ក្រុមមេរោគចាប់ជម្រិត Hunters International កំពុងតែមានគោលដៅវាយប្រហារលើបុគ្គលិក IT ដោយប្រើមេរោគបញ្ជាពីចម្ងាយ (Remote Access Trojan (RAT)) C# ថ្មី ឈ្មោះ SharpRhino ដើម្បីលួចចូលក្នុងបណ្តាញណិតវើកសហគ្រាស។
មេរោគបានជួយឲ្យក្រុមហេគឃ័រ Hunters International អាចធ្វើការចម្លងមេរោគនៅដំណាក់កាលដំបូង ហើយអាចបង្កើនសិទ្ធិពួកគេនៅលើ ប្រព័ន្ធ Systems ដែលបានវាយប្រហារយកមកគ្រប់គ្រង, ធ្វើការ Execute ទៅលើ PowerShell Commands និងចុងក្រោយដាក់ពង្រាយ Payload មេរោគចាប់ជម្រិត។ អ្នកស្រាវជ្រាវនៅ Quorum Cyber បានរកឃើញមេរោគថ្មី និងបានរាយការណ៍ថា មេរោគត្រូវបានផ្សព្វផ្សាយដោយការបន្លំជាគេហទំព័រឈ្មោះ Angry IP Scanner ដែលជា Tools បណ្តាញណិតវើកស្របច្បាប់ប្រើដោយអ្នកជំនាញ IT។
ប្រតិបត្តិការ Hunters International គឺជាប្រតិបត្តិការមេរោគចាប់ជម្រិតដែលបានដាក់ចេញកាលពីចុងឆ្នាំ២០២៣ និងបានកំណត់ថាជា Rebrand នៃមេរោគ Hive ដោយយោងលើកូដស្រដៀងគ្នានេះ។ ជនរងគ្រោះរួមមាន អ្នកចុះកុងត្រាបម្រើការងារជាកងទ័ពអាមេរិក Austal USA មហាយក្ស Japanese Optics Hoya, Integris Health និង Fred Hutch Cancer Center ដែលឧក្រិដ្ឋជនបង្ហាញពីកង្វះនូវព្រំដែនក្រមសីលធម៌របស់ពួកគេ។ នៅឆ្នាំ២០២៤ ក្រុមគំរាមកំហែងបានប្រកាសពីការវាយប្រហារដោយមេរោគចាប់ជម្រិតបានចំនួន ១៣៤ ប្រឆាំងទៅនឹងអង្គភាពផ្សេងៗនៅទូទាំងពិភពលោក (លើកលែងតែក្រុម CIS ទេ) ដែលមិនធ្វើការវាយប្រហារ ហើយវាជាក្រុមមួយជាប់ចំណាត់ថ្នាក់ថាជាក្រុមសកម្មទី១០ ដែរនោះ។
មេរោគ SharpRhino RAT៖ មេរោគ SharpRhino ពង្រីកខ្លួនក្នុងនាមជាអ្នកដំឡើង 32-bit (‘ipscan-3.9.1-setup.exe’) ដែលមានផ្ទុក Self-extracting Password-protected 7z Archive ជាមួយនឹងឯកសារបន្ថែមដើម្បីដំណើរការចម្លងមេរោគ។ អ្នកដំឡើងបញ្ជាក់ Windows Registry សម្រាប់ភាពជាប់លាប់ និងបង្កើត Shortcut សម្រាប់ Microsoft-AnyKey.exe ជាទូទៅគឺជា Microsoft Visual Studio Binary ដែលត្រូវបានប្រើនៅក្នុងករណីនេះ។ ជាងនេះ អ្នកដំឡើងបានទម្លាក់នូវ ‘LogUpdate.bat’ ដែលប្រតិបត្តិការ PowerShell Scripts នៅលើឧបករណ៍ដើម្បី Compile C# នៅក្នុងអង្គចងចាំសម្រាប់ប្រតិបត្តិការមេរោគលួចព័ត៌មាន។ សម្រាប់ប្រតិបត្តិការ Redundancy អ្នកដំឡើងបានបង្កើត Directories ចំនួន២គឺ ‘C:\ProgramData\Microsoft: WindowsUpdater24’ និង ‘LogUpdateWindows’ ដែលទាំង២នេះត្រូវបានប្រើប្រាស់នៅក្នុងការផ្លាស់ប្តូរ Command and Control (C2)។ Commands ទាំង២ ត្រូវបាន Hardcoded នៅលើមេរោគឈ្មោះ ‘Delay’ សម្រាប់កំណត់ Timer នៃ POST Request បន្ទាប់ពីទទួលបាន Command និងធ្វើការ ‘Exit’ សម្រាប់បញ្ចប់ទំនាក់ទំនងរបស់ខ្លួន។ អ្នកវិភាគបង្ហាញថា មេរោគអាចប្រតិបត្តិ PowerShell នៅលើម៉ាស៊ីន Host ដែលអាចត្រូវបានប្រើសម្រាប់ប្រតិបត្តិការសកម្មភាពគ្រោះថ្នាក់ផ្សេងៗ។ Quorum បានធ្វើតេស្តសាកល្បងយន្តការដោយការដាក់ចេញដោយជោគជ័យនូវ Windows Calculator តាមរយៈ SharpRhino។ តិចនិកថ្មីរបស់ក្រុម Hunter International នៃការដាក់ពង្រាយគេហទំព័រសម្រាប់បន្លំជា Open-source Network ស្របច្បាប់ដែលជា Scanning Tools សម្រាប់បង្ហាញថា ពួកគេកំពុងតែមានគោលដៅលើបុគ្គលិក IT នៅក្នុងក្តីសង្ឃឹមនៃការលួចចូលគណនី និងការបង្កើនសិទ្ធិពិសេស។ អ្នកប្រើប្រាស់គួរតែប្រុងប្រយ័ត្នចំពោះការផ្តល់ជូននៅក្នុងលទ្ធផលនៃការស្រាវជ្រាវ ដើម្បីគេចពី Malvertising ប្រតិបត្តិការ និង Blockers ដើម្បីលាក់ខ្លួន និង Bookmark គេហទំព័រផ្លូវការដែលជាអ្នកដំឡើងមានសុវត្ថិភាព។
ដើម្បីកាត់បន្ថយការវាយប្រហារដោយមេរោគចាប់ជម្រិត អ្នកគួរតែបង្កើត Backup Plan ដំណើរការ Network Segmentation និងធានាថាកម្មវិធីទាំងអស់ទាន់សម័យដើម្បីកាត់បន្ថយឱកាសនៃការលួច ការបង្កើនសិទ្ធិ និង Lateral Movement៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៥ ខែសីហា ឆ្នាំ២០២៤
