ព័ត៌មាន

JhoneRAT – ក្រុមហេគឃ័រដំណើរការនូវ Python RAT ដែលផ្អែកនៅលើ Cloud ដើម្បីលួចទិន្នន័យចេញពី Google Drive, Twitter & Google Forms

Wednesday, ទី22 January, ឆ្នាំ2020 00:01 am 0

ក្រុមអ្នកស្រាវជ្រាវរកឃើញ Python RAT“ JhoneRAT” ថ្មីដែលចម្លងតាមរយៈឯកសារ word ដើម្បីលួចយកទិន្នន័យសំខាន់ពីសេវា cloud-based ជាច្រើនដូចជា Google Drive, Twitter, ImgBB និងGoogle Forms។ JhoneRAT ផ្តោតសំខាន់ទៅលើបណ្តាប្រទេសដែលនិយាយភាសាអារ៉ាប់ដូចជាអារ៉ាប៊ីសោឌីអ៊ីរ៉ាក់ អេហ្ស៊ីប លីប៊ី អាល់ហ្សេរី ម៉ារ៉ុក ទុយនីស៊ី អូម៉ង់ យេម៉ែន ស៊ីរី អារ៉ាប់ គុយវែត បារ៉ែន និងលីបង់។ ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា ភ្នាក់ងារគំរាមកំហែងនៅក្រោយការវាយប្រហារនេះជាអ្នកអភិវឌ្ឍន៍ RAT និងជ្រើសរើសគោលដៅនៅក្នុងប្រទេសផ្សេងៗគ្នាដោយផ្អែកលើប្រភេទក្តារចុចរបស់ជនរងគ្រោះ។ RAT ធ្វើការនៅក្នុងស្រទាប់ជាច្រើនដែលប្រើ cloud និងចែកចាយមេរោគតាមរយៈឯកសារព្យាបាទដើម្បីទាញយកភាពងាយរងគ្រោះដែលល្បីដើម្បីទាញយក payload។ 

image

ដើម្បីរួចផុតពីបញ្ជីខ្មៅ អ្នកវាយប្រហារប្រើ cloud ល្បី ៗដើម្បីផ្តល់សេវាជូន ដូចជា Google និង Twitter និង ImgBB។ “មេរោគ JhoneRAT ត្រូវបែងចែកជាពីរស្រទាប់ – ស្រទាប់នីមួយៗទាញយក payload ថ្មីនៅលើអ្នកផ្តល់សេវា cloud ដើម្បីទទួល RAT ចុងក្រោយដែលត្រូវគេអភិវឌ្ឍនៅក្នុង Python”។ 

ផ្តោតលើសេវាកម្មcloud ផ្សេងៗគ្នា

អ្នកធ្វើសកម្មភាពគំរាមកំហែងប្រើសេវាកម្ម cloud ចំនួន ៤ផ្សេងគ្នាជំនួសឱ្យហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួនរបស់ពួកគេ ដែលកត្តានេះឱ្យពួកគេអាចគេចចេញពីការរកឃើញ និងធ្វើឱ្យមានផលលំបាកក្នុងការបែងចែកមេរោគដែលបង្កគ្រោះថ្នាក់ និងដំណើរការស្របច្បាប់។ ចាប់តាំងពីអ្នកផ្តល់សេវាកម្ម cloud ល្បីឈ្មោះប្រើ HTTPS ដែលបង្កើត MITM គឺវានាំឱ្យកម្មវីធីចាប់មេរោគមានភាពស្មុគស្មាញ និងមានផលលំបាកនៅក្នុងការចាប់សកម្មភាពដែលមានគ្រោះថ្នាក់។

image

ចម្លងគោលដៅតាមរយៈឯកសារមានអាវុធ

អ្នកស្រាវជ្រាវ Cisco កំណត់អត្តសញ្ញាណឯកសារ Microsoft Office មានគំនិតអាក្រក់មួយចំនួនដែលផ្សព្វផ្សាយតាមរយៈយុទ្ធនាការអ៊ីម៉ែលឥតការ។ កត្តានេះជំរុញឱ្យជនរងគ្រោះបើកសា ដោយមានការអះអាងថា ឯកសារនោះមានព័ត៌មានបន្ទាន់។ឯកសារព្យាបាទមានផ្ទុក Macro ដែលត្រូវគេប្រើប្រាស់នៅពេលជនរងគ្រោះបើកឯកសារដោយចុច“ បើកការកែសំរួល” (“Enable Editing”)។ ឯកសារបំបែកជាច្រើនត្រូវគេកំណត់អត្តសញ្ញាណនៅក្នុងយុទ្ធនាការ ហើយឯកសារការិយាល័យបន្ថែមដែលមាន Macro ត្រូវគេទាញយក និងប្រើប្រាស់។ ឯកសារមានទីតាំងនៅលើដ្រាយ Google ។ 

ឯកសារមេរោគលើដ្រាយ Google

អ្នកវាយប្រហារអនុវត្តតាមវិធីសាស្ត្រជាច្រើនដើម្បីចម្លងដល់ជនរងគ្រោះដោយប្រើសេវាកម្មcloud ៖

១.គំរូរមេរោគលើដ្រាយGoogle៖ គំរូរនោះមានទីតាំងលើដ្រាយ Google Drive  ដែលមានផ្ទុក macro។

២.ហ្វាលរូបភាពនៅលើដ្រាយ Google៖ មានការទាញយកហ្វាលរូបភាព ដែលជារូបភាពពិតជាមួយ ប្រព័ន្ធគោលពីរ  អ៊ីនកូដ base៦៤ នៅខាងចុង។

៣.ហ្វាលស្វ័យប្រវត្តិ៖ ទិន្ន័យឌីកូដ base៦៤ គឺជា AutoIT ប្រព័ន្ធគោលពីរ។ ប្រព័ន្ធគោលពីរ ទាញយកហ្វាលថ្មីនៅលើដ្រាយ Drive។

៤.Python RAT ប្រើប្រាស់សេវា Cloud៖  payloadចុងក្រោយដែលទម្លាក់ដំណើរការទៅ tool (RAT)ត្រូវសរសេរនៅក្នុង Python។

រូប screenshots ត្រូវកែច្នៃតាមរយៈ ImgBB

អ្នកស្រាវជ្រាវដាក់ឈ្មោះ python RAT ជា JhoneRAT និងកូដ python គឺត្រូវគេខ្ជប់ និងប្រើប្រាស់ ដោយប្រើ PyInsaller។ JhoneRAT ក៏ប្រើcommand ចំនួនបី៖

  • ថតរូប screenshot និងទាញរូបចូលទៅ ImgBB

  • ប្រព័ន្ធគោលពីរ មានរូបភាពពីដ្រាយ Google និងប្រើប្រាស់វា

  • ប្រើcommand និងផ្ញើរ output ទៅកាន់វេទិកា Google

ការប្រើប្រាស់ Python RAT នេះ តួអង្គគំរាមកំហែងផ្តោតជាពិសេសទៅលើបណ្តាប្រទេសនិយាយមជ្ឈឹមបូព៌ា និងអារ៉ាប់។ ពួកគេក៏អនុវត្តនូវកម្មវិធីប្រឆាំងនឹង VM (និង sandbox) និងប្រើប្រាស់ល្បិចដើម្បីលាក់សកម្មភាពមេរោគ ពីអ្នកវិភាគមេរោគ។

Tags: