OceanLoutus ‘Ratsnif ដែលជាមេរោគ Trojan ចូលដំណើរការពីចម្ងាយមិនត្រូវរកឃើញជាពិសេស ដែលត្រូវប្រើសម្រាប់គោលបំណងចារកម្មអ៊ីនធឺរណិតមានដំណើរការល្អប្រសើរជាងមុនហើយ ឥឡូវនេះមានចារកម្ម SSL និងកែប្រែគេហទំព័រ។ មេរោគព្យាបាទដ៏ល្បីឈ្មោះ OceanLotus ត្រូវគេ ស្គាល់ថាល្អសម្រាប់យុទ្ធនាការចារកម្មរបស់ខ្លួននៅក្នុងប្រទេសវៀតណាម។ APT32, CobaltKitty, SeaLotus និង APT-C-oo មានឈ្មោះក្លែងក្លាយមួយចំនួនរបស់វានៅក្នុងសហគមន៍ infosec។ ពួក ហេគឃរ័នៅពីក្រោយអ្នកគំរាមកំហែងដ៏គ្រោះថ្នាក់នេះជាធម្មតារួមបញ្ចូលគ្នានូវ “ឧបករណ៍ដែលមាន ពាណិជ្ជកម្ម” ដូចជា Cobalt Strike ដែលមានមេរោគតែមួយគត់។
វ៉ារ្យ៉ង់បួនដាច់ដោយឡែកពីគ្រួសារ Ratsnif RAT ត្រូវវិភាគដោយអ្នកស្រាវជ្រាវតែប៉ុណ្ណោះដើម្បីរកឱ្យឃើញថាវាវិវត្តពីការបង្កើត បំបាត់កំហុសទៅជាកំណែចេញផ្សាយ។ ឥឡូវនេះវាមានលក្ខណៈពិសេសថ្មីៗដូចជា DNS spoofing, ចារកម្ម SSL, កញ្ចប់ព័ត៌មាន sniffing, ការបញ្ជូនបន្ត និងការបញ្ជូន HTTP, ការចូលប្រើ shell ពីចម្ងាយ និងការបំពុល ARP។
ខណៈពេលថ្មីៗបំផុតមួយគឺចាប់ពីខែសីហាឆ្នាំ 2018 វិសាលភាពចាស់បំផុតរបស់ Ratsnif តាមអ្នក ស្រាវជ្រាវជាក់ស្តែងគឺការបង្កើតបំបាត់កំហុសដែលចងក្រងនៅក្នុងឆ្នាំ 2016។ ដែនសម្រាប់ពាក្យ បញ្ជា និងគ្រប់គ្រងម៉ាស៊ីនមេ (C2) របស់វាត្រូវធ្វើឱ្យសកម្មនៅថ្ងៃនេះ។ កំណែថ្មីជាងនេះដែលមិន មានការផ្លាស់ប្តូរមហិមាត្រូវចងក្រងនៅថ្ងៃបន្ទាប់។ គំរូទាំងពីរនេះត្រូវគេធ្វើតេស្តរកឃើញ ប្រឆាំងនឹងម៉ាស៊ីនប្រឆាំងមេរោគដែលមាននៅលើសេវា VirusTotal នៅពេលតែមួយ។ កំណែទី 3 ជាមួយខែកញ្ញា ឆ្នាំ 2016 ដែលជាកាលបរិច្ឆេទនៃការចងក្រងបង្ហាញខ្លួនជាមួយនឹងមុខងារដែល ស្រដៀងគ្នា និងត្រូវគេជឿជាក់ថាដោយក្រុមអ្នកស្រាវជ្រាវដើម្បីក្លាយជាផ្នែកមួយនៃការកសាង ពីមុនៗ។
វាមិនត្រូវផ្ទុកជាមួយលក្ខណៈពិសេសទាំងអស់នោះទេ ប៉ុន្តែច្បាស់ណាស់ថាមាន សមត្ថភាពរៀបចំ shell ពីចម្ងាយ និងបម្រើឱ្យការបំពុល ARP, ការបញ្ឆោត DNS និងការបញ្ជូនបន្ត HTTP។ នៅដំណាក់កាលដំបូងវាប្រមូលព័ត៌មានដូចជា៖ ឈ្មោះអ្នកប្រើ ឈ្មោះកុំព្យួទ័រប្រព័ន្ធ window និងព័ត៌មានបណ្តាញ adapter និងការកំណត់រចនាសម្ព័ន្ធស្ថានីយការងារ ហើយបញ្ជូនវាទៅ C2។
គំរូទីបួន Ratsnif មិនមាននៅលើ C2 servers និងផ្ញើទៅមេរោគផ្សេងគ្នាដែលត្រូវប្រើនៅលើ ជនរងគ្រោះ។ វាក៏កើតឡើងដើម្បីណែនាំពីឯកសារកំណត់រចនាសម្ព័ន្ធ និងដើម្បីពង្រីកសំណុំនៃ លក្ខណៈពិសេសធ្វើឱ្យវាកាន់តែមានប្រសិទ្ធិភាព។ ប្រសិនបើនរណាម្នាក់ចង់ឌិគ្រីបចរាចរណ៍វាអាច ត្រូវធ្វើដោយប្រើកំណែ 3.11 នៃ wolfSSL library ដែលត្រូវគេស្គាល់ថាពីមុនជា CyaSSL។ ឯកសារកំណត់រចនាសម្ព័ន្ធនឹងមិនត្រូវធានា និងគ្រាន់តែជា “ឯកសារអត្ថបទដែលអ៊ិនកូដនៅ Base64 ជាមួយប៉ារ៉ាម៉ែត្រនៅលើបន្ទាត់ផ្ទាល់ខ្លួនរបស់វា”។ Ratsnif ក៏អាចបង្កឱ្យមានការរំលោភលើ memory ដែលធ្វើឱ្យមានកំហុសនៅពេលដែលញែកប៉ារ៉ាម៉ែត្រជាក់លាក់មួយ (“dwn_ip”)។ ដោយសារ តែនេះគុណតម្លៃហុចដូចជាខ្សែអក្សរមួយ ពេលវាគួរតែជាព្រួញទៅខ្សែអក្សរ។
យោងតាមអ្នក វិភាគថាឆ្នាំ 2016 កំណែ Ratsnif មានកញ្ចប់ទាំងអស់ទៅឯកសារ PCAP មួយ ប៉ុន្តែឆ្នាំ 2018 ប្រើថ្នាក់ sniffer សម្រាប់ការចាប់យកព័ត៌មានរសើបពីកញ្ចប់។ វាបន្ថយចំនួនទិន្នន័យដែលអ្នកវាយប្រហារ ត្រូវការដើម្បីប្រមូល ត្រង និងដំណើរការ និងបង្ហាញផងដែរនូវព័ត៌មានអ្វីដែលអ្នកវាយប្រហារនឹងធ្វើ បន្ទាប់។ Ratsnif ធ្វើការងារដ៏សំខាន់យ៉ាងសំខាន់ក្នុងការចាកចេញពីការចាប់អារម្មណ៍។ យ៉ាង ណាក៏ដោយវាមិនមែនជាស្តង់ដារនៃការខិតខំប្រឹងប្រែងរបស់ malware ផ្សេងទៀតរបស់ OceanLotus ទេ។
ប្រភពព័ត៌មាន៖
https://www.ehackingnews.com/2019/07/oceanlotus-ratsnif-remote-access-trojan.html
