ក្រុមឧក្រិដ្ឋជនវាយប្រហារយ៉ាងសកម្មផ្តោតលើអង្គការហិរញ្ញវត្ថុនៅទូទាំងអាមេរិកឡាទីន ដោយពួកគេធ្វើការដំឡើង Backdoor មួយចូលទៅក្នុងប្រព័ន្ធគោលដៅ។ ក្រុមហេគដូចគ្នា កំណត់គោលទៅលើអង្គការហិរញ្ញវត្ថុជាច្រើននៅជុំវិញពិភពលោកដោយប្រើឧបករណ៍ទំនើប ៗ និងបច្ចេកទេសជាច្រើន។
សកម្មភាពថ្មីៗដែលធ្វើឡើងដោយក្រុម Lazarus APT នេះឆ្លងកាត់ការផ្លាស់ប្តូររូបិយប័ណ្ណ ដោយប្រើកម្មវិធីដំឡើងក្លែងក្លាយ និងមេរោគ macOS ដោយប្រើបច្ចេកទេសស្មុគ្រ ស្មាញផ្សេងៗ។ ដូចគ្នានេះផងដែរ, ពួកគេបំពានលើបណ្តាញធនាគារ និងការបំពានទៅ លើម៉ាស៊ីនបម្រើប្រតិបត្តិការ ATM ក្នុងការវាយប្រហារថ្មីមួយនៅក្នុងខែវិច្ឆិកានេះ។
គេរកឃើញការវាយប្រហារថ្មីបំផុតនៅថ្ងៃទី១៩ ខែកញ្ញាឆ្នាំ២០១៨ ពីម៉ាស៊ីនជាច្រើនដែលមាន Backdoor ដែល Backdoor សុទ្ធតែត្រូវគេប្រើរួចហើយនៅក្នុងការវាយប្រហារមុនឆ្នាំ២០១៧ ដោយប្រើប្រាស់ FileTokenBroker.dll ដែលមានលក្ខណៈស្រដៀងគ្នា។ វិធីសាស្រ្តនៃការវាយប្រហារថ្មី , មុខងារ, សមាសភាគផ្ទុកគឺស្រដៀងទៅនឹងឧប្បត្តិហេតុបច្ចុប្បន្ន និងមុន។
របៀបដែល Backdoor នេះមានដំណើរការ
វាមានសមាសភាគសំខាន់ៗចំនួន ៣ ដែលពាក់ព័ន្ធនឹង Backdoor នេះនៅក្នុងម៉ូឌុលបច្ចុប្បន្នដែលចែកចាយដោយក្រុមឧក្រិដ្ឋជនអ៊ិនធើណេត Lazarus។ ដំបូងកម្មវិធីសមាសភាគ ទីមួយគឺ AuditCred.dll / ROptimizer.dll ដែលត្រូវគេប្រើដើម្បីបើកដំណើរការ ជាសេវាកម្ម មួយ ហើយផ្នែកទី ២ គឺ Msadoz <n> .dll ដែលជា Backdoor សំខាន់។ សមាសភាគទី៣ Auditcred.dll.mui / rOptimizer.dll.mui ជាឯកសារកំណត់រចនាសម្ព័ន្ធដែលគេអ៊ីនគ្រីប ។
កម្មវិធីដំឡើងសមាសធាតុរបស់មេរោគនៅក្នុងម៉ាស៊ីនផ្សេងៗគ្នានៅពេលដែលមេរោគឆ្លងទៅម៉ាស៊ីនដែលប្រើ មេរោគក៏ប្រើឈ្មោះផ្សេងៗដូចជា AuditCred និង ROptimizer នៅលើ ម៉ាស៊ីនផ្សេងៗគ្នាដែលមានសមត្ថភាពដូចគ្នា។ សមាសភាគទីពីរ Msadoz <n> .dll ផ្ទុក & ធ្វើការអ៊ីនគ្រីបដើម្បីដើរតួជា Backdoor សំខាន់ក្នុងមេម៉ូរ៉ី។

យោងតាមប្រភពរបាយការណ៍ Trend Micro ឱ្យដឹងថា ប្រសិនបើដំឡើងមេរោញដោយ ជោគជ័យនោះ Backdoor នឹងបង្កការគំរាមកំហែងដល់គោលដៅរបស់មេរោគនោះ។ វាមានសមត្ថភាព និងមុខងារដូចខាងក្រោម៖
- ប្រមូលពត៌មានឯកសារ / ហ្វូលឌ័រ / ព័ត៌មានក្នុងដ្រាយ
- ទាញយកឯកសារនិងមេរោគបន្ថែម
- ដំណើរការចាប់ផ្តើម / បញ្ចប់ / និងរៀបដំណើរការ
- ធ្វើបច្ចុប្បន្នភាពទិន្នន័យកំណត់រចនាសម្ព័ន្ធ
- លុបឯកសារ
- បញ្ចូលលេខកូដពីឯកសារទៅប្រព័ន្ធដែលកំពុងដំណើរការផ្សេងទៀត
- ដំណើរការ proxy
- បើកសែលបញ្ច្រាស
- ប្រើ Run ក្នុងភាពអកម្ម – ជំនួសឱ្យការតភ្ជាប់យ៉ាងសកម្មទៅនឹងពាក្យបញ្ជានិងបញ្ជា (C & C) ម៉ាស៊ីនបម្រើ, Backdoor នឹងបើកនិងស្តាប់ ក្រោយមកវាទទួលពាក្យ បញ្ជា
នៅពេលដែល Backdoor បើកដំណើរការដោយជោគជ័យ ក្រោយមកឯកសារកំណត់រចនា សម្ព័ន្ធនឹងភ្ជាប់ទៅនឹងពាក្យបញ្ជាម៉ាស៊ីនមេដើម្បីគ្រប់គ្រងសកម្មភាពព្យាបាទផ្សេងៗនិងចែករំលែកទិន្នន័យដែលលួច។ Backdoor ដែលពួកគេកំពុងដាក់ពង្រាយគឺពិបាកក្នុងការរកឃើញ ហើយ Backdoor ទាំងនោះធ្វើការគំរាមកំហែងយ៉ាងខ្លាំងចំពោះភាពឯកជន និងសុវត្ថិភាពរបស់សហគ្រាស ដែលវាអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារលួចយកព័ត៌មាន លុបឯកសារ និងដំឡើងមេរោគ និងធ្វើសកម្មភាពអ្វីៗផ្សេងជាច្រើនទៀត នេះយោងតាមការលើកឡើងរបស់អ្នកស្រាវជ្រាវ៕

ប្រភពព័ត៌មាន៖
https://gbhackers.com/lazarus-hackers-financial-organizations/