យុទ្ធនាការវាយប្រហារសាយប័រថ្មីត្រូវបានគេមើលឃើញថា កំពុងតែបន្លំប្រើឯកសារកម្មវិធី MSIX Windows ដ៏ពេញនិយមដូចជា Google Chrome, Microsoft Edge, Brave, Grammarly និង Cisco Webex ដើម្បីចែកចាយមេរោគ Malware Loader ឈ្មោះ GHOSTPULSE។
អ្នកស្រាវជ្រាវនៅ Elastic Security Labs បានថ្លែងថា MSIX គឺជាទម្រង់កញ្ចប់ (Package) កម្មវិធី Window ដែលអ្នកអភិវឌ្ឍអាចបង្កើន Package, ចែកចាយ និងដំឡើងកម្មវិធីរបស់ពួកគេនៅលើ Windows។ ទោះជាយ៉ាងណា MSIX តម្រូវឱ្យទិញ ឬលួចកូដ Signing Certificates ដើម្បីឱ្យពួកគេអាចចូលក្នុងក្រុម ដំណើរការខាងលើ (Above-Average Resources)។ ដោយសារតែមានការបន្លំកម្មវិធីដំឡើងត្រូវបានគេសង្ស័យថា ហេគឃ័រលួងក្រុមគោលដៅឱ្យដោនឡូត MSIX Package តាមរយៈការធ្វើ Compromised Websites, ការបំពុល Search Engine Optimization (SEO) ឬក៏ការផ្សព្វផ្សាយពាណិជ្ជកម្មមិនពិត។ បើកដំណើរការ MSIX File ដើម្បីអាចបើក Windows ដោយជំរុញឲ្យអ្នកប្រើប្រាស់ ចុចលើប៊ូតុងដំឡើង (Install), ការធ្វើបែបនេះបង្កឱ្យមានការលួចដោនឡូត GHOSTPULSE ដោយការគ្រប់គ្រងលើ Host តាមរយៈការ Remote ទៅកាន់ Server (“manojsingnegi.com”) តាមរយៈការប្រើប្រាស់ PowerShell Script។
ដំណើរការនេះត្រូវការឆ្លងកាត់ច្រើនដំណាក់កាល ដោយ Payload ដំបូងគឺជា TAR Archive File ដែលមានផ្ទុកប្រតិបត្តិការដែលបន្លំជា Oracle VM VirtualBox Service (VBoxSVC.exe) ប៉ុន្តែការពិតគឺជា Binary ដែលស្របច្បាប់រួមមាន (Bundled) ជាមួយនិង Notepad++ (gup.exe)។ វត្តមាននៅក្នុង TAR Archive រួមមាន handoff.wav និងជំនាន់ Trojanized Version របស់ libcurl.dll ដែលត្រូវបានធ្វើការ Load ដើម្បីចាប់ផ្តើមដំណើរការក្នុងការឆ្លងមេរោគទៅដំណាក់កាលបន្ទាប់ ដោយការកេងចំណេញពីលើ gup.exe ដែលជាភាពងាយរងគ្រោះរបស់ DLL side.loading។ ក្រុមហ៊ុន Desimone បានថ្លែងថា បច្ចុប្បន្ន PowerShell ប្រតិបត្តិការ Binary VBoxSVC.exe និងចាប់ផ្តើមការ Load ចេញពី Directory DLL libcurl.dll ដែលអាក្រក់។ តាមរយៈការកាត់បន្ថយកូដអាក្រក់ដែលត្រូវបានអ៊ីនគ្រីប ក្រុមហេគឃ័រអាចធ្វើការគេចពីការស្គេន AV និង ML ដែលជា File-Based។
ឯកសារ DLL ដែលត្រូវបានរំខាន ដំណើរការជាបន្តបន្ទាប់ ដោយការញែក handoff.wav ហើយនៅក្នុង Payload ដែលបានធ្វើការអ៊ីនគ្រីប ឬត្រូវបានឌីកូដវិញ និងត្រូវប្រតិបត្តិការតាមរយៈ mshtml.dll ជាវិធីសាស្រ្តដែលគេស្គាល់ថាជា Mobile Stomping ដើម្បីដំណើរការ Load មេរោគឈ្មោះ GhostPulse។ មេរោគ GhostPulse ដើរតួជា Loader ដែលធ្វើការផ្សេងៗដូចជា Process Doppelganging (ជាការវាយប្រហារដោយការជំនួសដំណើរការស្របច្បាប់របស់មេរោគនៅក្នុងប្រព័ន្ធ Transactional NTFS) ដើម្បីចាប់ផ្តើមដំណើរការប្រតិបត្តិការមេរោគរួមមាន SectionRAT, Rhadamanthys, Vidar, Lumma, និង NetSupport RAT៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣០ ខែតុលា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
