អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពរកឃើញមេរោគ2ខុសគ្នា។ មេរោគ1ចែកចាយ Trojan មានផ្ទុកទិន្នន័យ លួច Ursnif និង Ransomware របស់ GandCrab និងមេរោគទី២គ្រាន់តែឆ្លងមេរោគ Ursnif ប៉ុណ្ណោះ។
ទោះបីជាមេរោគទាំងពីរនេះហាក់ដូចជាការងារ2ដាច់ដោយឡែកពីគ្នាក៏ដោយយើងរកឃើញភាព ស្រដៀងគ្នាជាច្រើននៅក្នុងនោះ។ ការវាយប្រហារទាំងពីរនេះចាប់ផ្តើមពីអ៊ីម៉ែលក្លែងបន្លំមានឯកសារ Microsoft Word ភ្ជាប់បង្កប់ជាមួយម៉ាក្រូដែលមានគ្រោះថ្នាក់ ហើយបន្ទាប់មកប្រើ Powershell ដើម្បីបញ្ជូន malware។ Ursnif ជាមេរោគលួចទិន្នន័យដែលជាធម្មតាវាលួចយកព័ត៌មានរសើប ពីកុំព្យូទ័ររួមមាន៖ លិខិតឆ្លងដែន សកម្មភាពសំខាន់ៗ ពាក្យគន្លឹះ និងព័ត៌មានដំណើរការ និងដាក់ បន្ថែម Backdoor។រកឃើញកាលពីឆ្នាំមុនថា GandCrab ជាការ ransomware ដែលរីករាលដាលដូចជា ransomware ផ្សេងទៀតនៅក្នុងទីផ្សារអ៊ិនគ្រីបឯកសារនៅលើប្រព័ន្ធមេរោគនិងទទូចជនរងគ្រោះឲ្យបង់ប្រាក់លោះជារូបិយប័ណ្ណឌីជីថលដើម្បីដោះស្រាយបញ្ហា។ អ្នកបង្កើតវាស្នើសុំការទូទាត់ជាចម្បងនៅក្នុង DASH ដែលពិបាកតាមដានជាងមុន។
MS Docs + VBS macros = Ursnif និង GandCrab Infection
មេរោគដំបូងចែកចាយមេរោគពីររកឃើញដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខនៅ Carbon Black ដែល មានឯកសារប្រហែល 200 ប្រភេទជាឯកសារ MS Word សំដៅទៅអ្នកប្រើដែលមានមេរោគម៉ាក្រូ VBS។ ប្រសិនបើម៉ាក្រូ VBS ដំណើរការស្គ្រីប PowerShell ជោកជ័យ បន្ទាប់មកប្រើបច្ចេកទេស បន្ទាប់ដើម្បីទាញយកនិងប្រតិបត្តិ Ursnif និង GandCrab លើប្រព័ន្ធគោលដៅ។
ស្គ្រីប PowerShell ត្រូវអ៊ិនកូដនៅក្នុង base64 ដែលប្រតិបត្តិជំហានក្រោយ ពីការឆ្លងមេរោគ ដែលទាញយកមេរោគសំខាន់ៗដើម្បីបញ្ជាប្រព័ន្ធ។ បន្ទុកដំបូងគឺ PowerShell តែមួយគត់ ដែលវាយ តម្លៃប្រព័ន្ធគោលដៅ ហើយបន្ទាប់មកទាញយកបន្ទុកបន្ថែមពីគេហទំព័រ Pastebin ដែលប្រតិបត្តិ ក្នុងការចងចាំវាពិបាកសម្រាប់បច្ចេកទេសប្រឆាំងមេរោគថ្មីៗក្នុងការរកមើលសកម្មភាពរបស់វា។
