ព័ត៌មាន

រកឃើញចំណុចរងគ្រោះ EvilGnome backdoor​ថ្មីដែលមានគោលដៅទៅលើអ្នកប្រើប្រាស់ Linux

ព័ត៌មានសង្ខេប៖ អ្នកស្រាវជ្រាវកត់បង្ហាញថា EvilGnome មានប្រាំប្រភេទ(ម៉ូឌុល) មានដូចជា៖ ShooterAudio, ShooterImage, ShooterFile, ShooterPing និង ShooterKey។ មេរោគលីនុចនេះមានលទ្ធភាពធ្វើចារកម្មលើអ្នកប្រើប្រាស់ ថតរូបអេក្រង់លើតុ  ចាប់យកសំលេងពីម៉ៃក្រូហ្វូនរបស់អ្នកប្រើប្រាស់ លួចឯកសារ និងទាញយកទិន្ន័យផ្សេងទៀត។ ក្រុមអ្នកស្រាវជ្រាវមកពី Intezer Labs រកឃើញ Backdoor ថ្មីមានឈ្មោះថា &#039EvilGnome&#039 ដែលកំណត់គោលដៅលើអ្នកប្រើប្រាស់លីនុច ដោយក្លែងបន្លំជា Gnome shell ។

តើ EvilGnome មានសមត្ថភាពអ្វីខ្លះ?

មេរោគលីនុចនេះមានលទ្ធភាពធ្វើចារកម្មលើអ្នកប្រើប្រាស់ ថតរូបអេក្រង់លើតុ  ចាប់យកសំលេងពីម៉ៃក្រូហ្វូនរបស់អ្នកប្រើប្រាស់ លួចឯកសារ និងទាញយកទិន្ន័យផ្សេងទៀត។ អ្នកស្រាវជ្រាវនិយាយថា “ការដាក់បញ្ចូលមានមុខងារ Keylogger មិនទាន់ចប់មានយោបល់និមិត្តសញ្ញានិងទិន្នន័យមេតាចងក្រងដែលមិនត្រូវបានបង្ហាញនៅក្នុងកំណែផលិតកម្ម” ។

បច្ចុប្បន្នមេរោគនេះមិនទាន់ត្រូវបានរកឃើញដោយមុខងារប្រឆាំងមេរោគនៅលើ VirusTotal ទេ។  អ្នកស្រាវជ្រាវនិយាយថា “implant មានមុខងារជា keylogger មិនពេញលេញ, យោបល់(comments), ឈ្មោះនិមិត្តសញ្ញា(symbol names )​និងទិន្នន័យមេតា (metadata ) ដែលមិនបង្ហាញនៅក្នុងកំណែផលិតកម្ម” ។

តើម៉ូឌុលអ្វីខ្លួះដែលពង្រាយដោយមេរោគ?

អ្នកស្រាវជ្រាវរកឃើញថា EvilGnome មានប្រាំម៉ូឌុលដូចជា៖ShooterAudio, ShooterImage, ShooterFile, ShooterPing និង ShooterKey ។

  • ShooterAudio module រចនាឡើងដើម្បីចាប់សម្លេងពីទូរស័ព្ទរបស់អ្នកប្រើប្រាស់ និងផ្ទុកវាទៅកាន់ម៉ាស៊ីន C&C server.

  • ShooterImage module ថតយក captures screenshots និងផ្ទុកវាទៅកាន់ម៉ាស៊ីន C&C server

  • ShooterFile module រចនាដើម្បីស្កែនប្រព័ន្ធឯកសារពីហ្វាលដែលបង្កើតថ្មី

  • ShooterPing ទទួល commands ថ្មីពីម៉ាស៊ីន C&C server  លុបទិន្ន័យ និងទាញយក ឬ ប្រតិបត្តិការ payloads បន្ថែម

  • ShooterKey module មិនទាន់ត្រូវគេតេស្តសាក  ហើយអាចជា keylogging module ដែលមិនទាន់បញ្ចប់។

ព័ត៌មានលម្អិតបន្ថែមអំពីមេរោគ

Backdoor EvilGnome ត្រូវបានគេចែកចាយតាមរយៈបណ្ណសារដោយប្រើស្គ្រីបដោយខ្លួនឯងជាមួយនឹងទិន្នន័យមេតា(metadata) ទាំងអស់ដែលបង្កើតនៅពេលបង្កើតបណ្ណសារបន្ទុកដែលមាន malicious ភ្ជាប់ជាមួយបឋមកថារបស់វា។

  • EvilGnome នឹងបន្ថែមស្គ្រីប gnome-shell-ext.sh shell  មួយដើម្បីសម្របសម្រួលលើ crontab របស់ Linux desktop ដើម្បីឱ្យប្រាកដថាគ្រប់នាទីទាំងអស់គឺភ្នាក់ងារ spyware (spyware agent ) មានដំណើរការ។

  • ស្គ្រីប Gnome-shell-ext.sh ត្រូវបានចែកចាយអំឡុងពេលដំណាក់កាលចុងក្រោយនៃការចម្លង ដោយបើកដំណើរការភ្នាក់ងារ spyware gnome-shell-ext ។

  • ការកំណត់មេរោគកំព្យូទ័រផ្ទុកឡើងនៅក្នុងឯកសារ rtp.dat ដែលគេចងក្រងនៅក្នុងប័ណ្ណសារទាញយកដោយខ្លួនឯង អនុញ្ញាតឱ្យ Backdoor ទទួលបានអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ C&C server។

ចរាចរណ៍ទាំងអស់ដែលផ្ញើទៅ និងចេញពីម៉ាស៊ីនមេ C & C របស់មេរោគត្រូវបានអ៊ិនគ្រីបនិងឌិគ្រីបដោយលេខកូដស៊ីមេទ្រី RC5 បិទម៉ាស៊ីនដោយប្រើគ្រាប់ចុចដូចគ្នា ជាមួយនឹងជំនួយពីបណ្ណាល័យប្រភពបើកចំហ RC5Simple (open-source library) ។

ការតភ្ជាប់ជាមួយ Gamaredon Group

  • ប្រតិបត្តិករ EvilGnome ប្រើអ្នកផ្តល់សេវាបង្ហោះ(hosting provider ) ដែលត្រូវ Gamaredon Group ប្រើប្រាស់អស់រយៈពេលជាច្រើនឆ្នាំ។

  • មេរោគ EvilGnome ដំណើរការលើអាសយដ្ឋាន IP ដែលត្រូវបានគ្រប់គ្រងដោយក្រុម Gamaredon កាលពីរយៈពីរខែមុន។

  • ម៉ាស៊ីនបម្រើ SSH បំរើការនៅលើផត ៣៤៣៦ ទាំងនៅលើ EvilGnome C & C និង C & C របស់ Gamaredon ។.

ក្រុមអ្នកស្រាវជ្រាវនិយាយថា “បច្ចេកទេស និងម៉ូឌុលប្រើដោយ EvilGnome គឺការប្រើ SFX ជាមួយកម្មវិធីកំណត់ភារកិច្ច និងការដាក់ពង្រាយឧបករណ៍លួចព័ត៌មាន(information stealing tools )  រំឭកយើងពីឧបករណ៍ Windows របស់ហ្គាម៉ារ៉ុនដុង” ។

image

image