- ដោយ Admin
- Oct 30, 2025
កំពុងផ្ទុក...
កំពុងផ្ទុក...
តារាគំរាមកំហែងម្នាក់ឈ្មោះ Detour Dog ត្រូវបានគេដកចេញ ខណៈយុទ្ធនាការចែកចាយព័ត៌មានដែលគេស្គាល់ថា Strela Stealer។
នេះបើយោងតាមការរកឃើញរបស់ Infoblox ដែលបានរកឃើញអ្នកគំរាមកំហែងក្នុងការរក្សាការគ្រប់គ្រងដែនដែលជាម្ចាស់ផ្ទះដំណាក់កាលទីមួយនៃអ្នកលួច ដែលមានឈ្មោះថា StarFish។
ក្រុមហ៊ុនស៊ើបការណ៍សម្ងាត់ DNS បាននិយាយថា ខ្លួនបានតាមដាន Detour Dog តាំងពីខែសីហា ឆ្នាំ 2023 នៅពេលដែល Sucuri ដែលគ្រប់គ្រងដោយ GoDaddy បានបង្ហាញព័ត៌មានលម្អិតនៃការវាយប្រហារដែលផ្តោតលើគេហទំព័រ WordPress ដើម្បីបង្កប់ JavaScript ព្យាបាទដែលប្រើកំណត់ត្រា DNS TXT ជាបណ្តាញទំនាក់ទំនងសម្រាប់ប្រព័ន្ធចែកចាយចរាចរណ៍ (TDS) បញ្ជូនអ្នកទស្សនាគេហទំព័រទៅកាន់គេហទំព័រស្មូតៗ និងមេរោគ។ ដាននៃតួអង្គគំរាមកំហែងមានអាយុកាលតាំងពីខែកុម្ភៈ ឆ្នាំ 2020។
Infoblox បាននិយាយថា "ខណៈពេលដែលការបញ្ជូនបន្តទាំងនេះជាប្រពៃណីនាំឱ្យមានការបោកប្រាស់ មេរោគបានវិវត្តនាពេលថ្មីៗនេះ ដើម្បីប្រតិបត្តិមាតិកាពីចម្ងាយតាមរយៈប្រព័ន្ធ DNS-based command-and-control (C2)" Infoblox បាននិយាយថា។ "យើងកំពុងតាមដានអ្នកគំរាមកំហែងដែលគ្រប់គ្រងមេរោគនេះជា Detour Dog"។
ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយ Detour Dog តាមក្រុមហ៊ុន ត្រូវបានប្រើដើម្បីធ្វើជាម្ចាស់ផ្ទះ StarFish ដែលជាសែលបញ្ច្រាសដ៏សាមញ្ញដែលបម្រើជាបំពង់សម្រាប់ Strela Stealer ។ នៅក្នុងរបាយការណ៍ដែលបានចេញផ្សាយនៅខែកក្កដា ឆ្នាំ 2025 ក្រុមហ៊ុន IBM X-Force បាននិយាយថា backdoor ត្រូវបានផ្តល់ដោយមធ្យោបាយនៃឯកសារ SVG ព្យាបាទ ជាមួយនឹងគោលដៅនៃការអនុញ្ញាតឱ្យចូលដំណើរការបន្តទៅកាន់ម៉ាស៊ីនដែលមានមេរោគ។
Hive0145 ដែលជាតួអង្គគំរាមកំហែងផ្តាច់មុខនៅពីក្រោយយុទ្ធនាការ Strela Stealer ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2022 ត្រូវបានគេវាយតម្លៃថាមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ ហើយទំនងជាដំណើរការជាឈ្មួញកណ្តាលចូលដំណើរការដំបូង (IAB) ដោយទទួលបាន និងលក់ការចូលប្រើប្រាស់ប្រព័ន្ធសម្របសម្រួលដើម្បីរកប្រាក់ចំណេញ។
