ក្រុមហេគឃ័ររបស់ប្រទេសកូរ៉េខាងជើងវាយប្រហារទៅលើ Cryptocurrency Exchange ដោយប្រើមេររោគ macOS Malware

0

ក្នុងការវាយប្រហារថ្មីមួយប្រឆាំងនឹងការផ្លាស់ប្តូររូបិយប័ណ្ណរូបិយប័ណ្ណ ក្រុម Lazarus មានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងបន្ថែមពង្រាយមេរោគលើ macOS ដែលត្រូវ Kaspersky Lab រកឃើញ។ វាមានសកម្មភាពចាប់តាំងពីឆ្នាំ 2009 ហើយត្រូវរដ្ឋាភិបាលកូរ៉េខាងជើងគាំទ្រ។  គេចាត់ទុក Lazarus  ជាការគម្រាមកំហែងធ្ងន់ធ្ងរបំផុតចំពោះធនាគារ។ គេស្គាល់ថា ក្រុមនេះ​ជាអ្នករៀប ចំឱ្យមានការវាយប្រហារកម្រិតខ្ពស់ៗ មួយចំនួនរួមទាំងការហេគលើក្រុមហ៊ុន Sony ក្នុងឆ្នាំ ២០១៤ និងការផ្ទុះ Wannierry នៅឆ្នាំមុន។​ក្នុងប៉ុន្មានខែថ្មីៗនេះ ក្រៅពីវិស័យធនាគារធនាគារ ក្រុមនេះធ្វើការវាយប្រហារផ្តោតលើការផ្លាស់ប្តូររូបិយប័ណ្ណផ្សេងៗ។

ក្នុងការវាយប្រហារមួយ ដែលសមាជិក Kaspersky សំដៅដល់ Operation AppleJeus នោះ ក្រុមវាយប្រហារនេះ ធ្វើការបោកបញ្ឆោតបុគ្គលិកដែលមិនដឹងខ្លួនឱ្យទាញយកកម្មវិធី trojanized cryptocurrency និងដំឡើងមេរោគ Malignly ។ អ្វីដែលធ្វើឱ្យការវាយប្រហារនេះមានលក្ខណៈល្អប្រសើរបើប្រៀបធៀបទៅនឹងការវាយប្រហារ Lazarus នោះ ដោយសារអ្នកហារបានរចនារូបរាងមេរោគរបស់ពួកគេដើម្បីកំណត់គោលដៅ លើ macOS  បន្ថែមពីលើ Windows ។ ក្រុមស្រាវជ្រាវ Kaspersky និយាយថា នេះជា​លើកទី 1 ហើយដែល Lazarus ប្រើប្រព័ន្ធ malware សម្រាប់វាយប្រហារលើប្រព័ន្ធ​ប្រតិបត្តិ​ការ​​​របស់ក្រុមហ៊ុន Apple ។ ក្រុមការងារសន្តិសុខចង្អុលបង្ហាញថា ការពិតក្រុម Lazarus ពង្រីកបញ្ជីប្រព័ន្ធប្រតិបត្តិការ គោលដៅរបស់ខ្លួនគួរតែជាការដាស់តឿនដល់អ្នកដែលមិនមែនប្រើប្រព័ន្ធប្រតិបត្តិការ Windows។

ទោះយ៉ាងណាក៏ដោយ​ លេខកូដព្យាបាទមិននបញ្ជូនជាមួយកញ្ចប់តំឡើង របស់កម្មវិធីទេ។ ផ្ទុយទៅវិញវាត្រូវគេបញ្ចូនទៅម៉ាស៊ីនគោលដៅក្នុងទម្រង់នៃការផ្លាស់ ប្តូរថ្មីធ្វើមួយ ដែលនេះជាការរកឃើញរបស់អ្នកស្រាវជ្រាវសុវត្ថិភាពរបស់ Kaspersky ។ កម្មវិធីដែលមានលក្ខណៈស្របច្បាប់ត្រូវគេហៅថា Celas Trade Pro និងមកពី Celas Limited ។ កម្មវិធីជួញដូរ cryptocurrency គ្រប់ប្រភេទទាំងអស់ វាមិនបានបង្ហាញពីសញ្ញាណាមួយ ពីការព្យាបាទនៅពេលដំបូងនោះទេ។ទោះជាយ៉ាងណាក៏ដោយ​ ចុងបញ្ចប់នៃដំណើរការដំឡើង គេមើលឃើញថា វាដំណើរការ Updater.exe ដែលនឹងអាចប្រមូលព័ត៌មានប្រព័ន្ធ​ហើយផ្ញើវាទៅម៉ាស៊ីនមេក្នុងលក្ខណៈរូបភាព GIF ម្ដងទៀត។

