ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតមើលប្រព័ន្ធ Backdoor ដែលត្រូវបើកតាមរយៈ MS Office ដែលមានការឆ្លងមេរោគស្រដៀងទៅនឹង MuddyWater ដើម្បីលួចយកទិន្នន័យពីជនរងគ្រោះដោយ Share ទិន្នន័យតាមរយៈ C&C Sever ទៅអោយពួកគេ។
MuddyWater គឺជាក្រុមឧក្រិដ្ឋកម្មអ៊ិនធើណែតដែលគេស្គាល់យ៉ាងទូលំទូលាយហើយពួកគេមានសកម្មភាពតាំងពីឆ្នាំ 2017 បានធ្វើការវាយប្រហារ PowerShell script លើអង្គភាពឯកជននិងរដ្ឋាភិបាល។ វាក៏បានចាប់ផ្តើមការវាយប្រហារដូចគ្នាទៅប្រទេសដទៃទៀតដូចជា ប្រទេសតួកគី ប៉ាគីស្ថាន និង តាជីគីស្ថាន នៅក្នុងខែមីនាឆ្នាំ 2018 ។
Backdoor ដែលប្រើ PowerShell-based ថ្មីមានសកម្មភាពស្រដៀងគ្នាជាច្រើនដូចនឹង MuddyWater ដែលបានចែកចាយតាមរយៈឯកសារ Word ដែលមានឈ្មោះថា Raport.doc ឬ Gizli Raport.doc ។ ឯកសារដែលមានគ្រោះថ្នាក់ទាំងនេះត្រូវបាន Upload ពីប្រទេសទួកគី ហើយត្រូវបានគេសរសេរនៅក្នុងកម្មវិធី PowerShell មាន Backdoor ដែលស្គាល់ថា MuddyWater ។
ដូចគ្នាផងដែរនៅក្នុងវិធីសាស្រ្តថ្មីមួយទៀតនៃការវាយប្រហារ អ្នកវាយប្រហារបានប្រើប្រាស់ API របស់ Cloud hosting សម្រាប់គ្រប់គ្រងនឹង Share ទិន្នន័យដែលបានលួចឬចូលទៅប្រើប្រាស់ system។
ដំណើរការឆ្លងមេរោគ PowerShell-based Backdoor
វាជា malicious attachment ដែលបានផ្ញើរតាមអ៊ីម៉ែលមើលទៅហាក់ដូចជាឯកសារនឹងស្លាកសញ្ញារបស់រដ្ឋាភិបាលទួរគី ដែលក្លែងបន្លំអ្នកប្រើឱ្យជឿថាឯកសារទាំងនោះស្របច្បាប់។ ដំបូងវាជូនដំណឹងដល់អ្នកប្រើប្រាស់ថាគឺជាការ Update Version ចាស់នឹងប្រើប្រាស់បើក macro ទើបអាចធ្វើការ Update ឯកសារបានដែលជាកន្លែងមេរោគចាប់ផ្តើម។
Macro បានប្រើប្រាស់ base52 ដើម្បី encode backdoor របស់ពួកគេ។ ក្រោយមកឯកសារ .dll និងឯកសារ .reg ត្រូវបានទម្លាក់ទៅក្នុង% temp% directory ពេលអ្នកប្រើបើក macro។ បន្ទាប់ពីក្រុមអ្នកវិភាគបានវិភាគ Code របស់ PowerShell ពួកគេសន្និដ្ឋានថាវាមានគ្រោះថា្នក់យ៉ាងខ្លាំង។
ដំបូង Backdoor បានប្រមូលព័ត៌មានជាច្រើនរួមទាំង OS name, domain name, user name, IP address និងច្រើនផ្សេងទៀត។ សកម្មភាពរបស់ Backdoor នេះហាក់ដូចជាផ្តោតសំខាន់ទៅលើរដ្ឋាភិបាលទួរគី ដែលពាក់ព័ន្ធនឹងវិស័យហិរញ្ញវត្ថុនិងថាមពល៕
ប្រភព៖
