មេរោគចាប់ជម្រិត Akira កំពុងតែកេងចំណេញលើ Intel CPU Tuning Driver ស្របច្បាប់ ដើម្បីបិទប្រព័ន្ធការពារ Microsoft នៅក្នុងការវាយប្រហារ ចេញពី Tools សុវត្ថិភាព និង EDRs ដែលកំពុងដំណើរការនៅលើឧបករណ៍គោលដៅ។
Driver ដែលត្រូវបានកេងចំណេញ ‘rwdrv.sys’ (បានប្រើដោយ ThrottleStop) ដែលហេគឃ័រចុះឈ្មោះជាសេវា ដើម្បីបង្កើនដំណើរការ Kernel-level។ Driver នេះទំនងជាត្រូវបានប្រើសម្រាប់ Load a Second Driver ‘hlpdrv.sys’ ដែលជា Tool ប្រើប្រាស់សម្រាប់ព្យាបាទ អាចធ្វើឱ្យ Windows Defender បិទការការពាររបស់ខ្លួន។
នេះគឺជាការវាយប្រហារ ‘Bring Your Own Vulnerable Driver’ (BYOVD) ដែលហេគឃ័របានប្រើប្រាស់ Drivers ស្របច្បាប់ និងបានប្រើប្រាស់ភាពងាយរងគ្រោះ ឬភាពទន់ខ្សោយ ដើម្បីអាចប្រើប្រាស់ក្នុងការបង្កើនសិទ្ធិ។ Driver នេះត្រូវបានប្រើសម្រាប់ Load នូវ Tool ព្យាបាទ សម្រាប់បិទប្រព័ន្ធការពារ Microsoft Defender។ Driver ទីពីរ hlpdrv.sys ដែលត្រូវបានចុះឈ្មោះស្រដៀងនឹងសេវា (Service) ពិត នៅពេលប្រតិបត្តិការ វាមានសមត្ថភាពក្នុងការកែប្រែនូវ DisableAntiSpyware Setting របស់ Windows Defender នៅក្នុង \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware បើយោងតាមអ្នកស្រាវជ្រាវ។ មេរោគទទួលបានជោគជ័យតាមរយៈការប្រតិបត្តិ Regedit.exe។ តិចនិកនេះត្រូវបានអង្កេតដោយ Guidepoint Security ដែលបានរាយការណ៍ពីការមើលឃើញការកេងចំណេញដដែលៗរបស់ rwdrv.sys Driver នៅក្នុងការវាយប្រហារដោយមេរោគចាប់ជម្រិត Akira តាំងពីពាក់កណ្តាលខែកក្កដា ឆ្នាំ២០២៥។ ក្រុមហ៊ុនកំពុងតែដាក់ទង់លើបញ្ហានេះ ដោយសារតែសមត្ថភាពមេរោគ Akira IR ថ្មីៗនេះ។ របាយការណ៍បានបន្តថា សូចនាករនេះអាចត្រូវបានប្រើសម្រាប់ការរកឃើញដ៏សកម្ម និងការស្វែងរកការគំរាមកំហែងត្រលប់មកវិញ។ ដើម្បីជួយដល់ប្រព័ន្ធការពារស្វែងរក និងរារាំងការវាយប្រហារទាំងនេះ Guidepoint Security បានផ្តល់នូវច្បាប់ YARA Rule សម្រាប់ hlpdrv.sys ក៏ដូចជាសូចនាករពេញលេញនៃការគ្រប់គ្រង (IoCs) សម្រាប់ Drivers ទាំងពីរ ឈ្មោះសេវារបស់ពួកវា និងទីតាំងរក្សារទុកឯកសារ (Paths)(Dropped)។
ការវាយប្រហារដោយមេរោគ Akira លើ SoniWall SSLVPN៖ មេរោគចាប់ជម្រិត Akira ថ្មីៗនេះ ត្រូវបានភ្ជាប់ចូលទៅក្នុងការវាយប្រហារលើ SonicWall VPNs ដែលប្រើអ្វីដែលគេជឿថាជាបញ្ហាដែលមិនបានដឹង (Unknow Flaw)។ Guidepoint Security ថ្លែងថា វាមិនអាចបញ្ជាក់ ឬលុបចោលការកេងចំណេញនៃភាពងាយរងគ្រោះ Zero-day នៅក្នុង SonicWall VPNs ដោយប្រតិបត្តិករមេរោគចាប់ជម្រិត Akira បានទេ។ នៅក្នុងរបាយការណ៍ឆ្លើយតបអំពីសកម្មភាពបំពាន SonicWall បានណែនាំឱ្យបិទ ឬរឹតបន្តឹង (Disable ឬក៏ Restrict) SSLVPN អនុវត្តការផ្ទៀងផ្ទាត់ច្រើនជាក់ (MFA) បើកការការពារ Botnet/Geo-IP Protection និងលុបគណនីដែលមិនប្រើចោល។ ខណៈ DFIR Report បានចេញផ្សាយពីការវិភាគលើការវាយប្រហារដោយមេរោគចាប់ជម្រិត Akira នាពេលថ្មីៗ ដែលលើកឡើងអំពីការប្រើ Bumblebee Malware Loader ដែលបានបញ្ជូនតាមរយៈ Trojanized MSI Installers របស់ IT Software Tools។ ឧទារហណ៍មួយទាក់ទងនឹងការស្រាវជ្រាវលើ “ManageEngine OpManager” នៅលើ Bing ដែលជាការបំពុល SEO Poisoning បានបញ្ជូនជនរងគ្រោះទៅកាន់គេហទំព័រព្យាបាទ Opmanager[.]pro។
Bumblebee ត្រូវបានដាក់ចេញតាមរយៈ DLL Sideloading និងនៅពេល C2 Communication ត្រូវបានបង្កើតឡើង វាទម្លាក់ AdaptxC2 សម្រាប់ដំណើរការជាប់លាប់។ បន្ទាប់មក អ្នកវាយប្រហារឈ្លបយកការណ៍ផ្ទៃក្នុង បង្កើតគណនីពិសេស និងលួចទាញយកទិន្នន័យដោយប្រើ FileZilla ខណៈការថែរក្សាដំណើរការតាមរយៈ RustDesk និង SSH Tunnels។ បន្ទាប់ពីនោះប្រហែល ៤៤ម៉ោង មេរោគ Akira Payload (Locker.exe) ចម្បងត្រូវបានដាក់ពង្រាយ ដើម្បីធ្វើការអ៊ីនគ្រីបប្រព័ន្ធទូទាំង Domains។ រហូតដល់ស្ថានភាព SonicWall VPN បានដោះស្រាយ ប្រព័ន្ធ Administrators គួរតែត្រួតពិនិត្យរកមើលសកម្មភាពដែលពាក់ព័ន្ធនឹង Akira រួចដាក់ចេញការត្រង និងរារាំង ខណៈសូចនាករកើតចេញពីការស្រាវជ្រាវសុវត្ថិភាព។ ក្រុមហ៊ុនក៏បានណែនាំឱ្យដោនឡូតកម្មវិធីចេញពីគេហទំព័រផ្លូវការ និងមិនគួរដោនឡូតចេញពីប្រភពមិនទុកចិត្តទេ ព្រោះគេហទំព័រក្លែងក្លាយបានក្លាយជាប្រភពដ៏សំខាន់សម្រាប់មេរោគ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែសីហា ឆ្នាំ២០២៥
