ក្រុម OilRig ប្រើប្រាស់យុទ្ធនាការចែកចាយមេរោគ BONDUPDATER Trojan ដើម្បីវាយប្រហារ

0

ក្រុម OilRig ធ្វើយុទ្ធនាការវាយប្រហារមួយ ដែលមានផ្ទុកវីរុស BONDUPDATER ចុងក្រោយ។  នៅខែសីហា ឆ្នាំ 2018 ក្រុមស្រាវជ្រាវការគំរាមកំហែងអង្គភាព 42 របស់ក្រុម Palo Alto Network រកឃើញយុទ្ធនាការ OilRig មួយ ដែលផ្ដោតសំខាន់ទៅលើអង្គការរដ្ឋាភិបាលជាន់ខ្ពស់មួយ នៅមជ្ឈឹមបូព៌ា។ យុទ្ធនានៃប្រព័ន្ធអ៊ីនធើណិតមានឥទ្ធិពលលើការលួចបន្លំ។ អ៊ីម៉ែលវាយប្រហារ មិនមាន ប្រធានបទ និងភ្ជាប់ជាមួយឯកសារភ្ជាប់ ដែលមានឈ្មោះថា “N56.15.doc” ។  អ៊ីម៉ែលបន្លំ Spear ដែលផ្ញើដោយក្រុមនេះសម្រាប់គំរាមកំហែង Oilrig (ប្រភព: Palo Alto Networks) បញ្ចូលនៅក្នុងឯកសារ Microsoft Word ដែលជាម៉ាក្រូមានគ្រោះថ្នាក់ ដែលបង្កើតឯកសារពីរ: “AppPool.vbs” និង “AppPool.ps1” ។

VBScript អនុវត្ត AppPool.ps1 ជាស្គ្រីប PowerShell ដែលជាវ៉ារ្យ៉ង់របស់ BONDUPDATER ត្រូវរកឃើញដំបូងបង្អស់ដោយ FireEye នៅពាក់កណ្តាល ខែ វិច្ឆិកា ឆ្នាំ 2017 BONDUPDATER គឺជាមេរោគ Trojan ដែលដំណើរការជា Backdoor ដោយអនុញ្ញាតឱ្យអ្នក វាយប្រហារឌីជីថលធ្វើការ Upload និង download ឯកសារព្រមទាំងប្រតិបត្តិពាក្យបញ្ជា។ ដូចជាការ ផ្ទុកទិន្នន័យ OilRig ផ្សេងទៀត BONDUPDATER ប្រើ DNS Tunneling ដើម្បីទំនាក់ទំនងជាមួយ ម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C & C) ។

ប៉ុន្តែកំណែនេះគឺខុសគ្នាពីវ៉ារ្យ៉ង់មុននៃមេរោគ Trojan ក្នុងនោះ វាប្រើស៊េរីនៃសំណួរ DNS TXT ដើម្បីទទួលបានឯកសារពីម៉ាស៊ីនមេ C & C ។ វ៉ារ្យ៉ង់ថ្មីនៃ BONDUPDATER ក៏ភ្ជាប់មកជាមួយឯកសារចាក់សោ ដែលមានប្រយោជន៍សម្រាប់ការផ្ទៀងផ្ទាត់ ថាមានមេរោគ Trojan ច្រើនជាងមួយ កំពុងដំណើរការនៅលើម៉ាស៊ីន ដែលមានមេរោគ និងសម្រាប់ កំណត់រយៈពេល ដែលដំណើរការ PowerShell ។  នៅទីបំផុត BONDUPDATER រក្សាទុកឯកសារ នៅក្នុង “ប្រអប់បញ្ជូនរបស់ខ្លួន” ហើយបញ្ជូនពួកគេទៅម៉ាស៊ីនមេ C & C របស់ខ្លួន។

បន្ទាប់មកវា បញ្ចប់ ហើយរង់ចាំសម្រាប់កិច្ចការ ដែលបានកំណត់ពេលរបស់វាដើម្បីដំណើរការម្តងទៀត នាពេល អនាគត។  លោក Kyle Wilhoit និង Robert Falcone នៃអង្គភាពលេខ 42 ពន្យល់នៅក្នុងប្លក់ថា ប្លុកថ្មីនេះគឺជាសក្ខីភាពរបស់ OilRig:  ដូចដែលរំពឹងទុកក្រុមហ៊ុន OilRig កំពុងបន្តការវាយប្រហារ យ៉ាងខ្លាំងក្លារហូតដល់ឆ្នាំ 2018 ជាមួយនឹងគោលដៅបន្តទៀតនៅមជ្ឈឹមបូព៌ា។ ជួនកាលការបង្កើតឧបករណ៍ថ្មី ដូចដែល OilRig  ធ្វើពីអតីតកាលមករួមមាន ការបង្កើតនូវ ឧបករណ៍ និងមេរោគ។ ការកាត់បន្ថយពេលវេលានៃការអភិវឌ្ឍន៍ ដើម្បីប្រើទុនលើកំណែមុននៃ ឧបករណ៍ នេះជាភាពជោគជ័យរបស់វា។ អង្គការស្ថាប័នជាច្រើនអាចការពារខ្លួនដោយការត្រួតពិនិត្យ IoCs ដែលទាក់ទងនឹងមេរោគ Trojan ដែលបានធ្វើបច្ចុប្បន្នភាព៕

ប្រភព៖

https://www.tripwire.com/state-of-security/security-data-protection/oilrig-launching-attack-campaigns-with-updated-bondupdater-trojan/

 

 

 

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មន្ទីរពេទ្យប្រទេសបារាំង CHC-SV បដិសេធចំពោះការបង់ប្រាក់ចាប់ជម្រិតពីក្រុម LockBit

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប៉ូលីសចុះបង្ក្រាបមជ្ឈមណ្ឌលទូរស័ព្ទចំនួន ១២កន្លែង និងចាប់បានជនសង្ស័យចំនួន ២១រូប

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

នាយកក្រុមហ៊ុនលក់ផលិតផល Cisco ក្លែងក្លាយទៅឱ្យយោធាអាមេរិក ត្រូវកាត់ទោសដាក់គុក ៦ឆ្នាំ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Microsoft ព្រមានពីការវាយប្រហារ Dirty Stream ប៉ះពាល់ដល់កម្មវិធី Android

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប៉ូលីសជប៉ុនបង្កើតកាតក្លែងក្លាយ (Fake Support Scam Payment Cards) ដើម្បីជួយដល់ជនរងគ្រោះចាស់ជរា

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

រដ្ឋាភិបាលអាមេរិកព្រមានពីសកម្មជនហេគឃ័ររុស្ស៊ីវាយប្រហារលើប្រព័ន្ធផ្គត់ផ្គង់ទឹក

LEAVE A REPLY

Please enter your comment!
Please enter your name here