“ស្គ្រីប PowerShell នេះគឺជាកំណែនៃម៉ូឌីល Invoke-PSInject មានការកែប្រែតិចតួចណាស់”។ “ស្គ្រីបនឹងយកឯកសារបង្កប់ PE (portable executable) ដែលមានអ៊ីនកូដ base64 ហើយបញ្ចូលវា ទៅក្នុងដំណើរការ PowerShell បច្ចុប្បន្ន។”បន្ទុកចុងក្រោយបង្អស់ដំឡើងវ៉ារ្យ៉ង់របស់ GandCrab ransomware លើប្រព័ន្ធជនរងគ្រោះ មិនអាចចូលទៅក្នុងប្រព័ន្ធរបស់ពួកគេរហូតដល់ពួកគេបង់ប្រាក់លោះ។ទន្ទឹមនឹងនេះដែរមេរោគក៏អាចទាញយកកម្មវិធី Ursnif ដែលអាចប្រតិបត្តិពីចម្ងាយ ហើយនៅ ពេលដែលវាប្រតិបត្តិនោះ វានឹងកំណត់ប្រព័ន្ធ ត្រួតពិនិត្យ web browser ដើម្បីប្រមូលទិន្នន័យ ហើយផ្ញើទៅម៉ាស៊ីនមេ និងបញ្ជា (C & C)។ទោះយ៉ាងណា Ursnif variants ជាច្រើនមានគេបង្ហោះនៅលើគេហទំព័រ bevendbrec [.] com អំឡុងពេលនេះ។ Carbon Black អាចរកឃើញ Ursnif variants ប្រហែល 120 ខុសគ្នា ដែលត្រូវ គេរៀបចំពី iscondisth [.] com និង bevendbrec [.] com បើតាមសំដីអ្នកស្រាវជ្រាវ។
MS Docs + VBS macros = Ursnif Data-Stealing Malware
ដូចគ្នានេះដែរ malware ទី 2 រកឃើញដោយក្រុមអ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពនៅ Cisco Talos ប្រើឯកសារ Microsoft Word មានម៉ាក្រូ VBA ដើម្បីផ្ញើរមេរោគផ្សេងទៀតដូចជា Ursnif។
ការវាយប្រហារនេះក៏អាចបញ្ជាប្រព័ន្ធគោលដៅក្នុងដំណាក់កាលជាច្រើនផងដែរដោយចាប់ផ្តើមពី អ៊ីម៉ែលបន្លំ ដើម្បីដំណើរការពាក្យបញ្ជា PowerShell បន្ទាប់មកទាញយក និងដំឡើងមេរោគ កុំព្យួទ័រផ្ទុកទិន្នន័យ Ursnif ។អ្នកស្រាវជ្រាវពន្យល់ថា “មានបីផ្នែកចំពោះពាក្យបញ្ជា [PowerShell] ផ្នែកទីបីបង្កើតមុខងារមួយ ដែលក្រោយមកគេប្រើដើម្បីឌិកូដ PowerShell ដែលអ៊ីនកូដ Base64។ ផ្នែកទីពីរបង្កើត byte array ដែលផ្ទុក DLL ដែលមានគ្រោះថ្នាក់។ ផ្នែកទីបីប្រតិបត្តិមុខងារបម្លែង Base64 ដែលបង្កើត ក្នុងផ្នែកដំបូងដោយ string ដែលមានមុខងារដូច parameter អ៊ិនកូដ base64។
លទ្ធផលដែលបកក្រោយគឺប្រតិបត្តិដោយអនុគមន៍ Invoke-Expression (iex)។នៅពេលដំណើរការនៅលើកុំព្យូទ័រជនរងគ្រោះមេរោគនេះប្រមូលព័ត៌មានពីប្រព័ន្ធដាក់ទ្រង់ទ្រាយ ឯកសារ CAB បន្ទាប់មកផ្ញើទៅម៉ាស៊ីនមេបញ្ជា និងបញ្ជាតាមរយៈការតភ្ជាប់សុវត្ថិភាពរបស់ HTTPS។ ក្រុមអ្នកស្រាវជ្រាវ Talos ចេញផ្សាយការសម្រុះសម្រួល (IOCs) រួមជាមួយឈ្មោះឯកសារ ដែលប្រមូលនៅលើម៉ាស៊ីនសម្របសម្រួលនៅលើប្លុករបស់ពួកគេដែលអាចជួយអ្នកឲ្យរកឃើញ និងបញ្ឈប់មេរោគ Ursnif មុនពេលវាឆ្លងចូលទៅកុំព្យូទ័ររបស់អ្នក។
ប្រភពពត៌មាន ៖
https://thehackernews.com/2019/01/microsoft-gandcrab-ursnif.html
