ក្រុមគំរាមកំហែងរបស់អ៊ីរ៉ង់ OilRig ធ្វើការតម្លើងនូវ “Poison Frog” Backdoor នៅលើប្រព័ន្ធប្រតិបត្តិការ Windows តាមរយៈការបន្លំកម្មវិធី Cisco AnyConnect

0

ក្រុមគំរាម​កំហែងដ៏ល្បីល្បាញរបស់អ៊ឺរ៉ង់ធ្វើការក្លែងបន្លំមេរោគ Malware ធ្វើការកម្មវិធី Cisco AnyConnect application ដើម្បីធ្វើការតម្លើងនូវ Poison Frog backdoor តាមរយៈការអនុវត្តទៅលើ PowerShell Script ។ Poison Frog គឺជាវិធីមួយនៅក្នុងចំណោម Backdoor ដ៏មានគ្រោះថ្នាក់បំផុតរបស់ក្រុម OilRig ហើយវាក៏មានផ្ទុកនូវ Panel ជាមួយនឹងផ្នែកជាច្រើនរបស់ server-side និង payload នៅក្នុង PowerShell នេះដែលត្រូវប្រើប្រាស់សម្រាប់ការវាយប្រហារនៅលើអ៊ីនធឺរណិតថែមទៀត។

ក្រុមអ្នកស្រាវជ្រាវមកពី Kaspersky រកឃើញនូវ Sample ថ្មីនេះដែលប្រតិបត្តិនូវ PE ដែលសរសេរជា C# ហើយវាមានមុខងារក្នុងការទម្លាក់នូវ PowerShell script ដែលមានផ្ទុកនូវ backdoor នេះ។ ជាមួយនឹង PowerShell Script នេះគឺមាន string វែងចំនួន ២ ដែលមានផ្ទុកនូវ DNS និង HTTP backdoor (Poison Frog HTTP backdoor) ។

ដើម្បីធ្វើការតម្លើងនូវ malware នេះ OilRig developers ប្រើប្រាស់នូវវិធីដ៏ឆ្លាតមួយគឺការកែប្រែនូវមេរោគ malware នេះទៅជាកម្មវិធី Cisco AnyConnect application ។ ប៉ុន្តែនៅក្នុងរបាយការណ៍របស់ Kaspersky អោយដឹងថា នៅពេលដែលអ្នកប្រើប្រាស់នូវកម្មវិធីនេះវានឹងមានបង្ហាញនូវសារមួយផុសឡើងដែលបង្ហាញថាកម្មវិធីនេះហាក់ដូចជាមានបញ្ហាអ្វី ឬមិនអាចប្រើប្រាស់ទៅលើអ៊ីនធឺរណិតបាន ប៉ុន្តែពួកគេបានបញ្ចៀតនូវមេរោគ backdoor ជាសម្ងាត់រួចហើយនៅលើ system នេះ៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here