ពួក Hacker ប្រើប្រាស់ OnyxC2 Malware-as-a-Service ដើម្បីលួចយកព័ត៌មានសម្ងាត់ពីកម្មវិធីចំនួន 210

ឧបករណ៍លួចអត្តសញ្ញាណថ្មីមួយ និងគ្រោះថ្នាក់មួយដែលមានឈ្មោះថា OnyxC2 បានលេចចេញនៅក្នុងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតក្រោមដី ដោយបង្ហាញពីភាពងាយស្រួលសម្រាប់អ្នកវាយប្រហារដែលមានជំនាញទាបក្នុងការដំណើរការប្រតិបត្តិការលួចចូលប្រកបដោយវិជ្ជាជីវៈ។

លក់ជាកញ្ចប់ពេញលេញក្នុងតម្លៃ 250 ដុល្លារក្នុងមួយខែ មេរោគនេះផ្តល់ឱ្យអ្នកទិញនូវអ្វីគ្រប់យ៉ាងដែលពួកគេត្រូវការដើម្បីបង្ហូរទិន្នន័យចូលពីជនរងគ្រោះទូទាំងពិភពលោកដោយស្ងាត់ៗ។ អ្វីដែលធ្វើឱ្យវាលេចធ្លោគឺទំហំនៃអ្វីដែលវាកំណត់គោលដៅ៖ កម្មវិធី និងផ្នែកបន្ថែមកម្មវិធីរុករកជាង 210 ក្នុងការវាយលុកតែមួយ។

OnyxC2 ត្រូវបានដាក់លក់ដូចជាកម្មវិធីពាណិជ្ជកម្មស្របច្បាប់ រួមជាមួយនឹងផ្ទាំងគេហទំព័រ ឧបករណ៍បង្កើតបន្ទុក ការកំណត់តម្លៃជាថ្នាក់ និងការសងប្រាក់វិញប្រសិនបើការបង្កើតត្រូវបានសម្គាល់។

សម្រាប់ថ្លៃសេវាប្រចាំខែ អ្នកទិញទទួលបានឧបករណ៍ដែលលួចអត្តសញ្ញាណកម្មវិធីរុករក ទិន្នន័យកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ លេខកូដផ្ទៀងផ្ទាត់ពីរកត្តា និងព័ត៌មានកាបូបគ្រីបតូ។ ទិន្នន័យដែលត្រូវបានគេលួចត្រូវបានដឹកជញ្ជូនត្រឡប់មកវិញតាមរយៈឆានែលដែលបានអ៊ិនគ្រីប ដែលធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់ឧបករណ៍សុវត្ថិភាពក្នុងការចាប់បានក្នុងពេលដឹកជញ្ជូន។

អ្នកវិភាគនៅ Blackfog បានកំណត់អត្តសញ្ញាណមេរោគ ហើយបានបោះពុម្ពផ្សាយការរកឃើញរបស់ពួកគេនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ Cyber ​​Security News (CSN) ដោយបង្ហាញពីវិសាលភាពពេញលេញនៃអ្វីដែល OnyxC2 អាចធ្វើបាន និងរបៀបដែលវាគេចវេសពីការរកឃើញ។

ក្រុមស្រាវជ្រាវបានទទួលការសាងសង់ផ្ទាល់ ដំណើរការវានៅក្នុងបរិស្ថាន sandbox ហើយបានបញ្ជាក់ថាឧបករណ៍នេះកំពុងឈានដល់ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រងផ្ទាល់យ៉ាងសកម្ម។

មេរោគនេះត្រូវបានសរសេរជា C++ ដោយប្រើកូដ assembly ដើម្បីរំលងច្បាប់សុវត្ថិភាពនៅកម្រិតប្រព័ន្ធ។ ការសាងសង់នីមួយៗត្រូវបានផ្លាស់ប្តូរមុនពេលចែកចាយដើម្បីបំបែកការរកឃើញហត្ថលេខាកំចាត់មេរោគ ហើយអ្នកអភិវឌ្ឍន៍អះអាងថាមានអត្រាគេចវេស 99%។

ការធ្វើតេស្តរបស់ Blackfog បានបញ្ជាក់ពីរឿងនេះ៖ ការសាងសង់គំរូទាំងពីរដែលបានដាក់ជូនទៅ VirusTotal បានត្រលប់មកវិញស្អាតនៅពេលផ្ទុកឡើងលើកដំបូង ដោយសមាសធាតុព្យាបាទនៅតែមិនត្រូវបានរកឃើញគិតត្រឹមថ្ងៃទី 30 ខែឧសភា ឆ្នាំ 2026។

សក្តានុពលនៃការខូចខាតគឺពិតប្រាកដណាស់។ ម៉ាស៊ីនឆ្លងមេរោគមួយដែលបង្ហាញនៅក្នុងបន្ទះបានប្រគល់ពាក្យសម្ងាត់ដែលបានរក្សាទុកចំនួន 55 ខូគីចំនួន 4,717 ធាតុបំពេញដោយស្វ័យប្រវត្តិចំនួន 719 ទិន្នន័យកាតឥណទាន និងកាបូបគ្រីបតូរួចហើយ ដែលទាំងអស់មកពីម៉ាស៊ីនតែមួយ។

ពួក Hacker ប្រើប្រាស់ OnyxC2 Malware-as-a-Service

ភាពទូលំទូលាយនៃបញ្ជីគោលដៅរបស់ OnyxC2 ធ្វើឱ្យវាខុសពីអ្នកលួចសាមញ្ញជាង។ វាទៅដល់កម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium ចំនួន 37 និងកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Gecko ចំនួន 8 បូករួមទាំង Chromium ចំនួន 95 និងផ្នែកបន្ថែម Gecko ចំនួន 14 រួមទាំងឧបករណ៍ផ្ទៀងផ្ទាត់ពីរកត្តាចំនួន 6 ដែលឧទ្ទិសដល់។ សូម្បីតែគណនីដែលត្រូវបានការពារដោយ 2FA ក៏មិនមានសុវត្ថិភាពពីការគំរាមកំហែងនេះដែរ។

