មានគម្រូមេរោគជាច្រើនត្រូវបានបង្កើតឡើងសម្រាប់វាយប្រហារប្រព័ន្ធរងរបស់ Window Subsystem ដែលដំណើរការ Linux (WSL) ក្នុងគោលបំណងសម្របសម្រួលម៉ាស៊ីន Windows ដើម្បីរំលេចវិធី លាក់ (sneaky method) ដែលអនុញ្ញាតឱ្យអ្នកប្រតិបត្តិអាចតាមដាន និងជៀសពីការរកឃើញរបស់ ម៉ាស៊ីនប្រឆាំងមេរោគ។
“Distinct tradecraft” បានក្លាយទៅជាគម្រូដំបូងដែលហេគឃ័រអាចប្រើ WSL ដើម្បីតំឡើង payloads។
អ្នកស្រាវជ្រាវពី Lumen Black Lotus Labs បានថ្លែងនៅក្នុងការចេញផ្សាយកាលពីថ្ងៃព្រហស្បតិ៍ថា៖ “ឯកសារទាំងនេះដើរតួជា loaders running a payload ដែលត្រូវបានបង្កប់នៅក្នុងគម្រូ ឬទាញចេញពី ការបញ្ជារបស់ម៉ាស៊ីនមេ បន្ទាប់មកចាក់បញ្ចូលទៅក្នុងដំណើរការដោយប្រើ Windows API calls”។
ប្រព័ន្ធ Windows Subsystem for Linux ត្រូវបានបញ្ចេញកាលពីខែសីហា ឆ្នាំ២០១៦ គឺជា compatibility layer ដែលត្រូវបានបង្កើតឡើងសម្រាប់ដំណើរការ Linux binary executables (in ELF format) នៅលើ Window platform ដោយមិនត្រូវការ traditional virtual machine or dual-boot setup។
នៅពេលថ្មីៗនេះ ជាមួយនឹងស៊េរី Linux binaries បាន uploaded រៀងរាល់ពីពីរ ទៅបីសប្តាហ៍រហូត ដល់ខែសីហា ឆ្នាំ២០២១។ មិនត្រឹមតែជាគម្រូសរសេរនៅក្នុង Python 3 និងបំលែងទៅជា ELF executable ជាមួយនឹង PyInstaller ប៉ុណ្ណោះទេ ថែមទាំងឯកសារត្រូវបានបង្កើតឡើងដើម្បី download shellcode ពី remote command-and-control server និងប្រើ Powershell ដើម្បីដំណើរការសកម្មភាព នៅលើ host ដែលឆ្លងមេរោគទៀត។
“Shellcode” payload ទីពីរនេះ ត្រូវបានចាក់បញ្ចូលទៅក្នុងប្រព័ន្ធដំណើរការដោយប្រើ Windows API calls ត្រូវបានពណ៌នាជា “ELF to Windows binary file execution” ប៉ុន្តែមិនមែនដើរមុនគម្រូចង់បញ្ចប់ កម្មវិធីវិធីកម្ចាត់មេរោគ និងឧបករណ៍វិភាគដំណើរការនៅលើម៉ាស៊ីននោះទេ។ ជាងនេះទៀត ការប្រើ standard Python libraries ធ្វើឱ្យវ៉ារ្យង់មួយចំនួនអាចដំណើរការបានទាំងនៅលើ Windows and Linux
អ្នកស្រាវជ្រាវបានថ្លែងថា៖ “រហូតមកដល់ពេលនេះ យើងបានកំណត់ចំនួនគម្រូមេរោគដែលមាន IP address តែមួយប៉ុណ្ណោះ ដែលបង្ហាញថាសកម្មភាពនេះគឺពិតជានៅមានកម្រិតនៅក្នុងការអភិវឌ្ឍ”។ “ខណៈពេលដែលព្រំដែនខុសគ្នារវាងប្រព័ន្ធដំណើរការនៅមានភាពមិនច្បាស់លាស់នោះ ហេគឃ័រ នឹងនៅតែអាចទាញយកផលប្រយោជន៍ពីការវាយប្រហារថ្មី”។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៧ ខែកញ្ញា ឆ្នាំ២០២១
ប្រែសម្រួលដោយ៖ កញ្ញា
