ក្រុមហេគឃ័រ APT-C-27 ចាប់ផ្តើមនូវទ្វារក្រោយ njRAT Backdoor តាមរយៈការប្រើប្រាស់ឯកសារ Word Documents ដើម្បីគ្រប់គ្រងទៅលើឧបករណ៍ដែលរងគ្រោះ

0

ឥឡូវនេះក្រុមហ៊ុន Goldmouse APT (APT-C-27) ចាប់ផ្ដើមធ្វើអាជីវកម្មលើ​ភាពងាយរង​គ្រោះ​របស់ WinRAR (CVE-2018-20250 [6]) ដើម្បីបិទបាំង backdoor njRAT និងកំណត់គោលដៅ តាមរយៈឯកសារ Word Decoy ដើម្បីសម្រុះសម្រួល និងគ្រប់គ្រងឧបករណ៍។ ភាពងាយរង​គ្រោះរយៈពេល១៩  ឆ្នាំនេះត្រូវក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបញ្ចេញនៅសប្តាហ៍មុនហើយ ភាពងាយរងគ្រោះស្ថិតក្នុង WinRAR UNACEV2.DLL ។

ចាប់តាំងពីភាពងាយរងគ្រោះត្រូវគេ ជួសជុល អ្នកវាយប្រហារចាប់ផ្តើមធ្វើអាជីវកម្ម និងសម្រុះសម្រួលលើប្រព័ន្ធងាយរងគ្រោះ ដែលមិនទាន់ជួសជុល។  អ្នកវាយប្រហារលាក់ និងចែកចាយមេរោគ WinRAR ដោយប្រើឯក​សារពាក្យសម្ងាត់ និងចុងក្រោយនាំមកវិញនូវ NjRAT ទៅក្នុងម៉ាស៊ីនរបស់ជនរងគ្រោះ នៅពេលដែលបណ្ណសារត្រូវគេបង្កប់ក្នុងលើឯកសារដែលងាយរងគ្រោះរបស់កុំព្យូទ័រ .njRAT ដោយវាបន្លំធ្វើជាប្រព័ន្ធ Telegram Desktop app (Telegram Desktop.exe) ដែលវានឹងក្លាយ ជាប្រអប់បន្ថែម។ ក្រុមអ្នកស្រាវជ្រាវមកពីមជ្ឈមណ្ឌលស៊ើបអង្កេត360 Threat Intelligence    Center  រកឃើញគំរូ Android ដែលពាក់ព័ន្ធជាច្រើនក្លែងធ្វើជាកម្មវិធីទូទៅ​ដើម្បី​វាយ​ប្រហារគោលដៅជាក់លាក់។ តួអង្គគំរាមកំហែងដែលនៅពីក្រោយការវាយប្រហារ​នេះមានភាពស៊ាំជាមួយភាសាអារ៉ាប់ និងភាសាដូចគ្នាដែលប្រើក្នុងកូដព្យាបាទ។

មេរោគ njRATបញ្ចូលមេរោគក្នុង ដំបូងក្រុមអ្នកវាយប្រហារប្រើឯកសារពាក្យមេរោគដែលមានមាតិកាទាក់ទងនឹងការវាយប្រហារភេរវនិយមនៅមជ្ឈឹមបូព៌ាធ្វើឱ្យអ្នកប្រើពន្លាឯកសារភ្ជាប់ WinRAR ភ្ជាប់។ នៅពេលដែលអ្នក​ប្រើ​​ពន្លាវារួចវានឹងភ្ជាប់នៅលើប្រព័ន្ធផ្ទុក WinRAR ដែលនឹងប្តូរចេញទៅជា ថតឯកសារចាប់ ផ្ដើម ដែលមានឈ្មោះ Telegram Desktop ។  Telegram Desktop.exe ឌីកូដទិន្នន័យតាម រយៈ Base៦៤ និងប្រតិបត្តិប្រព័ន្ធដោយផ្ទាល់ក្នុងអង្គចងចាំដើម្បីទម្លាក់ចោលនូវ backdoor. njRAT  ហើយចុងក្រោយបំផុតវា អនុវត្តបច្ចេកទេសគេចវេសៗដើម្បីបិទភ្លើង firewall  និងទំនាក់ទំនងជាមួយ C & C ដើម្បីប្រតិបត្តិការប្រតិបត្តិការគំនិតអាក្រក់ដូចជា SHELL កម្មវិធីជំនួយ plug-in support, remote desktop, file management ជាដើម។

នេះបើ​​យោង​តាមប្រភពមជ្ឈមណ្ឌលស៊ើបអង្កេត360 Threat Intelligence Center បង្ហាញអោយ​ពី​គំរូអេឡិចត្រូនិកជាច្រើនដែលពាក់ព័ន្ធនឹង C & C ដូចគ្នា (82.137.255.56) ដែល​គេរក​ឃើញ ។ ថ្មីៗនេះ កម្មវិធី Backdoor Android ត្រូវគេក្លែងបន្លំដោយប្រើជាកម្មវិធីប្រព័ន្ធ Android និងកម្មវិធីធ្វើបច្ចុប្បន្នភាពកម្មវិធីការិយាល័យ(update program) ។WinRAR ចេញ ផ្សាយកំណែ WinRAR 5.70 រួចហើយ និងឱ្យអ្នកប្រើប្រាស់ការពារខ្លួនឯងប្រឆាំងនឹងការវាយ ប្រហារ។

ប្រភពព័ត៌មាន៖

https://gbhackers.com/apt-c-27-hackers-launching-njrat-backdoor/

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Disney ស៊ើបអង្កេតលើការលេចធ្លាយសារផ្ទៃក្នុង (Internal Messages)

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហាងថ្នាំ Rite Aid ពោលថា ការបំពានទិន្នន័យកាលពីខែមិថុនា បានប៉ះពាល់ដល់មនុស្ស ២,២លាននាក់

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត SEXi ប្តូរឈ្មោះទៅ APT INC ហើយបន្តវាយប្រហារលើ VMwar ESXi

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការផ្សាយពាណិជកម្ម Facebook ទាក់ទងនឹង Windows Desktop Themes ជាការបន្លំដើម្បីចម្លងមេរោគលួចយកព័ត៌មាន

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Kaspersky សាខានៅអាមេរិក កំពុងតែត្រៀមបិទទ្វារ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បង្កើនប្រាក់រង្វាន់រហូតដល់ទៅ ៥ដង សរុបចំនួន ១៥១ពាន់ដុល្លារ

LEAVE A REPLY

Please enter your comment!
Please enter your name here