ការវិភាគរបស់ Infoblox បានបង្ហាញថាយ៉ាងហោចណាស់ 69% នៃអ្នករៀបចំកម្មវិធី StarFish ដែលបានបញ្ជាក់គឺស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ Detour Dog ហើយថា MikroTik botnet ដែលត្រូវបានផ្សព្វផ្សាយថាជា REM Proxy ដែលផ្ទុយទៅវិញត្រូវបានដំណើរការដោយ SystemBC ដូចដែលបានរកឃើញដោយ Lumen's Black Lotus Labs កាលពីខែមុន ក៏ជាផ្នែកនៃខ្សែសង្វាក់វាយប្រហារផងដែរ។
ជាពិសេស វាបានកើតឡើងថាសារអ៊ីមែលឥតបានការដែលបានចែកចាយ Strela Stealer មានប្រភពមកពី REM Proxy និង botnet មួយផ្សេងទៀតដែលមានឈ្មោះថា Tofsee ដែលក្រោយមកត្រូវបានផ្សព្វផ្សាយតាមរយៈកម្មវិធីផ្ទុកទិន្នន័យដែលមានមូលដ្ឋានលើ C++ ដែលហៅថា PrivateLoader កាលពីអតីតកាល។ ក្នុងករណីទាំងពីរនេះ ហេដ្ឋារចនាសម្ព័ន្ធ Detour Dog បានរៀបចំដំណាក់កាលដំបូងនៃការវាយប្រហារ។
វេជ្ជបណ្ឌិត Renée Burton អនុប្រធានផ្នែកចារកម្មគំរាមកំហែងនៅ Infoblox បានប្រាប់ The Hacker News ថា "botnets ត្រូវបានចុះកិច្ចសន្យាដើម្បីបញ្ជូនសារ spam ហើយ Detour Dog ត្រូវបានចុះកិច្ចសន្យាដើម្បីចែកចាយមេរោគ" ។
អ្វីដែលលើសពីនេះទៀត Detour Dog ត្រូវបានគេរកឃើញថាជួយសម្រួលដល់ការចែកចាយអ្នកលួចតាមរយៈ DNS TXT records ជាមួយនឹងម៉ាស៊ីនមេឈ្មោះ DNS ដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែងបានកែប្រែដើម្បីញែកសំណួរ DNS ដែលបានធ្វើទ្រង់ទ្រាយជាពិសេសពីគេហទំព័រដែលត្រូវបានសម្របសម្រួល និងឆ្លើយតបទៅពួកគេជាមួយនឹងពាក្យបញ្ជាប្រតិបត្តិកូដពីចម្ងាយ។
Detour Dog's modus operandi នៅពេលនិយាយអំពីការទទួលបានហេដ្ឋារចនាសម្ព័ន្ធថ្មីគឺដោយការកេងប្រវ័ញ្ចគេហទំព័រ WordPress ដែលងាយរងគ្រោះដើម្បីធ្វើការបញ្ចូលកូដព្យាបាទ ទោះបីជាក្រុមហ៊ុនបាននិយាយថា វិធីសាស្រ្តបានបន្តវិវឌ្ឍ។
ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់នៃការវាយប្រហារគឺថា គេហទំព័រដែលត្រូវបានសម្របសម្រួលដំណើរការជាធម្មតា 90% នៃពេលវេលា ដោយហេតុនេះមិនមានទង់ក្រហម និងអនុញ្ញាតឱ្យមេរោគបន្តកើតមានក្នុងរយៈពេលយូរ។ ទោះយ៉ាងណាក៏ដោយ នៅក្នុងករណីដែលបានជ្រើសរើស (ប្រហែល 9%) អ្នកចូលមើលគេហទំព័រត្រូវបានបញ្ជូនបន្តទៅការបោកប្រាស់តាមរយៈ Help TDS ឬ Monetizer TDS; នៅក្នុងសេណារីយ៉ូដ៏កម្រ (1%) គេហទំព័រនេះទទួលបានពាក្យបញ្ជាប្រតិបត្តិឯកសារពីចម្ងាយ។ វាត្រូវបានគេជឿថាការបញ្ជូនបន្តត្រូវបានកំណត់នៅក្នុងការដេញថ្លៃដើម្បីជៀសវាងការរកឃើញ។
