្ជាប់នោះត្រូវបានគេបើក ប្រតិបត្តិម៉ាក្រូហើយ បន្ទាប់មកហៅទៅ PowerShell ដើម្បីទាញយកមេរោគផ្សេងទៀតចេញពីម៉ាស៊ីនមេពីចម្ងាយ។

ដំណើរការឆ្លងមេរោគ Emotet

ក្នុងដំណើរការស៊ើបអង្កេតអ្នកស្រាវជ្រាវរកឃើញឯកសារគួរឱ្យសង្ស័យមួយឈ្មោះថា “How_Fix_Nozelesn_files.htm” នៅក្នុងកន្លែងចុងក្រោយ endpoint (server) ដែលពួកគេក៏​បានរកឃើញនូវការចម្លងមេរោគ Nozelesn  ផងដែរ។ ការវិភាគខ្សែសង្វាក់ root បណ្តាល​អោយឯកសារ ដែលមានមេរោគត្រូវគេបើកនៅក្នុងកម្មវិធី Microsoft Word ហើយត្រូវបានគេ ទាញយកតាមរយៈ Google Chrome ។ នៅពេលដែលជនរងគ្រោះបើកឯកសារ PowerShell. exe នោះ នឹងមានដំណើរការភ្ជាប់ជាមួយអាសយដ្ឋាន IP ជាច្រើនហើយបង្កើតឯកសារ 942.exe ផ្សេងទៀត។

មូលហេតុនៃការឆ្លងមេរោគ Emotet

ក្រោយមកវាទម្លាក់បន្ទុក payload ដែលមានលក្ខណៈស្រដៀងគ្នាទៅនឹង Nymaim ផ្សារភ្ជាប់ ជាមួយនឹងមេរោគ Nozelesn ។ នៅទីបំផុត Nymaim ដំឡើងមេរោគ Nozelesn ចូលទៅ​ក្នុ​ង​ប្រព័ន្ធមេរោគ។បន្ទាប់មកវាអ៊ិនគ្រីបឯកសារក្នុងប្រព័ន្ធ endpoint  (ម៉ាស៊ីនបម្រើ) តាមរយៈ​ថតដែលចែករំលែក(shared folders )។