ព័ត៌មាន

ដំណាក់កាលនៃការវាយប្រហារ CCleaner Attack — នេះគឺជារបៀបដែលក្រុមហេគឃ័រធ្វើការវាយប្រហារទៅលើម៉ាស៊ីនកុំព្យូទ័រចំនួន 2.3 លានគ្រឿងនោះ

Saturday, ទី19 May, ឆ្នាំ2018 20:05 pm 0

កាលពីឆ្នាំមុននេះ ប្រព័ន្ធ CCleaner ដ៏ពេញនិយមត្រូវទទួលរងនូវការវាយប្រហារ supply-chain malware attack ជាច្រើនដង ហើយក្រុមហេគឃ័រក៏ចូលទៅកាន់ Servers របស់ក្រុមហ៊ុននេះនឹងធ្វើការជំនួសនូវ Version ដំបូងរបស់កម្មវិធីនេះជាមួយនឹងកូដមេរោគវិញ។ ការវាយប្រហារមេរោគ malware attack នេះឆ្លងទៅកាន់អ្នកប្រើប្រាស់ចំនួន 2.3 លានគ្រឿងដែលធ្វើការដោនឡូត និង Update ទៅលើកម្មវិធី CCleaner app នៅចន្លោះខែសីហា និងខែកញ្ញាកាលពីឆ្នាំមុននេះចេញពីវេបសាយផ្លូវការជាមួយនឹង backdoored version របស់កម្មវិធីនេះ។

 image

ពេលនេះ វាមានការបង្ហាញថា ក្រុមហេគឃ័រគ្រប់គ្រងទៅលើបណ្តាញ Network របស់ក្រុមហ៊ុននេះនៅក្នុងរយៈពេលប្រហែលជា 5 ខែមុនពេលដែលវាជំនួសនូវកូដចូលទៅក្នុងកម្មវិធី  CCleaner ជាមួយនឹងកូដ  backdoored version នេះបើតាមការបញ្ជាក់របស់ CTO Ondrej Vlcek របស់ក្រុមហ៊ុន Avast នោះនៅក្នុងទីក្រុង  San Francisco នៅថ្ងៃអង្គារ៍នេះ។

Vlcek ក៏ធ្វើការចែករំលែកនូវពេលវេលានៃគ្រោះថ្នាក់នេះកាលពីឆ្នាំមុនដែលជាពេលវេលានៃសុបិន្តអាក្រក់សម្រាប់ក្រុមហ៊ុននេះ។

ថ្ងៃទី ១១ ខែមីនា ឆ្នាំ ២០១៧ (ម៉ោង ៥ ល្ងាច) — ក្រុមវាយប្រហារចូលទៅកាន់ workstation របស់ក្រុមអ្នកអភិវឌ្ឍម្នាក់នៃកម្មវិធី CCleaner ហើយធ្វើការភ្ជាប់ទៅកាន់ Piriform network ដែលប្រើប្រាស់សម្រាប់ការបញ្ជាពីចម្ងាយទៅលើកម្មវិធី TeamViewer ។

ថ្ងៃទី ១២ ខែមីនា ឆ្នាំ ២០១៧ (ម៉ោង ៤ ព្រឹក) — ប្រើប្រាស់នូវម៉ាស៊ីនដំបូងបំផុត អ្នកវាយប្រហារជ្រៀតចូលទៅក្នុងម៉ាស៊ីនកុំព្យូទ័រដហើយធ្វើការភ្ជាប់ទៅកាន់ Network ដដែល ហើយបើកនូវ Backdoor តាមរយៈ Windows RDP (Remote Desktop Service) protocol ។

ថ្ងៃទី ១៤ ខែមីនា ឆ្នាំ ២០១៧— ក្រុមអ្នកវាយប្រហារចូលទៅដំណើរការកុំព្យូទ័រជាមួយនឹងការមើលទៅលើ Version ចាស់ៗសម្រាប់ការដាក់មេរោគនៅក្នុងជំហានទី ២ ។