ការអភិវឌ្ឍន៍នេះគឺជាលើកទីមួយហើយដែល Detour Dog ត្រូវបានគេប្រទះឃើញចែកចាយមេរោគ ការផ្លាស់ប្តូរពីការដើរតួជាអង្គភាពដែលទទួលខុសត្រូវចំពោះការបញ្ជូនបន្តទាំងស្រុងទៅកាន់ Los Pollos ដែលជាក្រុមហ៊ុនបច្ចេកវិទ្យាផ្សាយពាណិជ្ជកម្មព្យាបាទដែលប្រតិបត្តិការក្រោមឆ័ត្រ VexTrio Viper ។
លោក Burton បាននិយាយថា "យើងសង្ស័យថាពួកគេបានវិវត្តពីការបោកប្រាស់ដើម្បីរួមបញ្ចូលការចែកចាយមេរោគសម្រាប់ហេតុផលហិរញ្ញវត្ថុ" ។ "មានការផ្តោតអារម្មណ៍យ៉ាងខ្លាំងនៅក្នុងឧស្សាហកម្មសន្តិសុខក្នុងរយៈពេល 12-18 ខែចុងក្រោយនេះ ដើម្បីបញ្ឈប់ប្រភេទនៃការបោកប្រាស់ដែល Detour Dog បានគាំទ្រនាពេលកន្លងមក។ យើងជឿថាពួកគេរកប្រាក់បានតិចជាងនេះ ទោះបីជាយើងមិនអាចផ្ទៀងផ្ទាត់វាក៏ដោយ។"
ការបំពេញការផ្លាស់ប្តូរទាំងនេះគឺជាការពិតដែលថាមេរោគគេហទំព័រដែលប្រើដោយ Detour Dog បានឃើញការវិវត្តន៍របស់វា ដោយទទួលបានសមត្ថភាពក្នុងការបញ្ជាគេហទំព័រដែលមានមេរោគដើម្បីប្រតិបត្តិកូដពីម៉ាស៊ីនមេពីចម្ងាយ។
គិតត្រឹមខែមិថុនា ឆ្នាំ 2025 ការឆ្លើយតបបានដឹកនាំគេហទំព័រដែលឆ្លងមេរោគដើម្បីទាញយកលទ្ធផលនៃស្គ្រីប PHP ពីម៉ាស៊ីនមេ Strela Stealer C2 ដែលបានផ្ទៀងផ្ទាត់ ដើម្បីទំនងជាចែកចាយមេរោគ ដោយស្នើឱ្យប្រើ DNS ពីរជាបណ្តាញទំនាក់ទំនង និងយន្តការបញ្ជូន។
ក្រុមហ៊ុនបានកត់សម្គាល់ថា "ការឆ្លើយតបទៅនឹងសំណួរកត់ត្រា TXT ត្រូវបានអ៊ិនកូដ Base64 ហើយបញ្ចូលពាក្យ 'ចុះក្រោម' យ៉ាងច្បាស់លាស់ ដើម្បីចាប់ផ្តើមសកម្មភាពថ្មីនេះ" ។ "យើងជឿថាវាបានបង្កើតគំរូការចែកចាយមេរោគតាមបណ្តាញប្រលោមលោកដោយប្រើ DNS ដែលដំណាក់កាលផ្សេងៗគ្នាត្រូវបានទាញយកពីម៉ាស៊ីនផ្សេងៗគ្នាក្រោមការគ្រប់គ្រងរបស់តួអង្គគំរាមកំហែង ហើយត្រូវបានបញ្ជូនត្រឡប់មកវិញនៅពេលដែលអ្នកប្រើប្រាស់ធ្វើអន្តរកម្មជាមួយការទាក់ទាញយុទ្ធនាការ ឧទាហរណ៍ ឯកសារភ្ជាប់អ៊ីមែល។
