ហេគឃ័រប្រើមេរោគ Gootkit malware ជាឧបករណ៍ចម្លងមេរោគដោយបន្ថែមនូវសមាសធាតុថ្មី និងភាពស្មុគស្មាញ។ អ្នកជំនាញជួរមុខរបស់ក្រុមហ៊ុនហ្គូហ្គលកំពុងតែត្រួតពិនិត្យមើលសកម្មភាពរបស់ក្រុមហេគឃ័រ UNC2565 ហើយកត់សម្គាល់ឃើញថាប្រើមេរោគនេះផ្តាច់មុខ។
មេរោគ Gootkit ឬ Gootloader ត្រូវដាក់ពង្រាយតាមរយៈគេហទំព័រ ហើយបញ្ឆោតជនរងគ្រោះនៅពេលកំពុងស្រាវជ្រាវឯកសារទាក់ទងនឹងកិច្ចព្រមព្រៀង និងកុងត្រា ដោយបំភាន់ search engine optimization (SEO)។ ជាទូទៅ ឯកសារភ្ជាប់មានទម្រង់ជា ZIP archives ដែលប្រមូលមេរោគ JavaScript malware នៅពេលដាក់បញ្ចូល និងរកមធ្យោបាយបន្ថែម payloads តាមរយៈមេរោគ Cobalt Strike Beacon, FONELAUNCH និង SNOWCONE។
មេរោគ FONELAUNCH គឺជាមេរោគដែលត្រូវបង្កើតឡើងដោយមានមូលដ្ឋាន .NET-based loader ដើម្បីបំលែងកូដចូលទៅក្នុងអង្គចងចាំ និង SNOWCONE គឺជាអ្នកដោនឡូតដែលមានតួនាទីទទួលយក payloads ដំណាក់កាលបន្ទាប់ ឬជាប្រភេទ IcedID តាមរយៈ HTTP។ ខណៈដែលគោលដៅនៃមេរោគ Gootkit មិនផ្លាស់ប្តូរ ការវាយប្រហារត្រូវធ្វើបច្ចុប្បន្នភាព ដោយឯកសារ JavaScript នៅក្នុង ZIP archive ត្រូវបញ្ជូន និងមានផ្ទុកឯកសារ JavaScript ដែលប្រតិបត្តិមេរោគ malware។
មេរោគ GOOTLOADER.POWERSHELL ត្រូវរកឃើញនៅខែវិច្ឆិកា ឆ្នាំ២០២២។ គួរកត់សម្គាល់ផងដែរថា ការចម្លងមេរោគនេះត្រូវកត់ត្រាដោយ Trend Micro កាលពីដើមខែនេះ មេរោគ Gootkit មានគោលដៅវាយប្រហារលើវិស័យសុខាភិបាល។ មេរោគ Gootkit មានសមត្ថភាពលាក់កូដនៅក្នុង JavaScript libraries ដូចជា Chroma.js និង Underscore.js ដើម្បីគេចពីការរកឃើញ។ អ្នកស្រាវជ្រាវនៅ Mandiant ថ្លែងថា ការផ្លាស់ប្តូរទាំងនេះគឺជាឧទាហរណ៍នៃការអភិវឌ្ឍ និងការរីកចម្រើនរបស់ក្រុម UNC2565៕
ប្រែសម្រួលដោយ៖ កញ្ញា