ផ្អែកលើការឆ្លើយតបរបស់ម៉ាស៊ីនមេ (server)​កម្មវិធីធ្វើបច្ចុប្បន្នភាព​ដោយរក្សាភាពស្ងាត់ ឬទាញយកឯកសារផ្ទុកដោយប្រើ base64 និង decrypts វាដោយប្រើ RC4 ជាមួយនឹងកូន​សោរ hardcoded ផ្សេងទៀតដើម្បីទាញយកឯកសារដែលអាចបញ្ចូល។សម្រាប់អ្នកប្រើ MacOS, Celas LLC ក៏បានផ្តល់នូវកំណែដើមនៃកម្មវិធីពាណិជ្ជកម្មរបស់ខ្លួនផងដែរ។ ម៉ូឌុល ‘autoupdater’ ដែលលាក់ បាំងត្រូវគេតំឡើងនៅផ្ទៃខាងក្រោយដើម្បីចាប់ផ្តើមភ្លាមៗក្រោយពីការដំឡើង និងការ reboot ប្រព័ន្ធនីមួយៗរបស់អ្នក នេះយោងតាមពន្យល់របស់ Kaspersky។

ម៉ូឌុលនេះនឹងបន្តទំនាក់ទំនងទៅ command និង control (C & C) ដើម្បីទាញយក​និងដំណើរការឯកសារបន្ថែម។ ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ​ត្រូវគេអនុវត្តតាមលក្ខណៈ ស្រដៀងគ្នាទៅនឹងការងារដែលប្រើ Windows ជាមួយប្រព័ន្ធព័ត៌មានដែលគេផ្ញើរមានអ៊ិនគ្រីប រួច ដោយក្លែងធ្វើជាឯកសាររូបភាពសម្រាប់ការផ្ទុក និងទាញយក។

កម្មវិធី Updater មិនត្រូវបានរាយបញ្ជីក្នុងកម្មវិធី Finder ឬការតំឡើង default Directory Terminal ទេ ​ហើយវាត្រូវគេបញ្ជូនបណ្តាញ command “CheckUpdate” នៅពេលចាប់ផ្តើម​ដំណើរការ។ ជាក់ស្តែង កម្មវិធីនេះនឹងបិទ ប្រសិនបើគ្មានការផ្តល់ command​​ ហើយវាទំនង​ជាវិធីមួយដែលគេប្រើដើម្បីបោកបញ្ឆោតការរកឃើញដោយ sandboxes ។

កម្មវិធីដែលធ្វើការផ្លាស់ប្តូរថ្មី ដូចគ្នាទៅនឹង Windows variant ដោយទាំងពីរនេះត្រូវគេអនុវត្ត ដោយប្រើទម្រង់ Qt ។ នៅពេលប្រតិបត្តិ​ វាបង្កើតការកំណត់អត្តសញ្ញាណពិសេសមួយ​សម្រាប់ម៉ាស៊ីនដែលឆ្លងមេរោគ  ការប្រមូលព័ត៌មានមូលដ្ឋាន ក្រោយមកអ៊ិនគ្រីបទិន្នន័យ និងផ្ទេរវាទៅម៉ាស៊ីនបម្រើរបស់អ្នកវាយប្រហារ។

ឯកសារដែលអាចបញ្ចូលបានមានទំហំធំមិនធម្មតាដោយសារវាត្រូវគេបំប៉ោងដោយទិន្នន័យ ឥតបានការ។ គោលបំណងចម្បងនៃមេរោគគឺដើម្បីដាក់បញ្ចូលតាមទ្វាក្រោយកម្មវិធី Fallchill ទៅលើម៉ាស៊ីន។ ក្រុម Kaspersky ចង្អុលបង្ហាញថា Backdoor Backdoor គឺជាផ្នែកមួយនៃ​មេរោគ​​ដែលត្រូវគេចាត់ទុកថាជាក្រុម Lazarus ដែលមានមេរោគយ៉ាងពេញលេញដើម្បីគ្រប់​គ្រងម៉ាស៊ីន។ ក្រុមហ៊ុនសន្តិសុខក៏បានកត់សម្គាល់ផងដែរថា ប្រតិបត្តិករពពួកមេរោគហាក់ ដូចជាកំពុងប្រើកូដ និងរចនាសម្ព័ន្ធ C & C ម្តងហើយម្តងទៀត។ក្រុម Lazarus ចូលក្នុងទម្រង់ថ្មីមួយ: macOS ។ [… ] ដោយយើងជឿជាក់ថា នៅពេលអនាគត Lazarus នឹងគាំទ្រដល់វេទិកា (platforms) ទាំងអស់ ដែលអ្នកអភិវឌ្ឍន៍កម្មវិធី​កំពុងប្រើជា​ platform ​មូលដ្ឋានមួយដោយសារតែអ្នកអភិវឌ្ឍន៍ជាច្រើនបើកទ្វារជាបណ្តើរៗ។ អ្វីដែល មិនទាន់ច្បាស់នោះថាតើ Lazarus អាចសម្រុះសម្រួល Celas  និងរំលោភលើដំណើរ ការអាប់ដេតថ្មីរបស់វាដើម្បីបញ្ចូនមេរោគ ឬបើពួក Hacker អាចបង្កើត អាជីវកម្មដែល​មាន លក្ខណៈស្របច្បាប់ និងចាក់បញ្ចូលទិន្នន័យដែលមានគ្រោះថ្នាក់ទៅក្នុង​ software  អាប់ដេតថ្មី​ដែលស្របច្បាប់។ ការធ្វើដូច្នេះជាការបង្កើតចង្វាក់ផ្គត់ផ្គង់ក្លែងក្លាយ៕

ប្រភព៖

https://www.securityweek.com/north-korean-hackers-hit-cryptocurrency-exchange-macos-malware

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here