"ការរៀបចំបែបប្រលោមលោកបែបនេះនឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារលាក់អត្តសញ្ញាណរបស់ពួកគេនៅពីក្រោយគេហទំព័រដែលត្រូវបានសម្របសម្រួល ធ្វើឱ្យប្រតិបត្តិការរបស់ពួកគេកាន់តែមានភាពធន់ ទន្ទឹមនឹងនោះបម្រើឱ្យអ្នកស្វែងរកការគំរាមកំហែងបំភាន់ ពីព្រោះមេរោគមិនមែនជាកន្លែងដែលឯកសារភ្ជាប់ដែលបានវិភាគបង្ហាញថាដំណាក់កាលត្រូវបានបង្ហោះ។"
លំដាប់នៃសកម្មភាពទាំងមូលបង្ហាញដូចខាងក្រោម -
ជនរងគ្រោះបើកឯកសារព្យាបាទ ដោយបើកដំណើរការឯកសារ SVG ដែលទៅដល់ដែនដែលមានមេរោគ
គេហទំព័រដែលត្រូវបានសម្របសម្រួលផ្ញើសំណើកំណត់ត្រា TXT ទៅកាន់ម៉ាស៊ីនមេ Detour Dog C2 តាមរយៈ DNS
ម៉ាស៊ីនមេឈ្មោះឆ្លើយតបជាមួយនឹងកំណត់ត្រា TXT ដែលមាន URL Strela C2 បុព្វបទដោយ "ចុះក្រោម"
គេហទំព័រដែលត្រូវបានសម្របសម្រួលដកបុព្វបទចុះក្រោម ហើយប្រើ curl ដើម្បីអាចទាញយកកម្មវិធីទាញយក StarFish ពី URL
គេហទំព័រដែលត្រូវបានសម្របសម្រួលដើរតួជាអ្នកបញ្ជូនតដើម្បីបញ្ជូនអ្នកទាញយកទៅអតិថិជន (ឧ. ជនរងគ្រោះ)
កម្មវិធីទាញយកចាប់ផ្តើមការហៅទៅកាន់ដែនដែលត្រូវបានសម្របសម្រួលផ្សេងទៀត។
ដែនដែលត្រូវបានសម្របសម្រួលទីពីរផ្ញើសំណួរ DNS TXT ស្រដៀងគ្នាទៅម៉ាស៊ីនមេ Detour Dog C2
ម៉ាស៊ីនមេឈ្មោះ Detour Dog ឆ្លើយតបជាមួយនឹង Strela C2 URL ថ្មី ដែលដាក់បុព្វបទម្តងទៀតដោយ "ចុះក្រោម"
ដែនដែលត្រូវបានសម្របសម្រួលទីពីរដកបុព្វបទ ហើយផ្ញើសំណើរ curl ទៅម៉ាស៊ីនមេ Strela C2 ដើម្បីទៅយក StarFish
ដែនដែលត្រូវបានសម្របសម្រួលទីពីរដើរតួជាអ្នកបញ្ជូនតដើម្បីបញ្ជូនមេរោគទៅកាន់អតិថិជន (ឧ. ជនរងគ្រោះ)
Infoblox បាននិយាយថាវាធ្វើការជាមួយ Shadowserver Foundation ដើម្បីលិចដែន C2 របស់ Detour Dog (webdmonitor[.]io និង aeroarrows[.]io) នៅថ្ងៃទី 30 ខែកក្កដា និងថ្ងៃទី 6 ខែសីហា ឆ្នាំ 2025។
ក្រុមហ៊ុនក៏បានចង្អុលបង្ហាញថាតួអង្គគំរាមកំហែងទំនងជាមានមុខងារជាអ្នកផ្តល់សេវាចែកចាយជាសេវាកម្ម (DaaS) ដោយបន្ថែមថាវាបានរកឃើញភស្តុតាងនៃ "ឯកសារដែលទំនងជាមិនទាក់ទងគ្នា" ដែលផ្សព្វផ្សាយតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធរបស់វា។ ទោះជាយ៉ាងណាវាបានកត់សម្គាល់ថាវា "មិនអាចបញ្ជាក់បាននូវអ្វីដែលត្រូវបានផ្តល់ឱ្យ"។
បានរកឃើញអត្ថបទនេះគួរឱ្យចាប់អារម្មណ៍? តាមពួកយើងនៅលើ Google News, Twitter និង LinkedIn ដើម្បីអានខ្លឹមសារផ្តាច់មុខបន្ថែមទៀតដែលយើងប្រកាស។
