កំពុងផ្ទុក...

ថ្ងៃ ច័ន្ទ ទី៦ ខែ កក្កដា ឆ្នាំ ២០២៦

ពួក Hacker ប្រើកម្មវិធីដំឡើង Cisco AnyConnect និង Google Update ក្លែងក្លាយដើម្បីទម្លាក់ SharkLoader


ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញឧបករណ៍ផ្ទុកមេរោគថ្មីមួយដែលមានឈ្មោះថា SharkLoader ដែលកំពុងលួចចូលទៅក្នុងបណ្តាញដោយស្ងាត់ៗ ដោយលាក់ខ្លួននៅខាងក្នុងកម្មវិធីដំឡើងកម្មវិធីក្លែងក្លាយ។

ឧបករណ៍នេះត្រូវបានគេប្រទះឃើញថាកំពុងបញ្ជូន Cobalt Strike Beacon ដែលជាក្របខ័ណ្ឌក្រោយការកេងប្រវ័ញ្ចដ៏ល្បីមួយ ទៅលើម៉ាស៊ីនដែលរងការលួចចូល។

យុទ្ធនាការនេះលាយឡំល្បិចបែបបុរាណ ដោយក្លែងបន្លំមេរោគជាកម្មវិធីដែលគួរឱ្យទុកចិត្ត ជាមួយនឹងវិស្វកម្មគេចវេសកម្រិតខ្ពស់នៅពីក្រោម។

អ្នកវាយប្រហារ ដែលត្រូវបានតាមដានក្រោមឈ្មោះចង្កោម StrikeShark មិនពឹងផ្អែកលើមធ្យោបាយតែមួយចូលទៅក្នុងបណ្តាញទេ។

ពួកគេទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្វះខាតដែលគេស្គាល់នៅក្នុងកម្មវិធីដូចជា Microsoft Exchange, SharePoint, ឧបករណ៍ Fortinet និង Cisco IOS XE ខណៈពេលដែលក៏ចែកចាយឧបករណ៍ទម្លាក់ដែលធ្វើពុតជាឧបករណ៍ដូចជា Cisco AnyConnect និង Google Update។

វិធីសាស្រ្តពីរនេះអនុញ្ញាតឱ្យពួកគេទៅដល់ជនរងគ្រោះដោយមិនចាំបាច់បង្កើតការកេងប្រវ័ញ្ចថ្មីទេ។ អ្នកវិភាគនៅ PolySwarm បានកំណត់អត្តសញ្ញាណ និងកត់ត្រា SharkLoader បន្ទាប់ពីពិនិត្យមើលគំរូដែលភ្ជាប់ទៅនឹងសំណុំនៃការឈ្លានពានដែលកំពុងបន្តនេះ។

PolySwarm បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ Cyber ​​Security News (CSN) ថាការស្រាវជ្រាវរបស់ពួកគេបង្ហាញថាមេរោគនេះមិនមែនជាកម្មវិធីទាញយកសាមញ្ញទេ ប៉ុន្តែជាកម្មវិធីផ្ទុកដែលត្រូវបានរៀបចំយ៉ាងប្រុងប្រយ័ត្នដើម្បីជៀសវាងការរកឃើញនៅគ្រប់ជំហាន។

វាឌិគ្រីប និងដំណើរការស្ទើរតែទាំងស្រុងនៅក្នុងអង្គចងចាំ ដោយបន្សល់ទុកដានតិចតួចសម្រាប់ឧបករណ៍កំចាត់មេរោគដើម្បីចាប់បាន។

ជនរងគ្រោះដែលបានបញ្ជាក់គ្របដណ្តប់ស្ថាប័នរដ្ឋាភិបាល បេសកកម្មការទូត និងក្រុមហ៊ុនកម្មវិធីនៅទូទាំងប្រទេសឥណ្ឌូនេស៊ី តៃវ៉ាន់ ហុងកុង លីបង់ ស៊ីរី កូឡុំប៊ី ម៉ាសេដូនខាងជើង នេប៉ាល់ និងស៊ែប៊ី។

ការរីករាលដាលនេះបង្ហាញថាប្រតិបត្តិករកំពុងបោះសំណាញ់ធំទូលាយជាជាងការដេញតាមគោលដៅមួយ។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្តោតអារម្មណ៍នៃការវាយលុកលើបណ្តាញការទូត និងរដ្ឋាភិបាលបានលើកឡើងនូវសំណួរអំពីគោលបំណងប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់។

ពួក Hacker ប្រើកម្មវិធីដំឡើង Cisco AnyConnect និង Google Update ក្លែងក្លាយ

ផ្នែកដែលទាក់ទាញភ្នែកបំផុតនៃយុទ្ធនាការនេះគឺរបៀបដែលវាប្រើទំនុកចិត្តប្រឆាំងនឹងជនរងគ្រោះ។ ដោយការវេចខ្ចប់ SharkLoader នៅខាងក្នុងកម្មវិធីដំឡើងដែលមានម៉ាកយីហោឱ្យមើលទៅដូចជា Cisco AnyConnect ឬ Google Update អ្នកវាយប្រហារទាញយកប្រយោជន៍ពីសភាវគតិដើម្បីចុចលើការជំរុញការអាប់ដេតដែលធ្លាប់ស្គាល់ដោយមិនគិតពីរដង។

នៅពេលដែលបានចាប់ផ្តើម កម្មវិធីដំឡើងក្លែងក្លាយទាំងនេះដាក់កម្មវិធីផ្ទុកដោយស្ងៀមស្ងាត់ ខណៈពេលដែលជនរងគ្រោះជឿថាពួកគេកំពុងធ្វើបច្ចុប្បន្នភាពកម្មវិធីស្របច្បាប់។

