ក្រុមហ៊ុន OceanLotus APT Group ត្រូវបានគេស្គាល់ថាជា APT៣២, SeaLotus, និង CobaltKitty ប្រើឧបករណ៍ជំនួយពីចម្ងាយដែលមិនត្រូវបានគេរកឃើញដើម្បីប្រើសមត្ថភាពវាយប្រហារបណ្តាញ។ Trojan បានដំណើរការតាំងពីឆ្នាំ២០១៦ ហើយវាមានលក្ខណៈពិសេសដូចជា like packet sniffing, gateway/device ARP poisoning, DNS poisoning, HTTP injection, និង MAC spoofing ។ ក្រុមស្រាវជ្រាវពីការគំរាមកំហែងរបស់ Cylance បានរកឃើញគំរូ Ratsnif trojan ចំនួន ៤ផ្សេងគ្នា។ បីក្នុងចំណោមនោះត្រូវបានរកឃើញថាមានការអភិវឌ្ឍន៍នៅឆ្នាំ២០១៦ និងគំរូមួយនៅឆ្នាំ២០១៨។ វាគ្មានការប្រែប្រួលគួរឱ្យកត់សម្គាល់លើជំនាន់អភិវឌ្ឍន៍នៅឆ្នាំ២០១៦ទេ ហើយវាមានមុខងារដូចគ្នា។
គំរូទី៤ ត្រូវបានបង្កើតឡើងនៅឆមាសទី២ ឆ្នាំ២០១៨ ។ វាមានការផ្លាស់ប្តូរគួរឱ្យកត់សម្គាល់នៅពេលប្រៀបធៀបទៅនឹងកំណែមុន។ គំរូមុនៗពឹងផ្អែកទាំងស្រុងលើម៉ាស៊ីនមេC២ ចំណែកគំរូបច្ចុប្បន្នមិនពឹងផ្អែកលើម៉ាស៊ីនមេ C២ សម្រាប់ប្រតិបត្តិការទេ។ វាក៏រួមបញ្ចូលនូវមុខងារថ្មីៗមួយចំនួនដូចជា as HTTP injection, protocol parsing និង SSL hijacking ។ វាប្រើបណ្ណាល័យ WolfSSL សម្រាប់ការបំលែងកូដចរាចរណ៍និង http_parser.c សម្រាប់ការញែកចរាចរណ៍ HTTP។ គំរូថ្មីក៏រួមបញ្ចូលផងដែរដូចជា protocol parsing, ARP poisoning, DNS spoofing, HTTP redirection និង HTTP injection។
ការឆ្លងមេរោគច្រើនដំណាក់កាល Ratsnif
បន្ទុកដំបូងគឺ DLL ផ្ទុកដែលចម្លងលេខកូដសែលដំណាក់កាលទី១ចូលទៅក្នុងអង្គចងចាំហើយប្រតិបត្តិវាដែលវាពន្លាបន្ទុកដំណាក់កាលទី២ គឺជាលេខកូដសែលដែលដំណើរការទៅក្នុងអង្គចងចាំហើយភ្ជាប់មុខងារ API ជាច្រើនដែលទទួលខុសត្រូវក្នុងការបញ្ជាទិញត្រឡប់មកវិញ។ ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញកំហុសមួយនៅក្នុង Ratsnif ដែលអាចនាំឱ្យមានការរំលោភបំពានលើការអាននៅពេលកំពុងវិភាគលើប៉ារ៉ាម៉ែត្រជាក់លាក់មួយ (“dwn_ip ')។ អ្វីដែលកើតឡើងគឺថាតម្លៃត្រូវបានហុចជាខ្សែអក្សរហើយវាគួរតែត្រូវបានហុចជាទ្រនិចទៅខ្សែអក្សរ។
វ៉ារ្យ៉ង់ឆ្នាំ២០១៨ ប្រើ sniffers ជាច្រើនសម្រាប់ការប្រមូលព័ត៌មានរសើបពីកញ្ចប់ព័ត៌មាននិងកាត់បន្ថយការស្រង់ទិន្នន័យនិងកាត់បន្ថយដំណើរការ។ Ratsnif មានផ្ទុក Base៦៤ កូដ C២ URL ប៉ុន្តែ Trojan មិនត្រូវបានប្រើទេ។ ផ្ទុយទៅវិញ វាកត់ត្រាព័ត៌មានដែលចាប់បាននៅក្នុងអត្ថបទហើយប្រើម៉ូឌុលមួយផ្សេងទៀតដើម្បីបញ្ជាក់វា។ “ Ratsnif គឺជារបកគំហើញដ៏គួរឱ្យចាប់អារម្មណ៍មួយដោយពិចារណាទៅលើរយៈពេលដែលវាមិនទាន់ត្រូវបានរកឃើញនៅឡើយដោយសារតែការដាក់ពង្រាយមានកំណត់។ វាផ្តល់នូវការមើលឃើញដ៏កម្រមួយក្នុងរយៈពេលជាងពីរឆ្នាំនៃការអភិវឌ្ឍលក្ខណៈពិសេសដែលអនុញ្ញាតឱ្យយើងសង្កេតមើលពីរបៀបដែលអ្នកគំរាមគំហែងធ្វើសំភារៈតាមគោលបំណងដែលមិនសមហេតុផលរបស់ពួកគេ។ នៅក្នុងយុទ្ធនាការមុន OceanLotus ប្រើវិធីសាស្រ្ត steganography ដើម្បីលាក់បន្ទុកបន្ទុកមេរោគដែលបានអ៊ិនគ្រីបនៅក្នុងឯកសាររូបភាព .png ដើម្បីឆ្លងប្រព័ន្ធគោលដៅ។
