យុទ្ធនាការមេរោគ Malware កំពុងតែដំណើរការជាថ្មី ត្រូវបានមើលឃើញថា កំពុងតែចែកចាយមុខងារដើម្បីលួចព័ត៌មានចំនួនបីផ្សេងៗគ្នារួមមាន CryptBot, LummaC2 និង Rhadamanthys នៅលើ Content Delivery Network (CDN) Cache Domains តាំងពីខែកុម្ភៈ ឆ្នាំ២០២៤។
ក្រុមហ៊ុន Cisco Talos បានចែកចាយសកម្មភាពជាមួយនឹងទំនុកចិត្តថា ហេគឃ័របានតាមដានក្នុងនាមជា CoralRaider គឺជាក្រុមដែលមានប្រភពមកពីវៀតណាមបើយោងតាមលទ្ធផលស្រាវជ្រាវនៅក្នុងខែនេះ។ ការវាយតម្លៃនេះយោងទៅលើតិចនិក បច្ចេកទេស និងដំណើរការ (TTPs) របស់ CoralRaider’s Rotbot Campaign ត្រួតស៊ីគ្នាមួយចំនួន ដែលចាប់ផ្តើមវ៊ីចទ័រសម្រាប់ការវាយប្រហាររបស់ Windows Shortcut File, Intermediate PowerShell Decryptor និង Payload Download Scripts, FoDHelper តិចនិកត្រូវបានប្រើសម្រាប់ឆ្លងកាត់ការគ្រប់គ្រង User Access Controls (UAC) របស់ម៉ាស៊ីនជនរងគ្រោះ បើយោងតាមសំដីរបស់ក្រុមហ៊ុន។
គោលដៅរបស់យុទ្ធនាការពង្រីកទៅកាន់សាជីវកម្មផ្សេងៗនៅទូទាំងតំបន់រួមមានអាមេរិក នីហ្សេរីយ៉ា ប៉ាគីស្ថាន អេក្វាទ័រ អាឡឺម៉ង់ អេស៊ីប អង់គ្លេស ប៉ូឡូញ ហ្វីលីពីន ណរវេ ជប៉ុន ស៊ីរីយ៉ា និងតួកគី។ ខ្សែច្រវាក់នៃការវាយប្រហារពាក់ព័ន្ធជាមួយអ្នកប្រើប្រាស់ណាដែលបានដោនឡូតឯកសារក្លែងបន្លំជា Movie Files តាមរយៈ Web Browser ដែលអាចវាយប្រហារទ្រង់ទ្រាយធំបាន។ ហេគឃ័រនេះកំពុងប្រើ Content Delivery Network (CDN) Cache ដើម្បីរក្សាឯកសារអាក្រក់នៅលើបណ្តាញណេតវើករបស់ពួកគេដែលបានបង្ហោះ ដើម្បីអាចគេចពីការស្នើសុំពន្យាពេល (Request Delay) បើយោងតាមអ្នកស្រាវជ្រាវនៅ Talos។ ហេគឃ័រកំពុងតែប្រើ CDN Cache ធ្វើជា Download Server ដើម្បីបញ្ឆោតអ្នកការពារបណ្តាញណិតវើក។
វ៉ិចទ័រដំណើរការចាប់ផើ្តមសម្រាប់ Drive-by Download ក៏ត្រូវបានសង្ស័យថា ជាអ៊ីម៉ែលបញ្ឆោត (Phishing) ដែលប្រើប្រាស់ពួកវាសម្រាប់ជា Tool សម្រាប់ប្រកាស Booby-Trapped Links ដែលបង្ហាញជា ZIP Archive ដែលមានផ្ទុក Windows Shortcut (LNK) File។ Shortcut File ដំណើរការ PowerShell Script ដើម្បីចាប់យក Next-Stage HTML Application (HTA) Payload ដែលបានបង្ហោះនៅលើ CND Cache ដំណើរការ Javascript Code សម្រាប់ដាក់ចេញនូវ Powershell Loader ដែលបានបង្កប់ ហើយបោះជំហានបន្ទាប់ទៅលាក់ខ្លួន ឬគេចពីការតាមចាប់ ជាចុងក្រោយដោនឡូត និងដំណើរការមេរោគលួចព័ត៌មានណាមួយក្នុងចំណោមមេរោគទាំង៣។
The Modular PowerShell Loader Script ត្រូវបានបង្កើតឡើងសម្រាប់អាចឆ្លងកាត់ការគ្រប់គ្រង User Access Controls (UAC) នៅក្នុងម៉ាស៊ីនរបស់ជនរងគ្រោះ ដែលប្រើបច្ចេកទេសដោយមានគេស្គាល់ឈ្មោះថាជា FodHelper និងត្រូវបានដាក់បញ្ចូលសម្រាប់ប្រើដោយហេគឃ័រជនជាតិវៀតណាមបានលីងទៅកាន់អ្នកលួចព័ត៌មានផ្សេងទៀតដែលគេស្គាល់ថាជា NodeStealer ហើយមានសមត្ថភាពដើម្បីលួចទិន្នន័យគណនី Facebook។ មេរោគលួចព័ត៌មាននេះចាប់យកព័ត៌មានរបស់ជនរងគ្រោះដូចជា System និង Browser Data, អត្តសញ្ញាណ កាបូបប្រាក់គ្រីបតូ បូករួមទាំងព័ត៌មានហិរញ្ញវត្ថុ។ អ្វីដែលគួរឱ្យកត់សម្គាល់អំពីយុទ្ធនាការគឺថា វាប្រើប្រាស់ជំនាន់ Updated របស់មេរោគ CryptBot ដែលមានបញ្ចូលតិចនិកប្រឆាំងការវិភាគថ្មី ហើយក៏អាចចាប់យក Password Manager Application Database និងព័ត៌មាន Authenticator Application៕
https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html
ថ្ងៃទី២៤ ខែមេសា ឆ្នាំ២០២៤