ពីទីនោះ SharkLoader រំលោភលើការផ្ទុក DLL ភាគច្រើនជាញឹកញាប់ដោយការលួចយកកម្មវិធី Windows ពិតប្រាកដមួយដែលមានឈ្មោះថា SystemSettings.exe ដើម្បីផ្ទុកឯកសារព្យាបាទមួយដែលមានឈ្មោះថា SystemSettings.dll។

ដោយសារតែដំណើរការដែលអាចមើលឃើញគឺជាសមាសធាតុ Windows ពិតប្រាកដ និងបានចុះហត្ថលេខា ឧបករណ៍សុវត្ថិភាពដែលពឹងផ្អែកលើកេរ្តិ៍ឈ្មោះឯកសារតែម្នាក់ឯងនឹងមិនដាក់សញ្ញាសម្គាល់អ្វីដែលមិនធម្មតានោះទេ។

អ្នកស្រាវជ្រាវក៏បានរកឃើញមេរោគដោយប្រើ Perfect DLL Hijacking ដែលរៀបចំឥរិយាបថកម្មវិធីផ្ទុក Windows ខាងក្នុងដើម្បីបើកដំណើរការខ្សែស្រឡាយព្យាបាទ ខណៈពេលដែលគេចពីសោសុវត្ថិភាព។

ស្រទាប់នៃការគេចវេស និងអ្វីដែលកើតឡើងបន្ទាប់

SharkLoader មិនឈប់នៅការចូលដោយស្ងាត់ៗនោះទេ វាក៏ធ្វើការយ៉ាងលំបាកដើម្បីលាក់ខ្លួននៅពេលក្រោយ។ មេរោគភ្ជាប់ការហៅ Windows API ជាច្រើន ហើយបញ្ជូនបន្តពួកវាទៅកាន់ការហៅប្រព័ន្ធឆៅដែលបង្កើតភ្លាមៗ ដោយជួយឱ្យវារអិលឧបករណ៍ដែលមើលឥរិយាបថគួរឱ្យសង្ស័យ។

វាក៏រំខានដល់ការកត់ត្រាព្រឹត្តិការណ៍សម្រាប់ការតាមដាន Windows និងក្លែងបន្លំលេខសម្គាល់ដំណើរការមេ ដោយលាយសកម្មភាពរបស់វាទៅជាសំឡេងរំខានប្រព័ន្ធធម្មតា។

ដើម្បីបន្ត ប្រតិបត្តិករបានកំណត់ការបន្តតាមរយៈភារកិច្ចដែលបានកំណត់ពេលដែលដំណើរការរៀងរាល់ប្រាំនាទីម្តង សោដំណើរការចុះបញ្ជី និងភារកិច្ចដែលបានកំណត់ពេលបន្ថែមដែលដំណើរការជាមួយសិទ្ធិកម្រិតប្រព័ន្ធ។

បន្ទាប់មកពួកគេផ្លាស់ទីទៅការឈ្លបយកការណ៍ ការរាប់បញ្ចូល Active Directory ការលួចអត្តសញ្ញាណ ការចាក់ចោលអង្គចងចាំ LSASS និងការទាញយកមូលដ្ឋានទិន្នន័យ NTDS ដែលជាជំហានបុរាណឆ្ពោះទៅរកការគ្រប់គ្រងបណ្តាញ។

Cobalt Strike Beacon និងឧបករណ៍​កេងប្រវ័ញ្ច​ប្រភព​បើកចំហ​ជាច្រើន​ត្រូវបាន​ប្រើ​ដើម្បី​ផ្លាស់ទី​ទៅ​ចំហៀង​រវាង​ប្រព័ន្ធ​នានា។

អ្នកស្រាវជ្រាវ​កត់សម្គាល់​ដោយ​មាន​ទំនុកចិត្ត​ទាប​ទៅ​មធ្យម​ថា ឧបករណ៍​មួយចំនួន​ដែល​ប្រើ​ក្នុង​យុទ្ធនាការ​នេះ​ហាក់ដូចជា​ត្រូវបាន​បង្កើត​ឡើង​ដោយ​អ្នកអភិវឌ្ឍន៍​ដែល​និយាយ​ភាសា​ចិន ទោះបីជា​គ្មាន​តំណភ្ជាប់​រឹងមាំ​ភ្ជាប់ StrikeShark ទៅ​នឹង​ក្រុម​ដែល​ធ្លាប់​ស្គាល់​ពីមុន​ក៏ដោយ។

គម្លាត​នៃ​ការ​សន្មត​នោះ​មានន័យថា អ្នកការពារ​គួរតែ​ចាត់ទុក​រឿងនេះ​ជា​ការគំរាមកំហែង​ដាច់ដោយឡែក​មួយ ជាជាង​ការ​ដាក់​វា​ទៅជា​ការសន្មត់​អំពី​អ្នកដើរតួ​ដែល​ធ្លាប់ស្គាល់។

PolySwarm ណែនាំ​ថា អង្គការ​នានា​គួរតែ​ផ្តល់​អាទិភាព​ដល់​ការ​ជួសជុល​កម្មវិធី​ដែល​ប្រឈមមុខ​នឹង​អ៊ីនធឺណិត និង​ឧបករណ៍​បណ្តាញ​យ៉ាង​ឆាប់រហ័ស ដោយសារ​ការ​កេងប្រវ័ញ្ច​កំហុស​ដែល​គេ​ស្គាល់​នៅតែ​ជា​ចំណុចចូល​សំខាន់​នៅទីនេះ។

Super Admin

Admin

សូម ចូលគណនី ដើម្បីបញ្ចេញមតិយោបល់លើអត្ថបទនេះ!

អ្នកក៏អាចចូលចិត្តផងដែរ