Ryuk Ransomware Group ប្រើប្រាស់​ចំណុច​ងាយ​រងគ្រោះ Zerologon ដើម្បី​សំរេច​គោលបំណង​លឿន​ជាង​មុន

0

Ryuk Ransomware ត្រូវបាន​គេ​ស្គាល់​ថា​ជា​អ្នកកំណត់​គោលដៅ​ចងចាំ​សម្រាប់​អង្គភាពធំៗ ជាច្រើន​ទូទាំង​ពិភពលោក។ ជារឿយៗវា​ត្រូវបាន​ចែកចាយ​ដោយ​មេរោគ​ឯទៀត​ដូចជា Emotet or TrickBot? Ryuk Ransomware បាន​រកឃើញ​ដំបូង​នៅ​ខែសីហា ឆ្នាំ២០១៨ ចាប់តាំងពី​ពេលនោះ​មកវា​បាន​ឆ្លង​និង​លុកលុយ​ដល់​អង្គភាពផ្សេងៗ និង​លួច​យកប្រាក់​រាប់លាន​ដុល្លារ​ពី​ជនរងគ្រោះ។

ការវិភាគ​បានបង្ហាញ​ថា Ryuk គឺជា​គំហើញ​នៃ​ការអភិវឌ្ឍន៍​ទំនៀមទម្លាប់​របស់​ពពួក​មេរោគ​អេ​ឡិច​ត្រូ​និ​ចចាស់ៗដែល​ត្រូវបាន​គេ​ស្គាល់​ថា​ជា(Hermes)។ គេ​ជឿថា​ត្រូវបាន​ផ្តល់​សិទ្ធិ​ដោយ Stardust Chollima របស់​កូរ៉េខាងជើង (a.k.a. APT38 ដែល​គេ​ជឿថា ជាការ​បង្កើត​ប្រាក់ចំណូល​របស់​ក្រុមហ៊ុន APT Lazarus ដ៏​ល្បីឈ្មោះ)។

Ryuk និង Zerologon គឺជា​អ្នករងគ្រោះ​ដ៏​គ្រោះថ្នាក់​មួយ​ដែល​ត្រូវបាន​គេ​តាមដាន​ដូចជា CVE-2020-1472 ដោយសារតែ​កំហុស​នៅក្នុង​ដំណើរការ​ចុះឈ្មោះ​ចូល ដែល​អនុញ្ញាតឱ្យ​អ្នក​វាយប្រហារ​បង្កើត​ការភ្ជាប់​បណ្តាញ​សុវត្ថិភាព Netlogon ងាយ​រង​ប៉ះពាល់​ទៅនឹង​ឧបករណ៍​បញ្ជា​ដែន​កំណត់ ដោយ​ប្រើ Netlogon Protocol (MS-NRPC) ។ Ryuk ព្រមាន អ្នក​ប្រើ​ភាព​ងាយ​រងគ្រោះ Zerologon (CVE-២០២០-១៤៧២) ដើម្បី​ព្យាបាទ​ដល់​ប្រព័ន្ធ​ដែន​កំណត់​ក្នុង​រយៈពេល​ប្រហែល ៥ ម៉ោង។យើង​បានឃើញ​ការព្រមាន ជំរុញអោយមាន​បរិស្ថាន​តាមរយៈ​កម្មវិធី​ផ្ទុកមេរោគ។ នៅពេលនេះ​យើង​បានឃើញ​ពួកគេ​សម្រេច​គោលបំណង​បាន​លឿន​ជាង​មុន ប៉ុន្តែ​យុទ្ធសាស្ត្រ និង​បច្ចេកទេស​ទូទៅ នៅតែ​ស្រដៀង​គ្នា​រវាង​ឧប្បត្តិហេតុ​នានា។

ក្នុងករណីនេះ Ryuk បានដាក់​មេរោគ Bazar Loaderទំនើប ដែលជា​ផ្នែក​មួយ​នៃ​ក្រុម TrickBot ហើយ​វា​ផ្តោត​សំខាន់​លើ​គោលដៅ​ដែលមាន​តំលៃ​ខ្ពស់។អ្នក​វាយប្រហារ​បានចាប់ផ្តើម​ជា​អ្នកប្រើប្រាស់​កម្រិត​ទាប​ហើយ​ទាញយក​ភាព​ងាយ​រងគ្រោះ Zerologon (CVE-២០២០-១៤៧២) ដើម្បី​ទទួលបាន​សិទ្ធិ​ចូល​ប្រើ​ឧបករណ៍​បញ្ជា​ដែន​បឋម។

