ក្រុមហេគឃ័រTA505 APT Hackers ប្រើប្រាស់នូវមេរោគ AndroMut Malware ថ្មីដើម្បីបញ្ជាពីចម្ងាយ

0

ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញឧបករណ៍បំបែកមេរោគថ្មីមួយដែលមានឈ្មោះថា AndroMut ពីក្រុម APT TA៥០៥ មួយក្រុមដ៏ល្បីដើម្បីទម្លាក់ FlawedAmmyy Remote Access Trojan ទទួលបានការចូលពីចម្ងាយពីកុំព្យូទ័ររបស់ជនរងគ្រោះដែលឆ្លងមេរោគ។ ក្រុមអនាមិក TA៥០៥ ជឿថាមានទីតាំងនៅក្នុងប្រទេសរុស្ស៊ីនិងក្រុមអ្នកគំរាមកំហែងពីក្រុមនេះបានចូលរួមក្នុងការវាយប្រហារតាមអ៊ីនធឺរណិតដែលមានភាពល្បីល្បាញជាច្រើនរួមមាន Dridex, Locky ransomware, ServHelper Malware, FlawedAmmyy ដែលបានចែកចាយតាមរយៈសារអេឡិចត្រូនិចដែលមានគំនិតអាក្រក់។

FlawedAmmyy គឺជា RAT ដែលមានលក្ខណៈពិសេសពេញលេញដែលត្រូវបានគេសង្កេតឃើញដំបូងនៅដើមឆ្នាំ២០១៦ ចាប់តាំងពីពេលនោះមកវាត្រូវបានប្រើដោយក្រុមអ៊ីនធឺរណិតផ្សេងៗដើម្បីវាយប្រហារជនរងគ្រោះរាប់ពាន់នាក់នៅជុំវិញពិភពលោក។ យុទ្ធនាការនេះដែលអង្កេតដោយអ្នកស្រាវជ្រាវ Proofpoint តាមរយៈយុទ្ធនាការសារអេឡិចត្រូនិចឥតបានការដែលបានបញ្ជូនឯកសារ Word ឬ Excel បានប្រើម៉ាក្រូដើម្បីប្រតិបត្តិពាក្យបញ្ជា Msiexec ។

មេរោគ AndroMut

នៅពេលដែលពាក្យបញ្ជាត្រូវបានប្រតិបត្តិ Macroទាញយកនិងប្រតិបត្តិទាំងកម្មវិធីផ្ទុកទិន្នន័យ FlawedAmmyy ឬ AndroMut ។ យុទ្ធនាការមួយទៀតផ្តោតលើអ្នកទទួលប្រាក់នៅតាមស្ថាប័នហិរញ្ញវត្ថុនៅប្រទេសសិង្ហបុរី អារ៉ាប់រួម និងសហរដ្ឋអាមេរិក។ យោងតាមអ្នកស្រាវជ្រាវ Proofpoint “AndroMut គឺជាមេរោគទាញយកមេរោគថ្មីមួយដែលសរសេរនៅក្នុង C++ ដែលអ្នកស្រាវជ្រាវ Proofpoint បានចាប់ផ្តើមសង្កេតកាលពីខែមិថុនា ឆ្នាំ២០១៩។ ផ្នែក “Andro” នៃឈ្មោះបានមកពីបំណែកមួយចំនួនដែលស្រដៀងនឹងមេរោគទាញយកមេរោគផ្សេងទៀតដែលគេស្គាល់ថា Andromeda [១] និង“ Mut” មានមូលដ្ឋានលើ mutex ដែលគំរូវិភាគបង្កើត៖“ mutshellmy៧៧៧” ។

ផ្អែកលើការសង្កេតមេរោគ វាដោះស្រាយការហៅវីនដូ API ភាគច្រើននៅពេលដំណើរការដោយ hash ហើយវាប្រើវិធីពីរយ៉ាងដើម្បីដោះលេខកូដ។ ក្នុងករណីនេះ ខ្សែអក្សរដែលបានអ៊ិនគ្រីបគឺ base៦៤-decoded បន្ទាប់មកឌិគ្រីបជាមួយ AES-២៥៦ ក្នុងរបៀប ECB ។ ដូចគ្នានេះផងដែរ AndroMut ប្រើបច្ចេកទេសប្រឆាំងការវិភាគនិងបច្ចេកទេសតស៊ូដើម្បីគេចពីការរកឃើញនិងធ្វើឱ្យដំណើរការវិភាគពិបាកដល់អ្នកជំនាញ។ ក្រុមអ្នកស្រាវជ្រាវក៏បានសង្កេតឃើញនូវភាពជឿជាក់ទាបមួយចំនួនរវាងវានិងអ្នកទាញយកមេរោគពីរផ្សេងទៀតគឺ Andromeda និង QtLoader ។ “ អ្នកស្រាវជ្រាវ Proofpoint បានសង្កេត TA៥០៥ និងតួអង្គមួយចំនួនទៀតផ្តោតលើអ្នកទាញយក RATs អ្នកលួចព័ត៌មាន និង banking Trojans ។ អ្នកទាញយកកម្មវិធី AndroMut ថ្មី នៅពេលដែលបញ្ចូលជាមួយ FlawedAmmy RAT ដែលពេលបន្ទុករបស់វាហាក់ដូចជាសត្វចិញ្ចឹមថ្មីរបស់ TA៥០៥ សម្រាប់រដូវក្តៅឆ្នាំ២០១៩ ។ ”

TA505 APT Hackers using New AndroMut Malware to Drop FlawedAmmyy RAT and Gain Remote Access

LEAVE A REPLY

Please enter your comment!
Please enter your name here