ព័ត៌មានសង្ខេប៖ អ្នកស្រាវជ្រាវកត់បង្ហាញថា EvilGnome មានប្រាំប្រភេទ(ម៉ូឌុល) មានដូចជា៖ ShooterAudio, ShooterImage, ShooterFile, ShooterPing និង ShooterKey។ មេរោគលីនុចនេះមានលទ្ធភាពធ្វើចារកម្មលើអ្នកប្រើប្រាស់ ថតរូបអេក្រង់លើតុ ចាប់យកសំលេងពីម៉ៃក្រូហ្វូនរបស់អ្នកប្រើប្រាស់ លួចឯកសារ និងទាញយកទិន្ន័យផ្សេងទៀត។ ក្រុមអ្នកស្រាវជ្រាវមកពី Intezer Labs រកឃើញ Backdoor ថ្មីមានឈ្មោះថា ‘EvilGnome’ ដែលកំណត់គោលដៅលើអ្នកប្រើប្រាស់លីនុច ដោយក្លែងបន្លំជា Gnome shell ។
តើ EvilGnome មានសមត្ថភាពអ្វីខ្លះ?
មេរោគលីនុចនេះមានលទ្ធភាពធ្វើចារកម្មលើអ្នកប្រើប្រាស់ ថតរូបអេក្រង់លើតុ ចាប់យកសំលេងពីម៉ៃក្រូហ្វូនរបស់អ្នកប្រើប្រាស់ លួចឯកសារ និងទាញយកទិន្ន័យផ្សេងទៀត។ អ្នកស្រាវជ្រាវនិយាយថា “ការដាក់បញ្ចូលមានមុខងារ Keylogger មិនទាន់ចប់មានយោបល់និមិត្តសញ្ញានិងទិន្នន័យមេតាចងក្រងដែលមិនត្រូវបានបង្ហាញនៅក្នុងកំណែផលិតកម្ម” ។
បច្ចុប្បន្នមេរោគនេះមិនទាន់ត្រូវបានរកឃើញដោយមុខងារប្រឆាំងមេរោគនៅលើ VirusTotal ទេ។ អ្នកស្រាវជ្រាវនិយាយថា “implant មានមុខងារជា keylogger មិនពេញលេញ, យោបល់(comments), ឈ្មោះនិមិត្តសញ្ញា(symbol names )និងទិន្នន័យមេតា (metadata ) ដែលមិនបង្ហាញនៅក្នុងកំណែផលិតកម្ម” ។
តើម៉ូឌុលអ្វីខ្លួះដែលពង្រាយដោយមេរោគ?
អ្នកស្រាវជ្រាវរកឃើញថា EvilGnome មានប្រាំម៉ូឌុលដូចជា៖ShooterAudio, ShooterImage, ShooterFile, ShooterPing និង ShooterKey ។
- ShooterAudio module រចនាឡើងដើម្បីចាប់សម្លេងពីទូរស័ព្ទរបស់អ្នកប្រើប្រាស់ និងផ្ទុកវាទៅកាន់ម៉ាស៊ីន C&C server.
- ShooterImage module ថតយក captures screenshots និងផ្ទុកវាទៅកាន់ម៉ាស៊ីន C&C server
- ShooterFile module រចនាដើម្បីស្កែនប្រព័ន្ធឯកសារពីហ្វាលដែលបង្កើតថ្មី
- ShooterPing ទទួល commands ថ្មីពីម៉ាស៊ីន C&C server លុបទិន្ន័យ និងទាញយក ឬ ប្រតិបត្តិការ payloads បន្ថែម
- ShooterKey module មិនទាន់ត្រូវគេតេស្តសាក ហើយអាចជា keylogging module ដែលមិនទាន់បញ្ចប់។
ព័ត៌មានលម្អិតបន្ថែមអំពីមេរោគ
Backdoor EvilGnome ត្រូវបានគេចែកចាយតាមរយៈបណ្ណសារដោយប្រើស្គ្រីបដោយខ្លួនឯងជាមួយនឹងទិន្នន័យមេតា(metadata) ទាំងអស់ដែលបង្កើតនៅពេលបង្កើតបណ្ណសារបន្ទុកដែលមាន malicious ភ្ជាប់ជាមួយបឋមកថារបស់វា។
- EvilGnome នឹងបន្ថែមស្គ្រីប gnome-shell-ext.sh shell មួយដើម្បីសម្របសម្រួលលើ crontab របស់ Linux desktop ដើម្បីឱ្យប្រាកដថាគ្រប់នាទីទាំងអស់គឺភ្នាក់ងារ spyware (spyware agent ) មានដំណើរការ។
- ស្គ្រីប Gnome-shell-ext.sh ត្រូវបានចែកចាយអំឡុងពេលដំណាក់កាលចុងក្រោយនៃការចម្លង ដោយបើកដំណើរការភ្នាក់ងារ spyware gnome-shell-ext ។
- ការកំណត់មេរោគកំព្យូទ័រផ្ទុកឡើងនៅក្នុងឯកសារ rtp.dat ដែលគេចងក្រងនៅក្នុងប័ណ្ណសារទាញយកដោយខ្លួនឯង អនុញ្ញាតឱ្យ Backdoor ទទួលបានអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ C&C server។
ចរាចរណ៍ទាំងអស់ដែលផ្ញើទៅ និងចេញពីម៉ាស៊ីនមេ C & C របស់មេរោគត្រូវបានអ៊ិនគ្រីបនិងឌិគ្រីបដោយលេខកូដស៊ីមេទ្រី RC5 បិទម៉ាស៊ីនដោយប្រើគ្រាប់ចុចដូចគ្នា ជាមួយនឹងជំនួយពីបណ្ណាល័យប្រភពបើកចំហ RC5Simple (open-source library) ។
ការតភ្ជាប់ជាមួយ Gamaredon Group
- ប្រតិបត្តិករ EvilGnome ប្រើអ្នកផ្តល់សេវាបង្ហោះ(hosting provider ) ដែលត្រូវ Gamaredon Group ប្រើប្រាស់អស់រយៈពេលជាច្រើនឆ្នាំ។
- មេរោគ EvilGnome ដំណើរការលើអាសយដ្ឋាន IP ដែលត្រូវបានគ្រប់គ្រងដោយក្រុម Gamaredon កាលពីរយៈពីរខែមុន។
- ម៉ាស៊ីនបម្រើ SSH បំរើការនៅលើផត ៣៤៣៦ ទាំងនៅលើ EvilGnome C & C និង C & C របស់ Gamaredon ។.
ក្រុមអ្នកស្រាវជ្រាវនិយាយថា “បច្ចេកទេស និងម៉ូឌុលប្រើដោយ EvilGnome គឺការប្រើ SFX ជាមួយកម្មវិធីកំណត់ភារកិច្ច និងការដាក់ពង្រាយឧបករណ៍លួចព័ត៌មាន(information stealing tools ) រំឭកយើងពីឧបករណ៍ Windows របស់ហ្គាម៉ារ៉ុនដុង” ។
ប្រភពព័ត៌មាន៖
https://cyware.com/news/newly-discovered-evilgnome-backdoor-targets-linux-users-f0afc169