ចលនា​ខាងក្រោយ​បាន​ដោះស្រាយ​តាមរយៈ​ការផ្ទេរ​ឯកសារ SMB និង​ប្រតិបត្តិការ WMI នៅពេលដែល​ពួកគេ​ផ្លាស់ប្តូរ​ជាមួយ​ឧបករណ៍​បញ្ជា​បន្ទាប់ និង​អាច​ព្រមាន​តួអង្គ​ដែល​រកឃើញ​ដែន​កំណត់​ច្រើន​តាមរយៈ​ប្រព័ន្ធ Net និង ផ្នែក​កំណត់ត្រា​ដែល​សកម្ម​របស់ PowerShell ។ ក្នុង​រយៈពេល​ប្រហែល​ប្រាំ​ម៉ោង​អ្នក​វាយប្រហារ​បានបញ្ចប់​គោលបំណង​របស់គេ​ដោយ​ការប្រតិបត្តិ ransomware លើ​ឧបករណ៍​បញ្ជា​ដែន​បឋម។

នេះគឺជាអ្នកអាចរកឃើញការកំណត់ពេលវេលាពេញលេញ

រឿង​ដំបូង​ដែល​អ្នក​គួរ​ធ្វើ គឺ​ធ្វើការ​ជាមួយ​ផ្នែក​ព័ត៌មានវិទ្យា​របស់​អ្នក ដើម្បី​ធានាថា​បន្ទះ​ការពារ​ពី​ក្រុមហ៊ុន Microsoft ត្រូវបាន​អនុវត្ត​លើ​បណ្តាញ​របស់​អ្នកភ្លាមៗប្រសិនបើ​វា​មិនទាន់​បានធ្វើ​រួច។ បន្ទះ​ការពារ​ខែសីហា​ពី​ក្រុមហ៊ុន Microsoft ត្រូវបាន​បន្ថែម​លេខ​សម្គាល់​ព្រឹត្តិការណ៍​ចំនួន ៥ សម្រាប់​ការតភ្ជាប់​អ៊ីនធឺណិត​ដែល​ងាយ​រងគ្រោះ។ នៅពេល​ការភ្ជាប់​បណ្តាញ​សុវត្ថិភាព​ក្នុងដំណាក់កាល​ដាក់ពង្រាយ​ដំបូង​ត្រូវបាន​អនុញ្ញាត​លេខ​សម្គាល់​ព្រឹត្តិការណ៍ 5829 ត្រូវបាន​បង្កើត។

ប្រែសម្រួលៈ ឆាយ ពិសិដ្ឋ
ប្រភពព័ត៌មាន GBHackers on Security ( www.gbhackers.com )ផ្សាយថ្ងៃទី១៣ ខែតុលា ឆ្នាំ២០២០

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត Lynx នៅពីក្រោយការវាយប្រហារសាយប័រក្រុមហ៊ុនផ្គត់ផ្គង់ថាមពល Electrica

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប្រតិបត្តិការ PowerOFF ចុះបង្ក្រាបផ្លេតហ្វម DDoS-for-Hire ចំនួន២៧

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

លោក Wyden ស្នើច្បាប់ការពារទូរគមនាគមន៍អាមេរិក បន្ទាប់ពីក្រុម Salt Typhoon ហេគ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

សម្រាប់ Patch Tuesday ខែធ្នូ ឆ្នាំ២០២៤ ក្រុមហ៊ុន Microsoft ដោះស្រាយបញ្ហា Zero-day ចំនួន១ និងកំហុសចំនួន៧១

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិតវាយប្រហារលើក្រុមហ៊ុនផលិតផលឧបករណ៍វះកាត់បេះដូងឈានមុខគេ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ផ្លេតហ្វម Radiant បានបាត់ប្រាក់គ្រីបតូ ៥០លានដុល្លារទៅលើហេគឃ័រកូរ៉េខាងជើង

LEAVE A REPLY

Please enter your comment!
Please enter your name here