ព័ត៌មាន

Adwind RAT៖ ការយល់ដឹងអំពីសកម្មភាពនៃមេរោគ Remote Access Trojan

សង្ខេប៖ Adwind RAT មានសមត្ថភាពក្នុងការលួចព័ត៌មាន ប្រព័ន្ធពាក្យគន្លឹះ និងព័ត៌មានសម្ងាត់ VPN ។ វាក៏មានសមត្ថភាពជា Keylogging ថតរូបអេក្រង់ ថតវីដេអូពីកាមេរ៉ាពី web camera និងថតសំលេងពីមីក្រូហ្វូន។ គេស្គាល់ Adwind RAT ជា AlienSpy, Frutas, Unrecom, Sockrat, JSocket និង jRAT គឺជា Trojan ដែលអាចចូលដំណើរការពីចម្ងាយ។ មេរោគនោះត្រូវគេប្រទះឃើញដំបូងបង្អស់ក្នុងឆ្នាំ២០១២ ជា Frutas ។ ក្រុមការងារ Kaspersky តាមដានយុទ្ធនាការវាយប្រហារជាង ១៥០លើក និងប្រឆាំងគោលដៅជាង ៦០.០០០គោលដៅចាប់ពីឆ្នាំ២០១៣ រហូតដល់ដើមឆ្នាំ២០១៦។ តើ Adwind មានសមត្ថភាពអ្វីខ្លះ?

សមត្ថភាពរបស់អ្នកចូលដំណើរការពីចម្ងាយរួមមាន៖

  • លួច ប្រព័ន្ធព័ត៌មាន   កូនសោក្រាហ្វិក និងព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ

  • ការផ្លាស់ប្តូរនៅពេលក្រោយនៅក្នុងបណ្តាញ

  • Keylogging

  • ថតរូបអេក្រង់  ថតវីដេអូពីកាមេរ៉ា និងថតសំលេងពីមីក្រូហ្វូន

  • ផ្ទេរឯកសារ និងគ្រប់គ្រងសារ SMS នៅលើឧបករណ៍ Android ។

 AlienSpy ចែកចាយតាមរយៈយុទ្ធនាការបន្លំ

នៅខែមេសា ឆ្នាំ២០១៥ ក្រុមហ៊ុន AlienSpy (ក្រុមហ៊ុនអាឌ្រីកខេនអេនជីន) កំណត់គោលដៅលើផ្នែកហិរញ្ញវត្ថុទូរគមនាគមន៍ និងរដ្ឋាភិបាលតាមរយៈយុទ្ធនាការបន្លំ។ អ៊ីមែលបន្លំរួមមានឯកសារព្យាបាទក្លែងក្លាយជាឯកសារហិរញ្ញវត្ថុដូចជាវិក្កយបត្រផ្ទេរប្រាក់ ឬបញ្ជាទិញ។ ឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ទាំងនោះចែកចាយប្រអប់ Trojan AlienSpy លើកុំព្យូទ័ររបស់ជនរងគ្រោះ។ Trojan នេះដំណើរការលើប្រព័ន្ធជាច្រើនរួមមាន Windows, Mac OS, Linux និង Android ។

Adwind ត្រូវគេដាក់លក់ជា RAT-as-a-Service

គេស្គាល់ JSocket ថាជា AlienSpy និង Adwind RAT ត្រូវគេដាក់ជា &#039RAT-as-a-Service&#039 ។ RAT ត្រូវគេដាក់លក់ក្នុងតម្លៃចាប់ពី ៣០ដុល្លារសម្រាប់មួយខែដល់ ២០០ដុល្លារសម្រាប់អាជ្ញាប័ណ្ណគ្មានកំណត់។ RAT នេះមានសមត្ថភាពក្នុងការរកឃើញ និងគេចវេសពីកម្មវិធីកំចាត់មេរោគនៅលើប្រព័ន្ធការកត់លេខកូដ និងការលួចយកអត្តសញ្ញាណសម្គាល់ VPN ។

Adwind ចម្លងលើអង្គការចំនួន១៥០០

យោងតាមលោក Kaspersky បញ្ជាក់ឱ្យដឹងថា Adwind RAT ឆ្លងលើអង្គការជិតចំនួន ១.៥០០ មកពី ១០០ប្រទេស។ ការវាយប្រហាររបស់ Adwind RAT ជះឥទ្ធិពលដល់អង្គការចំនួន ២០% នៅក្នុងវិស័យឧស្សាហកម្ម បន្ទាប់មកលើវិស័យស្ថាបត្យកម្ម និងសំណង់ (៩,៥%) ក្រុមហ៊ុនដឹកជញ្ជូន និងសេវាដឹកជញ្ជូន (៥.៥%) និងសេវាកម្មធានារ៉ាប់រង និងសេវាកម្មច្បាប់ (៥%) ។

