ស្ថាប័នហិរញ្ញវត្ថុនៅក្នុងតំបន់អាស៊ីប៉ាស៊ីហ្វិក (APAC), មជ្ឈឹមបូព៌ា និងអាព្រិកខាងជើង (MENA) កំពុងតែក្លាយជាគោលដៅរបស់មេរោគជំនាន់ថ្មីឈ្មោះ JSOutProx។អ្នកស្រាវជ្រាវសុវត្ថិភាពបានថ្លែងនៅក្នុងរបាយការណ៍ថា មេរោគ JSOutProx បានធ្វើការវាយប្រហារលើ Framework ដោយប្រើបច្ចេកទេសទាំង JavaScript និង .NET។ ហេគឃ័របានដាក់ពង្រាយ .NET មុខងារបកប្រែដំណើរការ ((de) Serialization Feature) សម្រាប់ទំនាក់ទំនងជាមួយ JavaScript module ដែលកំពុងតែដំណើរការនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។ នៅពេលប្រតិបត្តិការ មេរោគបានធ្វើការបើក (Enables) Framework ឱ្យ Load Plugins ផ្សេងៗ សម្រាប់ធ្វើសកម្មភាពអាក្រក់បន្ថែមទៀតនៅលើគោលដៅ។
ក្រុមហ៊ុន Yoroi បានរកឃើញការចែកចាយមេរោគ JSOutProx កាលពីខែធ្នូ ឆ្នាំ២០១៩ ដែលត្រូវបានប្រើប្រាស់ដោយហេគឃ័រសម្រាប់ការតាមដានដូចជា Solar Spider។ ប្រតិបត្តិការតាមដានកត់ត្រាអំពីការវាយប្រហារលើធនាគារ និងក្រុមហ៊ុនធំៗផ្សេងទៀតនៅអាស៊ី និងអឺរ៉ុប។ កាលពីចុងឆ្នាំ២០២១ បន្ទប់ពិសោធន៍ Quick Heal Security Labs ក៏បានលម្អិតពីការវាយប្រហារថា បានប្រើមេរោគបញ្ជាពីចម្ងាយ (Remote Access Trojan (RAT)) សម្រាប់ឆ្ពោះទៅបុគ្គលិករបស់ស្ថាប័នមីក្រូហិរញ្ញវត្ថុពីប្រទេសឥណ្ឌា។ ជាងនេះ យុទ្ធនាការផ្សេងទៀតមានគោលដៅលើរដ្ឋាភិបាលឥណ្ឌាចាប់តាំងពីខែមេសា ឆ្នាំ២០២០មក។
ខ្សែច្រវាក់នៃការវាយប្រហារត្រូវបានមើលឃើញថា មានប្រើអ៊ីម៉ែលឆបោក (Spear-Phishing Emails) ដែលមានបង្កប់ JavaScript Attachments អាក្រក់បន្លំជា PDFs និង ZIP Archives ហើយមានផ្ទុក HTA Files អាក្រក់ សម្រាប់ដាក់ពង្រាយមេរោគ (Heavily Obfuscated Implant)។ ក្រុមហ៊ុនកម្មវិធី Quick Heal បានកត់សម្គាល់ថា មេរោគនេះមាន Plugins ផ្សេងៗសម្រាប់ដំណើរការប្រតិបត្តិការផ្សេងៗគ្នាដូចជាច្រោះយកទិន្នន័យ ដំណើរការឯកសារប្រព័ន្ធប្រតិបត្តិការជាដើម។ ជាងនេះ វាក៏មានវិធីសាស្រ្តផ្សេងៗជាមួយនឹងសមត្ថភាពបន្លំ ដែលប្រតិបត្តិដំណើរការផ្សេងៗ។ Plugins អនុញ្ញាតឱ្យមេរោគប្រមូលយកព័ត៌មានបានច្រើនពីការដែលបានគ្រប់គ្រង Host គ្រប់គ្រង Proxy Setting ចាប់យក Clipboard Content ដំណើរការ Microsoft Outlook Account Details និងប្រមូលយកនូវ One-Time Password ពី Symantec VIP។ មុខងារតែមួយគត់របស់មេរោគគឺប្រើ Cookie Header Field សម្រាប់ការធ្វើទំនាក់ទំនងជាមួយនឹង Command-and-Control (C2) ។
