ហេគឃ័រចិនប្រើមេរោគ SugarGh0st RAT វាយប្រហារកូរ៉េខាងត្បូង និង អ៊ូសបេគីស្ថាន

ហេគឃ័រប្រើភាសាចិនត្រូវបានសង្ស័យថា បានចែកចាយយុទ្ធនាការអាក្រក់ និងមានគោលដៅលើក្រសួងការបរទេសអ៊ូសបេគីស្ថាន និងអ្នកប្រើប្រាស់នៅកូរ៉េខាងត្បូង តាមរយៈការប្រើមេរោគ Trojan ឈ្មោះ SugarGh0st RAT។

យុទ្ធនាការបានកើតឡើងនៅខែសីហា ឆ្នាំ២០២៣ ដោយការចម្លងមេរោគចំនួន២ ផ្សេងគ្នា ដែលមានប្រើអញ្ញត្តិ Gh0st RAT (aka Farfli)។ អញ្ញត្តិនេះមានមុខងារ សម្របសម្រួលកិច្ចការ Administation ពីចម្ងាយដោយផ្ទាល់ជាមួយ C2 និង Modified Communication Protocol ដែលពឹងផ្អែកលើភាពស្រដៀងគ្នានៃ Command Structure និង Strings ដែលប្រើនៅក្នុងកូដ បើយោងតាមអ្នកស្រាវជ្រាវនៅ Cisco Talos។ ការវាយប្រហារកើតឡើងតាមរយៈការប្រើប្រាស់អ៊ីម៉ែលបន្លំ មានភ្ជាប់ឯកសារបញ្ឆោត ដែលបើកដំណើរការប្រតិបត្តិការ Multi-Stage និងនាំទៅដល់ការដាក់ពង្រាយអញ្ញត្តិ SugarGh0st RAT។ ឯកសារបន្លំត្រូវបានដាក់បញ្ចូលទៅក្នុង JavaScript Dropper មានភាពច្របូកច្របល់នៅក្នុង Windows Shortcut File និងមានបង្កប់នៅក្នុង RAR Archive Email Attachment។ JavaScript អាចបកប្រែកូដ (Decode) និងទម្លាក់ឯកសារបង្កប់ទៅក្នុង %TEMP% Folder រួមមានបណ្តុំ (Batch) Script, a Customized DLL Loader, an Encrypted SugarGh0st Payload និងឯកសារបញ្ឆោត បើយោងតាមអ្នកស្រាវជ្រាវបានបង្ហាញ។ ឯកសារបញ្ឆោតត្រូវបានបង្ហាញទៅកាន់ជនរងគ្រោះនៅលើ Background ខណៈដែល Batch Script ដំណើរការ DLL Loader ប៉ុន្តែ Side-Loads វាជាមួយនឹង Copied Version នៃប្រតិបត្តិការស្របច្បាប់របស់ Windows ឈ្មោះ rundll32.exe ដើម្បីបកប្រែកូដ (Decrypt) និងដំណើរការ SugarGh0st Payload។

អញ្ញតិ្តទី២ នៃការវាយប្រហារក៏ចាប់ផ្តើមជាមួយនឹង RAR Archive ដែលមានផ្ទុក Windows Shortcut File អាក្រក់ ដែលក្លែងបន្លំដើម្បីទាក់ទាញ ជាមួយនឹងភាពខុសគ្នាដែល JavaScript ជំរុញឱ្យ DynamicWrapperX ដំណើរការ Shellcode ដែលដាក់ចេញនូវ SugarGh0st។ SugarGh0st គឺជាមេរោគ 32-bit Dynamic-Link Library (DLL) សរសេរនៅក្នុង C++ បង្កើតទំនាក់ទំនងជាមួយ Hard-Coded Command-And-Control (C2) Domain ដែលអនុញ្ញាតឱ្យវាបញ្ជូនទីន្នន័យ Metadata ទៅកាន់ម៉ាស៊ីនមេ ដាក់ចេញនូវ Reverse Shell និង ដំណើរការ Commands តាមចិត្ត។

វាក៏អាចរាប់បញ្ចូល (Enumerate) និងបញ្ចប់ដំណើរការ ថតអេក្រង់ ដំណើរការ File Operations និង Clear The Machine’s Event Logs នៅក្នុង Attempt ដើម្បីបិទបាំង និងគេចពីការតាមចាប់។ យុទ្ធនាការពាក់ព័ន្ធជាមួយនឹងចិន ដោយសារមានការប្រើប្រាស់ភាសាចិនរបស់ Gh0st RAT និងផ្អែកលើការពិតដែលថាមុខងារទ្វារក្រោយត្រូវបានចាប់យកយ៉ាងទូលំទូលាយពីមជ្ឈដ្ឋានហេគឃ័រចិនជាច្រើនឆ្នាំមកហើយ។ មេរោគ Gh0st RAT គឺពឹងផ្អែកលើហេគឃ័រចិន និងត្រូវបានដំណើរការតាំងពីឆ្នាំ២០០៨ បើយោងតាមអ្នកស្រាវជ្រាវ។ ហេគឃ័រចិនក៏ធ្លាប់មានប្រវត្តិវាយប្រហារលើ អ៊ូសបេគីស្ថាន។ ពោលគឺវាយប្រហារលើក្រសួងការពារបរទេស Uzbekistan ហើយក៏ស្របជាមួយនឹងសកម្មភាពស៊ើបការណ៍សម្ងាត់របស់ចិននៅបរទេស។ ក្រុមហេគឃ័ររដ្ឋចិនក៏បានពង្រីកការវាយប្រហារលើកោះតៃវ៉ាន់ នៅក្នុងរយៈពេល ៦ខែចុងក្រោយ ដោយប្រើ Residential Routers ដើម្បីបិទបាំងការឈ្លានពានរបស់ពួកគេ៕

https://thehackernews.com/2023/12/chinese-hackers-using-sugargh0st-rat-to.html

ប្រភពព័ត៌មាន៖ ថ្ងៃទី០១ ខែធ្នូ ឆ្នាំ២០២៣