ក្រុមហេកឃ័រលាក់មេរោគនៅពីក្រោយរូបភាព PNG ដោយប្រើ Steganography

0

ការគំរាមកំហែងរបស់ Worok ដោយការចំលងឆ្លងមេរោគទៅកុំព្យូទ័ររបស់ជនរងដែលលាក់នៅក្នុងរូបភាព PNG ដើម្បីលួចព័ត៌មាន​​ដោយប្រើជំនួយពីបច្ចេកទេស Steganography ធ្វើឱ្យពិបាកក្នុងការរកឃើញដោយម៉ាស៊ីនស្កេនមេរោគ។

ដូចដែលបានអះអាងដោយអ្នកជំនាញនៅ Avast ការរកឃើញនេះបានចេញពីតំណភ្ជាប់ដ៏សំខាន់បំផុតមួយនៅក្នុងខ្សែសង្វាក់នៃការចំលងមេរោគរបស់អ្នកគំរាមកំហែង ។​ ​រូបភាព PNG មេរោគទាំងនោះត្រូវបានប្រើប្រាស់ដោយក្រុមគំរាមកំហែងដើម្បីលាក់បាំងការលួចព័ត៌មាន ក្រោមការសន្មតថាជារូបភាព។

ក្នុងរយៈពេលពីរទៅបីខែកន្លងមកនេះ ESET បានបង្ហាញព័ត៌មានលម្អិតនៃការវាយប្រហារដែល Worok បានចាប់ផ្តើមប្រើដើម្បីប្រឆាំងនឹងក្រុមហ៊ុនដែលមានកេរ្តិ៍ឈ្មោះល្បីៗ និងភ្នាក់ងាររដ្ឋាភិបាលក្នុងតំបន់នៅក្នុងដូចខាងក្រោម៖

⦁ តំបន់មជ្ឈិមបូព៌ា
⦁ តំបន់អាស៊ី​អា​គ្នេ​យ៏
⦁ តំបន់អា​ព្រិច​ខាងត្បូង
ក្នុងនោះមានភាពស្រដៀងគ្នានៃយុទ្ធសាស្ត្រររបស់ Worok និងក្រុមគំរាមកំហែងរបស់ចិនដែលត្រូវបានគេស្គាល់ថា TA428 កំពុងប្រើយុទ្ធសាស្ត្រស្រដៀងគ្នា។

ខ្សែសង្វាក់សម្របសម្រួល
Steganography គឺជាបច្ចេកទេសដែលលាក់ស្គ្រីបនៅក្នុងរូបភាព PNG ដូចជាស៊េរីនៃការសម្របសម្រួលរបស់ Worok, ដែលប្រើប្រាស់កម្មវិធីមានមូលដ្ឋានលើ C ++ ត្រូវបានគេស្គាល់ថា “CLRLoad” ។
ដំបូង CLRLoader ត្រូវបានអនុវត្តដោយកូដសាមញ្ញដែលអនុវត្តផ្ទុក PNGLoader ដែលជាដំណាក់កាលទីពីរនៃការដំណើរការ។
ដើម្បីឌិកូដមេរោគដែលមាននៅក្នុងរូបភាព PNGLoad មានវិធីពីរប្រភេទផ្សេងគ្នា៖
⦁ PowerShell script
⦁ .NET C#-based
វាមានការពិបាកសម្រាប់ PowerShell ក្នុងការស្វែងរកស្គ្រីប ហើយថ្មីៗនេះពួកគេបានរកឃើញមេរោគថ្មីមួយដែលមានឈ្មោះថា DropboxControl ដែលជា spyware ដែលលួចព័ត៌មានក្នុងប្រព័ន្ធ។

មេរោគនៅក្នុងឯកសារ PNG
នៅពេលអ្នកមើលរូបភាពមួយវាត្រូវបានបើកជាមួយកូដរបស់ Steganographic ដែលមើលទៅវាហាក់ដូចជាឯកសាររូបភាពធម្មតា។

រូបភាពមួយត្រូវបានអ៊ិនកូដតាមរបៀបមួយដែលអនុញ្ញាតឱ្យកូដមេរោគ​​បង្កប់​ក្នុង​ bits នៃ​ pixel នីមួយៗនៃរូបភាពដោយប្រើបច្ចេកទេសដែលគេស្គាល់ថាជាការអ៊ិនកូដ “least significant bit” (LSB) ។ វាច្បាស់ណាស់ថា Worok មានបញ្ញាខ្ពស់ក្នុងគោលបំណងប្រមូលផ្តុំឯកសារដែលគេចាប់អារម្មណ៍។

ក្នុងនោះការវាយប្រហាររបស់ Worok បានប្រើឧបករណ៍ដែលមិនផ្លាស់ប្តូរ ដូច្នេះទំនងជាឧបករណ៍ទាំងនេះត្រូវបានប្រើប្រាស់ដោយក្រុមពួកគេផ្ទាល់ដើម្បីធ្វើការវាយប្រហារ។

ប្រភព ថ្ងៃទី ១៦ ខែ១១ ឆ្នាំ២០២២

LEAVE A REPLY

Please enter your comment!
Please enter your name here