ក្រុមហេគឃ័រចិនកំពុងតែលួចកម្មវិធី SSH Daemon នៅលើឧបករណ៍ណិតវើក ដោយការចាក់បញ្ចូលមេរោគទៅក្នុងដំណើរការសម្រាប់ប្រតិបត្តិការសម្ងាត់ និងជាប់លាប់។ការវាយប្រហារថ្មីដែលត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានប្រើនៅក្នុងការវាយប្រហារតាំងពីពាក់កណ្តាលខែវិច្ឆិកា ឆ្នាំ២០២៤ និងកំណត់ថាជាក្រុម Chinese Evasive Panda, aka DaggerFly ជាក្រុមចារកម្មសាយប័រ។ នៅក្នុងការស្វែងរករបស់អ្នកស្រាវជ្រាវ Fortinet បានដាក់ឈ្មោះការវាយប្រហារថា “ELF/Sshdinjector.A!tr” និងមានវត្តមានមេរោគ Malware ដែលបានចាក់បញ្ចូលទៅក្នុងកម្មវិធី SSH Daemon សម្រាប់ដំណើរការយ៉ាងសកម្មភាព និងមានទំហំធំ ។
Fortiguard ថ្លែងថា ELF/Sshdinjector.A!tr ត្រូវបានប្រើនៅក្នុងការវាយប្រហារប្រឆាំងនឹងឧបករណ៍ណិតវើក បើទោះជាវាត្រូវបានចងក្រងនៅក្នុងឯកសារកាលពីមុនក្តី គ្មានរបាយការណ៍វិភាគណារៀបរាប់ពីរបៀបដែលវាធ្វើការនោះទេ។ ក្រុមហេគឃ័រ Evasive Panda បានដំណើរការតាំងពីឆ្នាំ២០១២ និងថ្មីៗនេះត្រូវបានបង្ហាញមុខនៅក្នុងការវាយប្រហារដាក់ពង្រាយទ្វារក្រោយ Novel macOS Backdoor អនុវត្តការវាយប្រហារ Supply Chain តាមរយៈ ISPs នៅអាស៊ី និងប្រមូលព័ត៌មានពីអង្គការអាមេរិកនៅក្នុងប្រតិបត្តិការរយៈពេល ៤ខែ។
មានគោលដៅលើ SSHD៖ ខណៈដែល Fortiguard មិនបានចែករំលែកពីរបៀបដែលឧបករណ៍ណិតវើកកំពុងតែត្រូវបានបំពាន នៅពេលដែលត្រូវបានវាយប្រហារ មេរោគនឹងឆែករកព័ត៌មានប្រសិនបើឧបករណ៍បានឆ្លងមេរោគ និងប្រសិនបើវាកំពុងតែដំណើរការសិទ្ធិពិសេស (root privileges)។ ប្រសិនបើជួបនូវលក្ខខណ្ឌទាំងនោះ Several binaries រួមមាន SSH library (libssdh.so) នឹងត្រូវបានទម្លាក់នៅក្នុងម៉ាស៊ីនគោលដៅ។
ឯកសារនេះដើរតួនាទីជាសមាសធាតុ Backdoor ទទួលខុសត្រូវចំពោះទំនាក់ទំនងពាក្យបញ្ជា និងការគ្រប់គ្រង (C2) និងការទាញយកទិន្នន័យ។ Binaries ផ្សេងទៀតដូចជា ‘mainpasteheader’ និង ‘selfrecoverheader’ ជួយហេគឃ័ររក្សាវត្តមានដោយសុវត្ថិភាពនៅក្នុងឧបករណ៍ដែលឆ្លងមេរោគ។SSH library អាក្រក់ត្រូវបានចាក់បញ្ចូលទៅក្នុងកម្មវិធី SSH daemon និងរង់ចាំពាក្យបញ្ជាពី C2 ដើម្បីឈ្លបយកការណ៍ប្រព័ន្ធដំណើរការ លួចអត្តសញ្ញាណ ដំណើរការត្រួតពិនិត្យ បញ្ជាពីចម្ងាយ និងដំណើរការឯកសារ។
ពាក្យបញ្ជាចំនួន ១៥ ដែលគាំទ្ររួមមាន៖
១. ប្រមូលប្រព័ន្ធលម្អិតដូចជា Hostname និង MAC address និងលួចព័ត៌មាន
២. រាយបញ្ជីសេវាដែលបានដំឡើងដោយការឆែកឯកសារនៅក្នុង /etc/init.d
៣. អានទិន្នន័យសម្ងាត់អ្នកប្រើប្រាស់ពី /etc/shadow
៤. ទទួលយក List នៃដំណើរការសកម្មនៅលើប្រព័ន្ធ
៥. ចង់ដំណើរការ /var/log/dmesg/ សម្រាប់ការចូលក្នុងប្រព័ន្ធ (system logs)
៦. ព្យាយាមអាន /tmp/fcontr.xml សម្រាប់ទិន្នន័យសម្ងាត់
៧. រាយបញ្ជី Contents របស់ Directory ជាក់លាក់
៨. Upload ឬដោនឡូតឯកសារពីប្រព័ន្ធទៅហេគឃ័រ
៩. បើក Shell ពីចម្ងាយសម្រាប់ឱ្យហេគឃ័រអាចដំណើរការ Full command-line
១០. ប្រតិបត្តិការបញ្ជាពីចម្ងាយលើប្រព័ន្ធដែលឆ្លងមេរោគ
១១. បញ្ឈប់ និងលុបដំណើរការអាក្រក់ចេញពីអង្គចងចាំ
១២. លុបឯកសារជាក់លាក់ពីក្នុងប្រព័ន្ធ
១៣. ប្តូរឈ្មោះឯកសារនៅលើប្រព័ន្ធ
១៤. ជូនដំណឹងហេគឃ័រថា មេរោគកំពុងតែដំណើរការ
១៥. ផ្ញើព័ត៌មានប្រព័ន្ធដែលបានលួចពីបញ្ជីសេវាកម្ម និងអត្តសញ្ញាណអ្នកប្រើប្រាស់
Fortiguard ក៏បានកត់សម្គាល់ថា ខ្លួនបានប្រើប្រាស់ Tool របស់ AI-assisted សម្រាប់បញ្រ្ចាស់វិស្វកម្ម និងវិភាគមេរោគនេះ។ ខណៈ នេះមិនមែនជាបញ្ហាសំខាន់ដូចជា ការយល់ច្រលំ ការបូកបន្ថែម និងការខកខាន Tool នេះបានបង្ហាញសក្កានុពលដ៏ជោគជ័យ។ បើយោងតាម Fortinet បានឱ្យដឹងថា ខណៈដែលកម្មវិធីបម្លែងកូដ (Disassemblers) និងកម្មវិធីបម្លែងឯកសារ (Decompilers) មានភាពប្រសើរឡើងនាពេលចុងក្រោយនេះ វាមិនអាចប្រៀបទៅនឹងកម្រិតនៃការកែច្នៃដែលយើងកំពុងមើលឃើញជាមួយនឹង AI នោះទេ។ Fortinet ក៏បានបន្ថែមថា អតិថិជនរបស់ខ្លួនត្រូវបានការពារប្រឆាំងនឹងមេរោគនេះរួចហើយ តាមរយៈសេវាកម្ម FortiGuard AntiVirus របស់ខ្លួនដែលរកឃើញការគំរាមកំហែងដូចជា ELF/Sshdinjector.A!tr និង Linux/Agent.ACR!tr។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែកុម្ភៈ ឆ្នាំ២០២៥
