ក្រុមហេគឃ័រ Lazarus វាយប្រហារអង្គភាពហិរញ្ញវិត្ថុ ដោយប្រើផ្លូវក្រោយ (Backdoor) ដែលខ្លាំង

0

ក្រុមឧក្រិដ្ឋជនវាយប្រហារយ៉ាងសកម្មផ្តោតលើអង្គការហិរញ្ញវត្ថុនៅទូទាំងអាមេរិកឡាទីន ដោយពួកគេធ្វើការដំឡើង Backdoor មួយចូលទៅក្នុងប្រព័ន្ធគោលដៅ។ ក្រុមហេគដូចគ្នា កំណត់គោលទៅលើអង្គការហិរញ្ញវត្ថុជាច្រើននៅជុំវិញពិភពលោកដោយប្រើឧបករណ៍ទំនើប ៗ  និងបច្ចេកទេសជាច្រើន។

សកម្មភាពថ្មីៗដែលធ្វើឡើងដោយក្រុម Lazarus APT នេះឆ្លងកាត់ការផ្លាស់ប្តូររូបិយប័ណ្ណ ដោយប្រើកម្មវិធីដំឡើងក្លែងក្លាយ និងមេរោគ macOS  ដោយប្រើបច្ចេកទេសស្មុគ្រ ស្មាញផ្សេងៗ។ ដូចគ្នានេះផងដែរ, ពួកគេបំពានលើបណ្តាញធនាគារ និងការបំពានទៅ លើម៉ាស៊ីនបម្រើប្រតិបត្តិការ ATM ក្នុងការវាយប្រហារថ្មីមួយនៅក្នុងខែវិច្ឆិកានេះ។
គេរកឃើញការវាយប្រហារថ្មីបំផុតនៅថ្ងៃទី១៩ ខែកញ្ញាឆ្នាំ២០១៨ ពីម៉ាស៊ីនជាច្រើនដែលមាន Backdoor ដែល Backdoor សុទ្ធតែត្រូវគេប្រើរួចហើយនៅក្នុងការវាយប្រហារមុនឆ្នាំ២០១៧ ដោយប្រើប្រាស់ FileTokenBroker.dll ដែលមានលក្ខណៈស្រដៀងគ្នា។ វិធីសាស្រ្តនៃការវាយ​ប្រហារថ្មី​ , មុខងារ, សមាសភាគផ្ទុកគឺស្រដៀងទៅនឹងឧប្បត្តិហេតុបច្ចុប្បន្ន និងមុន។

របៀបដែល Backdoor នេះមានដំណើរការ

វាមានសមាសភាគសំខាន់ៗចំនួន ៣ ដែលពាក់ព័ន្ធនឹង Backdoor នេះនៅក្នុងម៉ូឌុល​បច្ចុប្បន្ន​ដែល​ចែកចាយដោយក្រុមឧក្រិដ្ឋជនអ៊ិនធើណេត Lazarus។ ដំបូងកម្មវិធីសមាសភាគ ទីមួយគឺ AuditCred.dll / ROptimizer.dll ដែលត្រូវគេប្រើដើម្បីបើកដំណើរការ ជាសេវាកម្ម មួយ ហើយផ្នែកទី ២ គឺ Msadoz <n> .dll ដែលជា Backdoor សំខាន់។ សមាសភាគទី៣ Auditcred.dll.mui / rOptimizer.dll.mui ជាឯកសារកំណត់រចនាសម្ព័ន្ធដែលគេអ៊ីនគ្រីប ។

កម្មវិធីដំឡើងសមាសធាតុរបស់មេរោគនៅក្នុងម៉ាស៊ីនផ្សេងៗគ្នានៅពេលដែលមេរោគឆ្លងទៅម៉ាស៊ីនដែលប្រើ    មេរោគក៏ប្រើឈ្មោះផ្សេងៗដូចជា AuditCred និង ROptimizer នៅលើ ម៉ាស៊ីនផ្សេងៗគ្នាដែលមានសមត្ថភាពដូចគ្នា។ សមាសភាគទីពីរ Msadoz <n> .dll ផ្ទុក & ធ្វើការអ៊ីនគ្រីបដើម្បីដើរតួជា Backdoor សំខាន់ក្នុងមេម៉ូរ៉ី។

យោងតាមប្រភពរបាយការណ៍ Trend Micro ឱ្យដឹងថា ប្រសិនបើដំឡើងមេរោញដោយ ជោគជ័យនោះ  Backdoor នឹងបង្កការគំរាមកំហែងដល់គោលដៅរបស់មេរោគនោះ។ វាមានសមត្ថភាព និងមុខងារដូចខាងក្រោម៖

  • ប្រមូលពត៌មានឯកសារ / ហ្វូលឌ័រ / ព័ត៌មានក្នុងដ្រាយ
  • ទាញយកឯកសារនិងមេរោគបន្ថែម
  • ដំណើរការចាប់ផ្តើម / បញ្ចប់ / និងរៀបដំណើរការ
  • ធ្វើបច្ចុប្បន្នភាពទិន្នន័យកំណត់រចនាសម្ព័ន្ធ
  • លុបឯកសារ
  • បញ្ចូលលេខកូដពីឯកសារទៅប្រព័ន្ធដែលកំពុងដំណើរការផ្សេងទៀត
  • ដំណើរការ proxy
  • បើកសែលបញ្ច្រាស
  • ប្រើ Run ក្នុងភាពអកម្ម – ជំនួសឱ្យការតភ្ជាប់យ៉ាងសកម្មទៅនឹងពាក្យបញ្ជានិងបញ្ជា (C & C) ម៉ាស៊ីនបម្រើ, Backdoor នឹងបើកនិងស្តាប់ ក្រោយមកវាទទួលពាក្យ បញ្ជា

នៅពេលដែល Backdoor បើកដំណើរការដោយជោគជ័យ​ ក្រោយមកឯកសារកំណត់រចនា សម្ព័ន្ធនឹងភ្ជាប់ទៅនឹងពាក្យបញ្ជាម៉ាស៊ីនមេដើម្បីគ្រប់គ្រងសកម្មភាពព្យាបាទផ្សេងៗនិងចែករំលែកទិន្នន័យដែលលួច។  Backdoor ដែលពួកគេកំពុងដាក់ពង្រាយ​គឺពិបាកក្នុងការរកឃើញ​ ហើយ Backdoor ទាំងនោះធ្វើការគំរាមកំហែងយ៉ាងខ្លាំងចំពោះភាពឯកជន និងសុវត្ថិភាពរបស់សហគ្រាស ដែលវាអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារលួចយកព័ត៌មាន  លុបឯកសារ និងដំឡើងមេរោគ និងធ្វើសកម្មភាពអ្វីៗផ្សេងជាច្រើនទៀត នេះយោងតាមការលើកឡើងរបស់អ្នកស្រាវជ្រាវ៕

ប្រភពព័ត៌មាន៖

https://gbhackers.com/lazarus-hackers-financial-organizations/

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here