ព័ត៌មាន

ពួកហេគឃ័រទម្លាក់នូវមេរោគ RevengeRAT Malware ទៅលើប្រព័ន្ធ Windows System តាមរយៈការប្រើប្រាស់ឯកសារ Word ជាអាវុធ

Thursday, ទី25 April, ឆ្នាំ2019 19:04 pm 0

យុទ្ធនាការវាយលុកថ្មីរបស់មេរោគមានឈ្មោះថា “Aggah” ផ្តោតលើប្រទេសផ្សេងៗតាម​រយៈ​ឯកសារមេរោគ ហើយវាឆ្លងទៅជនរងគ្រោះតាមរយៈការទម្លាក់មេរោគ RevengeRAT ពី Pastebin។ ក្រុមអ្នកស្រាវជ្រាវមកពី Palo Alto ថ្មីៗសង្កេតមើលយុទ្ធនាការពពួកមេរោគដ៏ធំ​បំផុតតាមរយៈ telemetry ហើយពួកគេបានដាក់ឈ្មោះថា Aggah ដោយផ្អែកលើឈ្មោះ​ក្លែងក្លាយ “Hagga” ។

តួអង្គគំរាមកំហែងនៅពីក្រោយយុទ្ធនាការនេះប្រើ RevengeRAT ចូលតាមសាធារណៈ ដោយអាចដំណើរការពីចម្ងាយ​ដែលមានដំណើរនៅគ្រប់ទីកន្លែងក្នុង​ប្រភពបើកចំហ។ អ្នកវាយប្រហារកំណត់គោលដៅលើអង្គការនានា​ក្នុងប្រទេសមជ្ឈឹម​បូព៌ា, បណ្តាប្រទេសដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិក ​អឺរ៉ុប​ និងអាស៊ី​ដើម្បីកំណត់​មុខជំនួញដូចជាបច្ចេកវិទ្យាលក់រាយ ការផលិត រដ្ឋ / រដ្ឋាភិបាលក្នុងតំបន់ បដិសណ្ឋារកិច្ច  វេជ្ជសាស្ត្របច្ចេកវិទ្យា និងអាជីវកម្ម  វិជ្ជាជីវៈផ្សេងទៀត។

Aggah Malware យុទ្ធនាការចម្លងមេរោគ​ Aggah

ជាទូទៅ មេរោគ Aggah ចែកចាយឯកសារមានគ្រោះថ្នាក់​តាមរយៈអ៊ីម៉ែលក្លែងក្លាយ​ដែល​មាន​អ៊ីម៉ែលស្របច្បាប់ពីស្ថាប័នហិរញ្ញវត្ថុធំមួយនៅមជ្ឈឹមបូព៌ា។ នៅពេលដែល​អ្នកប្រើចុច​លើឯកសារWord ភ្ជាប់ជាមួយឈ្មោះឯកសារ “Activity.doc” វាប៉ុនប៉ងផ្ទុកឯកសារ OLE ពីចម្ងាយតាមរយៈការចាក់បញ្ចូល Template។ ដូចគ្នានេះផងដែរ ​ ​ឯកសារ​មេរោគបោក បញ្ឆោតឱ្យអ្នកបើកដំណើរការមាតិកាដើម្បីដំណើរការម៉ាក្រូនិងបង្ខំអ្នកប្រើឱ្យបើកតែឯកសារ Microsoft Word តែប៉ុណ្នោះ។ ក្រោយមក ឯកសារ OLE ផ្ទុកឯកសារ Excel ផ្សេងទៀត​ ដែលមានម៉ាក្រូមិនច្បាស់លាស់ ដែលត្រូវឌីកូដ និងប្រតិបត្តិ URL ដូចខាងក្រោមតាមរយៈ ពាក្យបញ្ជា “Shell” ៖ mshta hxxp://www.bitly[.]com/SmexEaldos3។  នៅពេល​ដែលពាក្យ បញ្ជាត្រូវគេប្រតិបត្តិ ជនរងគ្រោះប្ដូរទៅប្លុកដែលបង្ហោះលើ blogspot [។ ] com រួមបញ្ចូល JavaScript ដែលបង្កប់សកម្មភាពជាច្រើនរួមទាំងការប៉ុនប៉ងរបស់​ខ្លួនដើម្បីបញ្ឈប់​ដំណើរ​ការរបស់ Microsoft Defender ដោយលុបសំណុំសញ្ញារបស់ខ្លួន។ យោងតាមការស្រាវ​ជ្រាវ Palo Alto, ស្គ្រីបដែលបង្ហោះនៅលើ Blogspotបន្ទាប់មកអនុវត្តសកម្មភាពសំខាន់ៗចំនួន​បីដែលរួមមាន:

  1. ទាញយក payload ពី Pastebin URL

  2. បង្កើតតារាងពេលវេលាសកម្មភាពដែលមានផ្ទុក និងដំណើរការស្គ្រីបពី Pastebin URL

  3. បង្កើត registry ដោយស្វ័យប្រវត្តិ ដើម្បីផ្ទុក និងដំណើរការស្គ្រីបពី Pastebin URL

ស្គ្រីបមេរោគឆ្លងនៅ Blogspot ដោយប្រើ URLដើម្បីផ្ទុក payload និងផ្តាច់ផ្ទេរ។ 
ការវិភាគបន្ថែមទៀតបានបង្ហាញថាការចំណាយត្រូវបានសរសេរជាភាសា។ ណេតនិងដាក់ឈ្មោះថា “ការផ្ទុះនុយក្លេអ៊ែរ” ដែលជាវ៉ារ្យ៉ង់នៃ RevengeRAT ។ ស្គ្រីបដែល​បង្ហោះនៅប្លុក Blogspot បង្កើតពាក្យបញ្ជាផ្សេងទៀតដើម្បីបង្កើតការងារ​ដែលកំណត់ពេល​ដែលមានឈ្មោះថា “eScan Backup” ដែលរត់គ្រប់ ១០០ នាទី។​”Revenge​RAT គឺជាមេរោគ Trojans លេចធ្លាយជាច្រើនដែលមាននៅក្នុងប្រភពបើកចំហរ​ដែលធ្វើឱ្យមានការប្រើប្រាស់​មេរោគ និងកកើតជាការវាយប្រហារពិបាក។ ” “ដើម្បីបង្កើតមេរោគ RevengeRAT ដែលប្រើ ក្នុងយុទ្ធនាការនេះ ភ្នាក់ងារនឹងប្រើ RevengeRAT ម៉ាស៊ីនបម្រើ​ដើម្បីចងក្រងនូវការប្រតិបត្តិ​ដែលកំណត់រចនាសម្ព័ន្ធជាមួយបរិបទត្រឹមត្រូវ។ “

image

image

image

Tags: