- ដោយ Admin
- May 30, 2026
កំពុងផ្ទុក...
កំពុងផ្ទុក...
យុទ្ធនាការបន្លំបន្លំដ៏ទំនើបមួយកំពុងកំណត់គោលដៅយ៉ាងសកម្មលើអង្គការហិរញ្ញវត្ថុដោយប្រើទំព័រ Adobe Document Cloud ក្លែងក្លាយ ដើម្បីដំឡើងមេរោគចូលប្រើពីចម្ងាយ ScreenConnect នៅលើម៉ាស៊ីនជនរងគ្រោះដោយស្ងៀមស្ងាត់។
ប្រតិបត្តិការនេះមានរចនាសម្ព័ន្ធល្អ បោកបញ្ឆោត និងពិបាករកឃើញ ព្រោះវាលាយឡំទៅនឹងសកម្មភាពកម្មវិធីសហគ្រាសប្រចាំថ្ងៃ។
យុទ្ធនាការនេះដំណើរការដោយការផ្ញើអ៊ីមែលបន្លំបន្លំដែលមើលទៅដូចជាការជូនដំណឹងអំពីការចែករំលែកឯកសារ Adobe Document Cloud ស្របច្បាប់។ ជនរងគ្រោះត្រូវបានគេប្រាប់ថាឯកសារគម្រោងសម្ងាត់មួយត្រូវបានផ្ទុកឡើងទៅ Adobe Document Cloud ហើយត្រូវបានផ្តល់តំណភ្ជាប់ដើម្បីមើលវា។
តំណភ្ជាប់នោះនាំទៅដល់គេហទំព័រ WordPress ដែលរងការសម្របសម្រួល ដែលបង្ហោះទំព័រ Adobe ក្លែងក្លាយដែលគួរឱ្យជឿជាក់ ដែលត្រូវបានរចនាឡើងដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបង្កឱ្យមានការទាញយកមេរោគដោយមិនដឹងខ្លួន។
អ្នកស្រាវជ្រាវមកពីក្រុមអ្នកជំនាញស៊ើបការណ៍សម្ងាត់ និងស្រាវជ្រាវ (FIRE) របស់ Fortra បានកំណត់អត្តសញ្ញាណឧបករណ៍បន្លំបន្លំនៅពីក្រោយប្រតិបត្តិការនេះ ហើយដាក់ឈ្មោះវាថា "RatPressto"។
Fortra បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ Cyber Security News (CSN) ថា ឧបករណ៍នេះអាចប្រើឡើងវិញបាន ថែរក្សាដោយឯកជន និងត្រូវបានរចនាឡើងដើម្បីបង្កើនទំនុកចិត្តរបស់ជនរងគ្រោះ ខណៈពេលដែលកាត់បន្ថយការរកឃើញសុវត្ថិភាព។
យុទ្ធនាការនេះត្រូវបានវាយតម្លៃដោយមានទំនុកចិត្តមធ្យមថាមានប្រភពមកពីអ្នកគំរាមកំហែងប្រេស៊ីល ដោយផ្អែកលើហេដ្ឋារចនាសម្ព័ន្ធដែលភ្ជាប់ទៅនឹងទីក្រុង São Paulo។
អ្វីដែលធ្វើឱ្យយុទ្ធនាការនេះលេចធ្លោគឺរបៀបដែលវាប្រើកម្មវិធីស្របច្បាប់ដើម្បីរក្សាការឃ្លាំមើល។ ជំនួសឱ្យការដាក់ពង្រាយមេរោគផ្ទាល់ខ្លួន អ្នកវាយប្រហារបានរំលោភលើ ScreenConnect ដែលជាឧបករណ៍គ្រប់គ្រងពីចម្ងាយដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ ដើម្បីទទួលបានការគ្រប់គ្រងពេញលេញលើម៉ាស៊ីនដែលឆ្លងមេរោគ។
ការលាយបញ្ចូលគ្នានូវសកម្មភាពព្យាបាទទៅក្នុងចរាចរណ៍កម្មវិធីអាជីវកម្មធម្មតាធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់ឧបករណ៍សុវត្ថិភាពស្តង់ដារក្នុងការជូនដំណឹង។ យុទ្ធនាការនេះបានបង្ហាញពីភាពចាស់ទុំប្រតិបត្តិការជាប់លាប់ជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធដែលអាចប្រើឡើងវិញបាននៅទូទាំងការដាក់ពង្រាយជាច្រើន។
គេហទំព័រដែលរងការលួចចូលជាច្រើនត្រូវបានគេរកឃើញថាបង្ហោះទំព័របន្លំស្ទើរតែដូចគ្នាបេះបិទ ដោយមានតែឈ្មោះឯកសារជាក់លាក់របស់ជនរងគ្រោះប៉ុណ្ណោះដែលត្រូវបានផ្លាស់ប្តូររវាងយុទ្ធនាការ។ នេះចង្អុលបង្ហាញយ៉ាងខ្លាំងទៅកាន់ក្រុមអ្នកសំដែងតែមួយដែលមានការរៀបចំយ៉ាងល្អដែលគ្រប់គ្រងឧបករណ៍បន្លំឯកជនកណ្តាល។
ពួក Hacker ប្រើទំព័រ Cloud Document Adobe ក្លែងក្លាយ
ឧបករណ៍ RatPressto ដំណើរការជាពីរដំណាក់កាលដែលត្រូវបានរចនាឡើងដើម្បីធ្វើឱ្យជនរងគ្រោះរំខានខណៈពេលដែលមេរោគដំឡើងខ្លួនវាដោយស្ងៀមស្ងាត់។
ដំណាក់កាលទីមួយបង្ហាញជនរងគ្រោះជាមួយនឹងទំព័រ Adobe ក្លែងក្លាយដែលគួរឱ្យជឿជាក់ដែលបង្ហាញសារ "ទាញយករួចរាល់" រួមជាមួយនឹងការដាក់ស្លាកសញ្ញា Adobe និងចលនាផ្ទុក។ ទំព័រនេះមានគោលបំណងមួយ៖ ទិញពេលវេលាខណៈពេលដែលសកម្មភាពពិតប្រាកដកើតឡើងនៅផ្ទៃខាងក្រោយ។
សកម្មភាពផ្ទៃខាងក្រោយនោះគឺជាដំណាក់កាលទីពីរ ដែល iframe ដែលលាក់ស្ងាត់ៗបង្កឱ្យមានការទាញយកកម្មវិធីដំឡើង ScreenConnect។ ជនរងគ្រោះឃើញការណែនាំដែលប្រាប់ពួកគេឱ្យបើកឯកសារ ប៉ុន្តែឯកសារព្យាបាទត្រូវបានទាញយករួចហើយ មុនពេលពួកគេចាត់វិធានការណាមួយ។
នៅពេលដែលកម្មវិធីដំឡើងដំណើរការ ScreenConnect ត្រូវបានដំឡើងដោយស្ងាត់ៗដោយគ្មានចំណុចប្រទាក់ដែលអាចមើលឃើញ ហើយម៉ាស៊ីនដែលឆ្លងមេរោគនឹងភ្ជាប់ត្រឡប់ទៅម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រងដែលបង្ហោះដោយខ្លួនឯងនៅ cloud.zistopstoabetterlife.com នៅលើច្រក 8041។
អ្នកវាយប្រហាររៀបចំបន្ទុកបន្ថែមតាមរយៈឃ្លាំង GitHub ក្រោមគណនី "creativebobo" ហើយប្រើស្គ្រីបបាច់ដែលលាក់បាំងយ៉ាងខ្លាំង ដែលលុបខ្លួនឯងបន្ទាប់ពីការប្រតិបត្តិដើម្បីសម្អាតដាន។
ឈ្មោះឯកសារត្រូវបានប្ដូរតាមបំណងដើម្បីផ្គូផ្គងបរិបទអាជីវកម្មរបស់ជនរងគ្រោះ ដូចជាការប្រើឈ្មោះក្រុមហ៊ុននៅក្នុងឯកសារកម្មវិធីដំឡើង ដែលធ្វើឱ្យការទាញយកមើលទៅកាន់តែស្របច្បាប់នៅពេលមើលដំបូង។
គេហទំព័រ WordPress ដែលរងការគំរាមកំហែងនៅស្នូលនៃការវាយប្រហារ
ផ្នែកសំខាន់នៃយុទ្ធនាការនេះគឺការរំលោភបំពានគេហទំព័រ WordPress ដែលមានសុវត្ថិភាពទាប ដើម្បីបង្ហោះឧបករណ៍បន្លំ។
អ្នកស៊ើបអង្កេតបានរកឃើញថា គេហទំព័រដែលរងការគំរាមកំហែងជាច្រើនបានបង្ហាញចំណុចប្រទាក់អ្នកគ្រប់គ្រង WordPress ជាសាធារណៈ មានន័យថាអ្នកវាយប្រហារទំនងជាបានប្រើព័ត៌មានសម្ងាត់ដែលត្រូវបានគេលួច ឬកេងប្រវ័ញ្ចកម្មវិធីជំនួយដែលងាយរងគ្រោះ ដើម្បីទទួលបានសិទ្ធិចូលប្រើ និងផ្ទុកឡើងឯកសារបន្លំដោយផ្ទាល់។
ឯកសារឧបករណ៍បន្លំ រួមទាំង download.html, complete.php និង download.php ត្រូវបានដាក់ពង្រាយទៅក្នុងថតឯកសារដែលអាចចូលប្រើបានដោយ WordPress។
ភាពស៊ីសង្វាក់គ្នានៃគំរូនេះនៅទូទាំងគេហទំព័រជាច្រើនដែលមិនទាក់ទងគ្នាបង្ហាញយ៉ាងច្បាស់ថា បន្ទះគ្រប់គ្រង WordPress ដែលបង្កគ្រោះថ្នាក់គឺជាជំហានដោយចេតនានៅក្នុងដំណើរការដាក់ពង្រាយរបស់អ្នកវាយប្រហារ មិនមែនជាឧបទ្ទវហេតុនោះទេ។
អង្គការនានាត្រូវបានណែនាំឱ្យធ្វើសវនកម្មបរិស្ថាន WordPress របស់ពួកគេសម្រាប់ចំណុចប្រទាក់អ្នកគ្រប់គ្រងដែលត្រូវបានបង្ហាញ និងបិទការចូលប្រើជាសាធារណៈទៅកាន់ wp-admin កន្លែងដែលអាចធ្វើទៅបាន។