មេរោគ JSOutProx ក៏ឈរសម្រាប់ការពិតថា វាមានមុខងារ RAT ពេញលេញសម្រាប់អនុវត្តនៅក្នុង JavaScript។ បន្ទប់ពិសោធន៍ Fortinet FortiGuard បានថ្លែងនៅក្នុងរបាយការណ៍កាលពីចុងឆ្នាំ២០២០ថា យុទ្ធនាការនេះប្រឆាំងនឹងវិស័យរូបិយវត្ថុ និងហិរញ្ញវត្ថុរបស់រដ្ឋាភិបាលនៅអាស៊ី “JavaScript ធម្មតាមិនផ្តល់ភាពស្មុគស្មាញច្រើនដូច PE file ផ្តល់នោះទេ”។ ទោះបីជា JavaScript ត្រូវបានប្រើដោយគេហទំព័រជាច្រើន វាទំនងជាអ្នកប្រើភាគច្រើនល្អ ដោយសារតែបុគ្គលជាមួយនឹងចំណេះដឹងមូលដ្ឋានផ្នែកសុវត្ថិភាពអាចជៀសវាងមិនបើកឯកសារភ្ជាប់ ដែលមានភ្ជាប់ប្រភេទ .exe។ ក៏ដោយសារតែ JavaScript Code អាចត្រូវបានបន្លំ វាងាយនឹងឆ្លងកាត់ការការពារពី Antivirus ដែលអនុញ្ញាតឱ្យមេរោគអាចច្រោះតាមរយៈការមិនដឹងឬចាប់មិនបាន (Undetected)។ ចុងក្រោយនៃការវាយប្រហារបើយោងតាមអ្នកស្រាវជ្រាវសុវត្ថិភាពបានឱ្យដឹងថា ការប្រើ SWIFT ឬ MoneyGram Payment Notification ក្លែងក្លាយសម្រាប់បញ្ឆោតអ្នកទទួលអ៊ីម៉ែលឱ្យប្រតិបត្តិកូដអាក្រក់។ សកម្មភាពនេះត្រូវបាននិយាយថាកើតឡើងតាំងពីដើមខែកុម្ភៈ ឆ្នាំ២០២៤។ មេរោគត្រូវបានមើលឃើញថាបានបង្ហោះនៅលើ GitHub និង GitLab Repositories និងត្រូវបានបិទ (Blocked) និងបង្រ្កាប។ ក្រុមហ៊ុនសន្តិសុខសាយប័របានថ្លែងថា នៅពេលដែលកូដអាក្រក់ត្រូវបានបញ្ជូនដោយជោគជ័យ ហេគឃ័រផ្លាស់ទី Repository រួមទាំងការបង្កើតថ្មី។ តិចនិកនេះទំនងជាទាក់ទងនឹងហេគឃ័រប្រើសម្រាប់គ្រប់គ្រង Payloads អាក្រក់ចម្រុះ និងគោលដៅផ្សេងៗគ្នា។
ក្រុមឧក្រឹដ្ឋកម្មអេឡិចត្រូនិក (e-crime) នៅពីក្រោយមេរោគ Malware បច្ចុប្បន្នពុំទាន់ដឹងថាជានរណានៅឡើយទេ បើទោះជាជនរងគ្រោះចែកចាយការវាយប្រហារ និងភាពស្មុគស្មាញនៃការដាក់បញ្ចូលមេរោគទៅកាន់ជនរងគ្រោះដែលមានប្រភពពីប្រទេសចិនក្តី បើយោងតាមអ្នកស្រាវជ្រាវសន្តិសុខ។ ឧក្រឹដ្ឋកម្មសាយប័រកំពុងតែផ្សព្វផ្សាយនៅលើគេហទំព័រខុសច្បាប់អំពីកម្មវិធីថ្មីឈ្មោះ GEOBOX ដែលមានគោលបំណងលើ Raspberry Pi Devices ម្តងទៀតសម្រាប់ធ្វើការឆបោក និងលាក់អត្តសញ្ញាណ។ ផ្តល់ក្នុងតម្លៃ ៨០ដុល្លារប្រចាំខែ (៧០០ដុល្លារសម្រាប់ License), Tool នេះអនុញ្ញាតឱ្យប្រតិបត្តិករក្លែងបន្លំ GPS Locations, ត្រាប់តាម Network ដែលជាក់លាក់ និងកំណត់កម្មវិធី (Software Settings) ត្រាប់តាម Setting របស់ Known Wi-Fi Access Points ក៏ដូចជាឆ្លងកាត់ Anti-Fraud Filters។ Tools នេះអាចប៉ះពាល់ដល់សុវត្ថិភាពធ្ងន់ធ្ងរ នៅពេលដែលពួកគេបើកទ្វារសម្រាប់វិសាលភាពនៃឧក្រឹដ្ឋកម្មដូចជាការវាយប្រហារគាំទ្រដោយរដ្ឋ ចារកម្មសាជីវកម្ម ប្រតិបត្តិការទីផ្សារវេបសាយខុសច្បាប់ ការឆបោកផ្នែកហិរញ្ញវត្ថុ ការចែកចាយមេរោគពីក្រុមហេគឃ័រ និងដំណើរការមាតិកាភូមិសាស្រ្ត។ អ្នកស្រាវជ្រាវសុវត្ថិភាពបានថ្លែងថា ភាពងាយស្រួលដំណើរការរបស់មេរោគ GEOBOX បានបង្កនូវក្តីព្រួយបារម្ភនៅក្នុងសហគមន៍សន្តិសុខសាយប័រអំពីឥទ្ធិពលរបស់វាចំពោះការចាប់យកកាន់តែច្រើននៅក្នុងចំណោមសំណាក់ហេគឃ័រ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៥ ខែមេសា ឆ្នាំ២០២៤
https://thehackernews.com/2024/04/new-wave-of-jsoutprox-malware-targeting.html