ក្រុមហ៊ុន Adwind RAT ផ្តោតលើឧស្សាហកម្មអាកាស

នៅខែកក្កដា ឆ្នាំ២០១៧ ក្រុមហ៊ុន Adwind RAT កំណត់គោលដៅលើសហគ្រាសក្នុងឧស្សាហកម្មលំហអាកាសតាមរយៈយុទ្ធនាការសារឥតបានការ។ បណ្តាប្រទេសទាំងនោះរួមមានប្រទេសស្វីស អ៊ុយក្រែន អូទ្រីស និងសហរដ្ឋអាមេរិក ដែលសុទ្ធតែជាប្រទេសដែលរងគ្រោះខ្លាំងជាងគេ។ យុទ្ធនាការសារឥតបានការនេះត្រូវគេដាក់ពង្រាយជាពីរខ្សែរ គឺខ្សែរទី ១ នៅថ្ងៃទី៧ ខែមិថុនា ឆ្នាំ២០១៧ និងខ្សែទី២ នៅថ្ងៃទី១៤ ខែមិថុនា ឆ្នាំ ២០១៧ ។

 Autodesk A360 រងការបំពានពីការចែកចាយ Adwind RAT

វេទិកាផ្ទុកទិន្នន័យមានមូលដ្ឋានលើ Cloud ឈ្មោះ Autodesk A360 រងការបំពានក្នុងការផ្តល់សិទ្ធចូលប្រើពីចម្ងាយចំនួន ៣រួមមាន Adwind RAT,  Remcos RA, និង Netwire RAT។

យុទ្ធនាការចែកចាយ Adwind RAT

•នៅខែតុលាឆ្នាំ២០១៧ យុទ្ធនាការឆបោករួមមានឯកសារភ្ជាប់ក្លែងបន្លំដូចជាឯកសារពន្ធ IRS ដែលចែកចាយ jRAT (aka) Adwind RAT

•នៅខែកុម្ភះឆ្នាំ២០១៨ អ៊ីម៉ែលក្លែងបន្លំធ្វើសកម្មភាពបន្លំបង្កើតជាការទំនាក់ទំនងតាមប្រព័ន្ធ SWIFT ចែកចាយចែកចាយ Adwind RAT

•នៅខែមេសាឆ្នាំ២០១៨ យុទ្ធនាការបន្លំសារឥតបានការបានចែកចាយកញ្ចប់ Adwind-XRAT-LokiBot  និងកញ្ចប់ Adwind-DUNIHI backdoor

•ក្រុមហ៊ុន Symantec ព្រមានអំពីការកើនឡើងនូវអ៊ីម៉ែលសារឥតបានការដែលចែកចាយ Adwind RAT ដោយក្នុងនោះមានអ៊ីម៉ែលចំនួន ១.៥៥លានត្រូវគេផ្ញើនៅក្នុងខែតុលាឆ្នាំ ២០១៧ និងអ៊ីម៉ែលចំនួន ១,៣លានផ្សេងទៀតដែលត្រូវគេផ្ញើនៅក្នុងខែវិច្ឆិកាឆ្នាំ២០១៧ ។

Adwind ៣.០

នៅខែកញ្ញាឆ្នាំ២០១៨ ក្រុមអ្នកស្រាវជ្រាវប្រទះឃើញយុទ្ធនាការសារឥតការចែកចាយចែកចាយជំនាន់ថ្មីរបស់ Adwind ៣.០។ កំណែថ្មីនោះផ្តោតសំខាន់ទៅលើអ្នកប្រើប្រាស់ប្រព័ន្ធ Windows,  Linux និង Mac OSX ដែលមានសមត្ថភាពគេចផុតពីកម្មវិធីកម្ចាត់មេរោគ។ អ្នកស្រាវជ្រាវកំណត់ថា ជនរងគ្រោះភាគច្រើននៃយុទ្ធនាការថ្មីមានទីតាំងនៅប្រទេសទួរគី។

Adwind ពឹងផ្អែកលើ Houdini

ក្រុមអ្នកស្រាវជ្រាវសង្កេតឃើញថា Adwind RAT ពឹងផ្អែកលើ Trojan ដែលចូលដំណើរការពីចម្ងាយមួយទៀតហៅថា Houdini ចូលទៅក្នុងប្រព័ន្ធឆ្លង។ ពួកគេបញ្ជាក់ផងដែរថា Adwind RAT មានផ្ទុកបន្ទុកផ្សេងៗសម្រាប់ការដាក់ពង្រាយ៕

image

image