ការគំរាមកំហែងរបស់ Worok ដោយការចំលងឆ្លងមេរោគទៅកុំព្យូទ័ររបស់ជនរងដែលលាក់នៅក្នុងរូបភាព PNG ដើម្បីលួចព័ត៌មានដោយប្រើជំនួយពីបច្ចេកទេស Steganography ធ្វើឱ្យពិបាកក្នុងការរកឃើញដោយម៉ាស៊ីនស្កេនមេរោគ។
ដូចដែលបានអះអាងដោយអ្នកជំនាញនៅ Avast ការរកឃើញនេះបានចេញពីតំណភ្ជាប់ដ៏សំខាន់បំផុតមួយនៅក្នុងខ្សែសង្វាក់នៃការចំលងមេរោគរបស់អ្នកគំរាមកំហែង ។ រូបភាព PNG មេរោគទាំងនោះត្រូវបានប្រើប្រាស់ដោយក្រុមគំរាមកំហែងដើម្បីលាក់បាំងការលួចព័ត៌មាន ក្រោមការសន្មតថាជារូបភាព។
ក្នុងរយៈពេលពីរទៅបីខែកន្លងមកនេះ ESET បានបង្ហាញព័ត៌មានលម្អិតនៃការវាយប្រហារដែល Worok បានចាប់ផ្តើមប្រើដើម្បីប្រឆាំងនឹងក្រុមហ៊ុនដែលមានកេរ្តិ៍ឈ្មោះល្បីៗ និងភ្នាក់ងាររដ្ឋាភិបាលក្នុងតំបន់នៅក្នុងដូចខាងក្រោម៖
⦁ តំបន់មជ្ឈិមបូព៌ា
⦁ តំបន់អាស៊ីអាគ្នេយ៏
⦁ តំបន់អាព្រិចខាងត្បូង
ក្នុងនោះមានភាពស្រដៀងគ្នានៃយុទ្ធសាស្ត្រររបស់ Worok និងក្រុមគំរាមកំហែងរបស់ចិនដែលត្រូវបានគេស្គាល់ថា TA428 កំពុងប្រើយុទ្ធសាស្ត្រស្រដៀងគ្នា។
ខ្សែសង្វាក់សម្របសម្រួល
Steganography គឺជាបច្ចេកទេសដែលលាក់ស្គ្រីបនៅក្នុងរូបភាព PNG ដូចជាស៊េរីនៃការសម្របសម្រួលរបស់ Worok, ដែលប្រើប្រាស់កម្មវិធីមានមូលដ្ឋានលើ C ++ ត្រូវបានគេស្គាល់ថា “CLRLoad” ។
ដំបូង CLRLoader ត្រូវបានអនុវត្តដោយកូដសាមញ្ញដែលអនុវត្តផ្ទុក PNGLoader ដែលជាដំណាក់កាលទីពីរនៃការដំណើរការ។
ដើម្បីឌិកូដមេរោគដែលមាននៅក្នុងរូបភាព PNGLoad មានវិធីពីរប្រភេទផ្សេងគ្នា៖
⦁ PowerShell script
⦁ .NET C#-based
វាមានការពិបាកសម្រាប់ PowerShell ក្នុងការស្វែងរកស្គ្រីប ហើយថ្មីៗនេះពួកគេបានរកឃើញមេរោគថ្មីមួយដែលមានឈ្មោះថា DropboxControl ដែលជា spyware ដែលលួចព័ត៌មានក្នុងប្រព័ន្ធ។
មេរោគនៅក្នុងឯកសារ PNG
នៅពេលអ្នកមើលរូបភាពមួយវាត្រូវបានបើកជាមួយកូដរបស់ Steganographic ដែលមើលទៅវាហាក់ដូចជាឯកសាររូបភាពធម្មតា។
រូបភាពមួយត្រូវបានអ៊ិនកូដតាមរបៀបមួយដែលអនុញ្ញាតឱ្យកូដមេរោគបង្កប់ក្នុង bits នៃ pixel នីមួយៗនៃរូបភាពដោយប្រើបច្ចេកទេសដែលគេស្គាល់ថាជាការអ៊ិនកូដ “least significant bit” (LSB) ។ វាច្បាស់ណាស់ថា Worok មានបញ្ញាខ្ពស់ក្នុងគោលបំណងប្រមូលផ្តុំឯកសារដែលគេចាប់អារម្មណ៍។
ក្នុងនោះការវាយប្រហាររបស់ Worok បានប្រើឧបករណ៍ដែលមិនផ្លាស់ប្តូរ ដូច្នេះទំនងជាឧបករណ៍ទាំងនេះត្រូវបានប្រើប្រាស់ដោយក្រុមពួកគេផ្ទាល់ដើម្បីធ្វើការវាយប្រហារ។
ប្រភព ថ្ងៃទី ១៦ ខែ១១ ឆ្នាំ២០២២
