ព័ត៌មាន

ក្រុមហេគឃ័រប្រើប្រាស់នូវយុទ្ធសាស្រ្ត steganography ដើម្បីទម្លាក់មេរោគ Powload Malware និងលាក់ទុកចរាចរណ៍នៃការឈ្លានពានរបស់ពួកគេ

ឧក្រិដ្ឋជនអ៊ិនធឺណិតស្ថិតលើមធ្យោបាយក្នុងការផ្សព្វផ្សាយមេរោគ Powload ដោយមាន​ជំនួយ​ពី steganography ដើម្បីចម្លងលើប្រព័ន្ធគោលដៅ។ សកម្មភាពរបស់យុទ្ធនាការ​ចែកចាយចែកចាយមេរោគកើតមានតាំងពីឆ្នាំ២០១៨ តាមរយៈបច្ចេកវិជ្ជាគ្មានឯកសារ ​និងការប្លន់​គណនីអ៊ីម៉េលដើម្បីបញ្ចូនមេរោគលួចព័ត៌មានដូចជា Emotet និង Ursnif ។

 image

ការវាយប្រហារថ្មីៗនេះប្រើបច្ចេកទេស Steganography ដោយអ្នកវាយប្រហារ​ប្តូរពីវិធីសាស្ដ្រ​វាយប្រហារដោយគ្មានឯកសារ (ទៅចម្លងមេរោគដោយផ្ទាល់) ដោយប្តូរទៅធ្វើបន្ថែម​ដំណាក់ កាលផ្សេងទៀតដើម្បីបញ្ជូនមេរោគជៀសវាងពីការរកឃើញ។ 

Steganography ជាវិធីសាស្រ្តមួយដែលអ្នកវាយប្រហារប្រើប្រាស់ដើម្បីលាក់កូដគ្រោះថ្នាក់​ ក្នុងរូបភាព ដែលជាទូរទីឧបករណ៍បំពានប្រើដើម្បីលាក់ចរាចរណ៍មរោគ malvertising នេះ។ បច្ចេកទេសនេះជាវិធីសាស្ត្រតែមួយគត់ដែលអ្នកវាយប្រហារប្រើដើម្បីទម្លាក់​ និងប្រតិបត្តិ​មេរោគល្បី​ឈ្មោះដូច​ជា Ursnif និង Bebloh គឺ steganography ក្នុងដំណើរការចម្លង។

image

វិធីសាស្រ្ត Steganography ប្រើដោយមេរោគ Powload

ក្នុងករណីនេះមេរោគ Powload បំពានលើស្គ្រីបដែលអាចរកបានជាសាធារណៈហៅថា (Invoke-PSImage) ដោយវាអាចអាចជួយបញ្ចូលស្គ្រីបគ្រោះថ្នាក់ក្នុងភីកសែលរបស់ឯកសារ PNG ។​ ក្រោយមកអ្នកវាយប្រហាររំកិលទៅជិតជនរងគ្រោះតាមរយៈយុទ្ធនាការអ៊ីម៉េល  សារ ឥតបានការ ដែលមានឯកសារកូដម៉ាក្រូបង្កប់។ក្នុងករណីនេះ អ្នកវាយប្រហារប្រើបច្ចេកទេសសង្គមសង្គមផ្សេងៗ ដើម្បីល្បួងអ្នកប្រើប្រាស់ឱ្យ ទាញយកឯកសារភ្ជាប់ហើយចុចលើវា។ប្រព័ន្ធឆ្លងនៅពេលដែលជនរងគ្រោះចុចលើឯកសារ PowerShell នឹងដំណើរការហើយទាញយក រូបភាពបង្ហោះលើអ៊ីនធឺណិតដែលមានកូដព្យាបាទ។

រូបភាពដែលមានកូដព្យាបាទ

យោងតាមការស្រាវជ្រាវ Trend Micro បង្ហាញឱ្យពី “វិធីសាស្រ្តសម្រាប់ការរកឃើញ​ក្នុង​គម្រូខុសគ្នាពីគំរូដែលយើងបានវិភាគ។ អ្នកខ្លះប្រើពាក្យបញ្ជា PowerShell “Get-Culture” ដើម្បីទទួលបានការកំណត់ក្នុងការកំណត់របស់កុំព្យូទ័រ។ អ្នកផ្សេងទៀតទទួលបាន​លក្ខណៈ សម្បត្តិ xlCountrySetting (ផ្ដល់ព័ត៌មានអំពីការកំណត់តំបន់បច្ចុប្បន្ន) ក្នុង Excel ដើម្បីកំណត់​ទីតាំងរបស់ម៉ាស៊ីនដែលរងផលប៉ះពាល់។ ” 

ក្នុងករណីនេះកូដព្យាបាទ​ទទួលបានការប្រតិបត្តិ​ប្រសិនបើទីតាំងម៉ាស៊ីនមេរោគ xlCountrySetting ស្មើកម្រិត ៨១ (ជប៉ុន) ឬ ៨២ (ប្រទេសកូរ៉េ) ។ កត្តានេះអាចសម្រេចដោយប្រើឧបករណ៍ឥតគិតថ្លៃ (hxxp: //ipinfo.io/country) ដើម្បីជំនួយ ក្នុងការ​ត្រឡប់អាសយដ្ឋាន IP &#039ប្រទេស។  ការតាំងចិត្តចម្បងរបស់យុទ្ធនាការនេះគឺដើម្បីលួច ពត៌មានសំខាន់របស់ជនរងគ្រោះ ប៉ុន្តែអ្នកស្រាវជ្រាវជឿជាក់ថា Powload ផ្តល់នូវការចំណាយ​បន្ថែមទៀតដើម្បីធ្វើការងារដែលមានគ្រោះថ្នាក់ផ្សេងទៀត៕