មេរោគ QBot សម្ងំនៅក្នុង IPs ដើម្បីវាយប្រហារ

0

មេរោគ QBot ត្រូវបង្ហាញថា មានតួលេខរហូតដល់ទៅ ២៥ភាគរយ នៃ C2 servers ដែលមានសកម្មភាពក្នុងរយៈពេល១ថ្ងៃ។ ជាងនេះទៀត ៥០ភាគរយនៃម៉ាសុីនមេមិនមានសកម្មភាពជាង១សប្តាហ៍ ដែលបង្ហាញពីការប្រើនៃ C2 infrastructure បើយោងតាមសំដីរបស់ Lumen Black Lotus Labs។ មេរោគនេះចាប់យកបច្ចេកទេសលាក់ហេដ្ឋារចនាសម្ព័ន្ធរបស់វានៅក្នុង residential IP space និង web servers ដែលចម្លងមេរោគ ខណៈពេលដែលវាលាក់ខ្លួននៅក្នុងបណ្តាញណែតវកនៃ virtual private servers (VPSs) ដែលបង្ហោះ បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។

មេរោគ QBot ក៏ត្រូវគេហៅឈ្មោះថា QakBot and Pinkslipbot ជាតួអង្គគំរាមកំហែងដ៏ពូកែនិងចំណាស់ ដែលចាប់ផ្តើមជាមេរោគធនាគារមុនពេលវាចូលខ្លួនជាអ្នកដោនឡូត payloads ផ្សេងរួមមានជាផ្នែកមួយនៃមេរោគចាប់ជម្រិតដែរនោះ។ វាមានដើមកំណើតតាំងពីឆ្នាំ២០០៧។ មេរោគនេះមាននៅលើឧបករណ៍ជនរងគ្រោះតាមរយៈអុីម៉ែល spear-phishing ដែលមានឯកសារបោកបញ្ឆោត ឬផ្ទុក URLs ដែលនាំទៅកាន់ឯកសារបន្លំ។

ហេគឃ័រនៅពីក្រោយមេរោគ QBot បន្តអភិវឌ្ឍតិចនិចរបស់ខ្លួនជាច្រើនឆ្នាំ ដើម្បីច្រៀតចូលប្រព័ន្ធជនរងគ្រោះ ដែលប្រើបច្ចេកទេសផ្សេងៗដូចជា email thread hijacking, HTML smuggling និងដាក់ពង្រាយឯកសាភ្ជាប់ដើម្បីបញ្ឆោតជនរងគ្រោះ។ ជាងនេះទៀត មេរោគ QBot’s malspam កំពុងតែផ្ទុះខ្លាំងដោយមានការវាយប្រហារតិចតួច ប៉ុន្តែមានសកម្មភាពជាអ្នកចម្លងមេរោគ។ ខណៈពេលដែល មេរោគ QBot ចាប់ផ្តើមនៅឆ្នាំ២០២៣ វាប្រើវុិចទ័រ Microsoft OneNote ជាការឈ្លានពាន ដែលនៅក្នុងការវាយប្រហារនាពេលថ្មីៗនេះ វាប្រើ protected PDF files ដើម្បីដំឡើងមេរោគនៅលើម៉ាសុីនជនរងគ្រោះ។ មេរោគ QakBot ពឹងលើ web servers ដែលសម្របសម្រួលនិងបង្ហោះនៅក្នុង residential IP space សម្រាប់ C2 បម្លែងដើម្បីបន្តជីវិត និងបោះដៃបន្តទៅម៉ាសុីនមេពី៧០ ទៅ ៩០ កើតមាននៅក្នុងរយៈពេល ៧ថ្ងៃជាមធ្យម។

យោងតាមទិន្នន័យចេញដោយ Team Cymru កាលពីខែមុនបង្ហាញថា មេរោគ QakBot bot C2 servers ត្រូវសង្ស័យថាសម្របសម្រួលម៉ាសុីន hosts ដែលត្រូវទិញពីអ្នកផ្គត់ផ្គង់ភាគីទី៣ ដែលភាគច្រើនមានទីតាំងនៅប្រទេសឥណ្ឌា កាលពីខែមីនា ឆ្នាំ២០២៣។ អ្នកស្រាវជ្រាវសន្និិដ្ឋានថា មេរោគ Qakbot ជួបនឹងបញ្ហាហើយផ្លាស់ប្តូរវិធីសាស្រ្តដើម្បីបង្កើត និងអភិវឌ្ឍបច្ចេកទេសរបស់ខ្លួន។ ខណៈពេលដែលមេរោគមិនពឹងលើចំនួនដ៏ច្រើនដូចជាមេរោគ Emotet វាបង្ហាញពីបច្ចេកទេសដោយផ្លាស់ប្តូរវិធីសាស្រ្តចូលប្រើដំបូង និងចាប់ផ្តើមមានលំនឹងនៅក្នុង C2 architecture៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here