អ្នកលួចក៏គ្របដណ្តប់លើកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ចំនួន 5 កាបូបរូបិយប័ណ្ណគ្រីបតូចំនួន 17 កម្មវិធី FTP ចំនួន 11 និងកម្មវិធីអ៊ីមែលចំនួន 5 ផងដែរ។ អ្នកលួចដែលចាប់យកទិន្នន័យកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់រួមជាមួយខូគីវគ្គសកម្មអាចចូលប្រើគណនីសូម្បីតែបន្ទាប់ពីជនរងគ្រោះផ្លាស់ប្តូរពាក្យសម្ងាត់របស់ពួកគេក៏ដោយ។

គោលដៅ FTP និងអ៊ីមែលជំរុញវិសាលភាពរបស់វាហួសពីគណនីផ្ទាល់ខ្លួន និងចូលទៅក្នុងប្រព័ន្ធអាជីវកម្មដែលក្រុមហិរញ្ញវត្ថុ និងប្រតិបត្តិការប្រើប្រាស់ជារៀងរាល់ថ្ងៃ។

ក្រៅពីការលួចព័ត៌មានសម្ងាត់ OnyxC2 ភ្ជាប់មកជាមួយឧបករណ៍ចូលប្រើពីចម្ងាយពេញលេញ។ ប្រតិបត្តិករអាចប្រើ HVNC ដើម្បីគ្រប់គ្រងវគ្គកម្មវិធីរុករកដែលលាក់ ដំណើរការកម្មវិធីកត់ត្រាគន្លឹះ ថតរូបអេក្រង់ និងគ្រប់គ្រងឯកសារពីចម្ងាយ។

ប្រូកស៊ី SOCKS5 បញ្ច្រាស និងផ្លូវរូងក្រោមដី Tor ដែលភ្ជាប់មកជាមួយ បំពេញបន្ថែមឧបករណ៍នេះ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបញ្ជូនចរាចរណ៍ដោយអនាមិក។

ការចែកចាយ និងការគេចវេសរបស់អ្នកដំឡើងក្លែងក្លាយ

OnyxC2 ទៅដល់ជនរងគ្រោះតាមរយៈកញ្ចប់កម្មវិធីដំឡើងក្លែងក្លាយដែលក្លែងបន្លំជាការទាញយកកម្មវិធីស្របច្បាប់។ ល្បិចដែលអ្នកស្រាវជ្រាវរកឃើញរួមមានកញ្ចប់ដែលធ្វើត្រាប់តាម Fling-Standalone, FinePrint, SystemSettings និងឯកសារអាប់ដេត Windows ក្លែងក្លាយ។

បណ្ណសារព្យាបាទនីមួយៗត្រូវបានការពារដោយពាក្យសម្ងាត់ ដែលជួយឱ្យវារអិលឆ្លងកាត់ឧបករណ៍ស្កេនដោយស្វ័យប្រវត្តិដែលត្រូវតែបើកឯកសារដើម្បីត្រួតពិនិត្យពួកវា។

នៅខាងក្នុងបណ្ណសារក្លែងក្លាយនីមួយៗគឺជាកញ្ចប់ឯកសារពីរដែលបង្កើតឡើងសម្រាប់ការផ្ទុក DLL ចំហៀង។ ឯកសារទីមួយគឺជាកម្មវិធីដែលបានចុះហត្ថលេខាស្របច្បាប់ដែល Windows ទុកចិត្តដោយគ្មានសំណួរ ហើយឯកសារទីពីរគឺជា DLL ព្យាបាទដែលត្រូវបានដាក់ឈ្មោះដើម្បីផ្គូផ្គងបណ្ណាល័យដែលកម្មវិធីដែលបានចុះហត្ថលេខាផ្ទុកនៅពេលចាប់ផ្តើម។

នៅពេលដែលជនរងគ្រោះដំណើរការអ្វីដែលមើលទៅដូចជាកម្មវិធីដំឡើង កម្មវិធីដែលទុកចិត្តផ្ទុកកូដរបស់អ្នកវាយប្រហារដោយមិនដឹងខ្លួនពីថតឯកសារដូចគ្នា។

DLL ព្យាបាទត្រូវបានផ្ទុកលើស 120 MB ដោយធ្វើត្រាប់តាមបណ្ណាល័យក្រាហ្វិក NVIDIA ពិតប្រាកដ ជាមួយនឹងឈ្មោះមុខងារនាំចេញដែលមើលទៅពិតប្រាកដដែលបានបង្កប់នៅខាងក្នុង។

ម៉ាស៊ីនស្កេនកំចាត់មេរោគជាច្រើនរំលងឯកសារធំៗដើម្បីសន្សំសំចៃពេលវេលា ហើយបន្ទុកពិតប្រាកដត្រូវបានអ៊ិនគ្រីបនៅខាងក្នុង ដោយឌិគ្រីបតែនៅពេលដំណើរការប៉ុណ្ណោះ។

Blackfog ណែនាំឱ្យអនុវត្តការគ្រប់គ្រងប្រឆាំងនឹងការលួចទិន្នន័យនៅចំណុចបញ្ចប់ ដោយរារាំងការផ្ទេរទិន្នន័យចេញនៅចំណុចលួចជាជាងពឹងផ្អែកតែលើការស្កេនឯកសារ។