មេរោគ BabyShark Malware ត្រូវចែកចាយតាមរយៈឯកសារ Excel Macro

0

តួអង្គគំរាមកំហែងចែកចាយពពួកមេរោគ BabyShark ដែលមានមូលដ្ឋានលើ Visual Basic ដែលបញ្ជូនតាមរយៈអ៊ីម៉េលបន្លំ។ អ៊ីម៉េលដែលផ្ញើចេញពីអាស័យដ្ឋានអ៊ីម៉េលសាធារណៈ ក្លែងបន្លំធ្វើជាអ្នកជំនាញការផ្នែកសន្តិសុខនុយក្លេអ៊ែរ។ក្រុមស្រាវជ្រាវចំនួន ៤២​នាក់ រក ឃើញយុទ្ធនាការនេះ នៅខែវិច្ឆិកាឆ្នាំ២០១៨ ហើយវាមានទំនាក់ទំនងជាមួយសកម្មភាព​អតីតកាលរបស់ប្រទេសកូរ៉េខាងជើងដូចជា KimJongRAT និង STOLEN PENCIL ។

ការឆ្លងមេរោគនេះចាប់ផ្តើមដោយអ៊ីម៉ែលផ្ទុកឯកសារមេរោគ Excel មានគ្រោះថ្នាក់​ដែលភ្ជាប់នៅពេលដែលបានប្រតិបត្តិម៉ាក្រូផ្ទុកមេរោគថ្មីដែលមានមូលដ្ឋានលើស្គ្រីប Microsoft Visual Basic (VB) ដែលមានឈ្មោះថា BabyShark ។ ដំណាក់កាលដំបូងរបស់ HTA  ត្រូវគេទាញយកពីទីតាំងពីចម្ងាយ និងផ្ញើសំណើរ HTTP GET ទៅកាន់​ទីតាំងមួយផ្សេង​ទៀតនៅលើម៉ាស៊ីនបម្រើ C2 ដូចគ្នាដែលកាត់ស្គ្រីប BabyShark VB ។

ក្រោយមកស្គ្រីប BabyShark VB អនុញ្ញាតម៉ាក្រូសម្រាប់ Microsoft Word និង Excel និងបន្ថែមពាក្យសម្ងាត់​ចុះបញ្ជី​និងបញ្ចេញពាក្យបញ្ជាដើម្បីស្វែងរកព័ត៌មានរបស់អ្នកប្រើអាសយដ្ឋាន IP     ឈ្មោះ ប្រព័ន្ធការងារដែលកំពុងដំណើរការ និងប្រភេទេ។ BabyShark ប្រមូលទិន្នន័យ ​និងអ៊ីនកូ​ដ​ដោយប្រើ certutil.exe រួចបញ្ជូនទៅម៉ាស៊ីនមេ C2 ។ វាបន្ថែមសោចុះបញ្ជីដើម្បីធានាបាន​នូវការរងចាំ និងរង់ចាំពាក្យបញ្ជាពីម៉ាស៊ីនមេ C2 ។

គេរកឃើញសំណាកឯកសារ ដែល មានគ្រោះថ្នាក់បន្ថែមទៀតដែលបញ្ចូនដោយ BabyShark ។ ក្រុមអ្នកស្រាវជ្រាវនិយាយថា​ឈ្មោះឯកសារដើម និងវត្ថុតាងនៃសំណាកគំរាមកំហែងទាំងនេះ​អាចមានចំណាប់អារម្មណ៍​ក្នុងការប្រមូលព័ត៌មានស៊ើបការណ៍ដែលទាក់ទង និងមិនត្រឹមតែនៅប្រទេសកូរ៉េខាងជើង ប៉ុណ្ណោះ ទេថែមទាំងអាចធ្វើឡើងនៅតំបន់អាស៊ីឦសានផងដែរ។ គេរកឃើញថា BabyShark ជាប់ទាក់ទងជាមួយសកម្មភាពរបស់កូរ៉េខាងជើងពីមុនដូចជា KimJongRAT និង STOLEN PENCIL ។

BabyShark ប្រើឯកសារដូចគ្នាសម្រាប់រក្សាទុកព័ត៌មានដែលប្រមូលបានដូចជា KimJongRAT និងវិញ្ញាបនប័ត្រចុះហត្ថលេខាដូចគ្នាដែលប្រើនៅក្នុងយុទ្ធនាការ STOLEN PENCIL ។ មេរោគនេះត្រូវគេប្រើនៅក្នុងយុទ្ធនាការឆបោកមានកំណត់មួយ​ដែលចាប់ផ្តើមក្នុង​ខែវិច្ឆិកាឆ្នាំ២០១៨ ហើយនៅតែកំពុងបន្ត។ មេរោគគំរាមកំហែងនៅពីក្រោយរឿងនេះ​ផ្តោតការយកចិត្តទុកដាក់យ៉ាងសំខាន់លើការប្រមូលព័ត៌មានទាក់ទងទៅនឹងបញ្ហាសន្តិសុខជាតិនៅអាស៊ីភាគឦសាន៕

ប្រភពព័ត៌មាន៖

https://gbhackers.com/babyshark-malware-phishing/

LEAVE A REPLY

Please enter your comment!
Please enter your name here