ថ្ងៃទី ៤ ខែមេសា ឆ្នាំ ២០១៧  — ក្រុមអ្នកវាយប្រហារធ្វើការ Compiles ទៅលើ Version នៃ ShadowPad ដែលជា Backdoor សម្រាប់អនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដោនឡូតនូវ malicious modules ឬការលួចទិន្នន័យ ហើយនេះគឺជាការវាយប្រហារជាលើកទី 3 សម្រាប់កម្មវិធី CCleaner ។

ថ្ងៃទី ១២ ខែមេសា ឆ្នាំ ២០១៧  — ប៉ុន្មានថ្ងៃក្រោយមក ក្រុមអ្នកវាយប្រហារធ្វើការតម្លើងនូវ 3rd stage payload នៅលើកុំព្យូទ័រចំនួន 4 គ្រឿងនៅក្នុងបណ្តាញ Piriform network (ជា mscoree.dll library) និងបង្កើតនូវ server (ជា .NET runtime library) ។

នៅចន្លោះពាក់កណ្តាលខែមេសា និងខែកក្កដា — នៅក្នុងពេលនេះ ក្រុមអ្នកវាយប្រហាររៀបចំនូវ malicious version របស់កម្មវិធី CCleaner ហើយព្យាយាមជ្រៀតចូលទៅក្នុងកុំព្យូទ័រផ្សេងទៀតនៅក្នុងបណ្តាញ Network នេះដើម្បីធ្វើការតម្លើងនូវ keylogger សម្រាប់ធ្វើការលួចនូវព័ត៌មានសម្ងាត់ និងការ Login ចូលទៅក្នុង administrative privileges តាមរយៈ RDP នោះ។

ថ្ងៃទី ១៨ ខែកក្កដា ឆ្នាំ ២០១៧  — ក្រុមហ៊ុនសុវត្ថិភាព Avast ទិញយក Piriform ដែលជាក្រុមហ៊ុនផលិតនូវកម្មវិធី Software មានមូលដ្ឋាននៅក្នុងចក្រភពអង់គ្លេសដែលស្ថិតនៅក្រោយកម្មវិធី CCleaner ដែលមានការទាញយកច្រើនជាងពីរពាន់លានដង។

ថ្ងៃទី ២ ខែសីហា ឆ្នាំ ២០១៧  — ក្រុមអ្នកវាយប្រហារធ្វើការជំនួសនូវ version ដំបូងរបស់កម្មវិធី CCleaner software នៅលើវេបសាយផ្លូវការជាមួយនឹង backdoored version របស់កម្មវិធី CCleaner ដែលចែកចាយទៅកាន់អ្នកប្រើប្រាស់រាប់លាននាក់។

ថ្ងៃទី ១៣ ខែកញ្ញា ឆ្នាំ ២០១៧  — ក្រុមអ្នកស្រាវជ្រាវនៅ Cisco Talos រកឃើញនូវមេរោគ malicious version របស់កម្មវិធីនេះដែលជ្រៀតចូលទៅក្នុងវេបសាយផ្លូវការរបស់ក្រុមហ៊ុនមានរយៈពេលជាងមួយខែហើយ និងជូនដំណឹងនេះទៅកាន់ក្រុមហ៊ុន Avast ភ្លាមៗផងដែរ។

បើទោះបីជាក្រុមហ៊ុន Avast ដែលមានការជួយពី FBI មិនអាចធ្វើការបិទទៅលើ command-and-control server របស់ក្រុមអ្នកវាយប្រហារនៅក្នុងរយៈពេល 3 ថ្ងៃក៏ដោយ ក៏ក្រុមហ៊ុននេះជូនដំណឹងទៅកាន់អ្នកប្រើប្រាស់អំពីបញ្ហានេះ ហើយមេរោគនៃកម្មវិធី malicious CCleaner software ក៏ត្រូវបានដោនឡូតដល់ទៅ 2.27 លាននាក់ផងដែរ។

ពិសេសជាងនេះទៀតនោះ វាត្រូវគេរកឃើញថា អ្នកវាយប្រហារអាចធ្វើការតម្លើងនូវជំហានទី ២ នៃ Payload ទៅក្នុងកុំព្យូទ័រចំនួន 40 គ្រឿងទៀតដែលប្រតិបត្តិដោយក្រុមហ៊ុនធំៗលំដាប់អន្តរជាតិជាច្រើនដូចជា Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai និង VMware ផងដែរ៕

 

Tags: