- ដោយ Admin
- Jul 06, 2026
កំពុងផ្ទុក...
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញឧបករណ៍ផ្ទុកមេរោគថ្មីមួយដែលមានឈ្មោះថា SharkLoader ដែលកំពុងលួចចូលទៅក្នុងបណ្តាញដោយស្ងាត់ៗ ដោយលាក់ខ្លួននៅខាងក្នុងកម្មវិធីដំឡើងកម្មវិធីក្លែងក្លាយ។
ឧបករណ៍នេះត្រូវបានគេប្រទះឃើញថាកំពុងបញ្ជូន Cobalt Strike Beacon ដែលជាក្របខ័ណ្ឌក្រោយការកេងប្រវ័ញ្ចដ៏ល្បីមួយ ទៅលើម៉ាស៊ីនដែលរងការលួចចូល។
យុទ្ធនាការនេះលាយឡំល្បិចបែបបុរាណ ដោយក្លែងបន្លំមេរោគជាកម្មវិធីដែលគួរឱ្យទុកចិត្ត ជាមួយនឹងវិស្វកម្មគេចវេសកម្រិតខ្ពស់នៅពីក្រោម។
អ្នកវាយប្រហារ ដែលត្រូវបានតាមដានក្រោមឈ្មោះចង្កោម StrikeShark មិនពឹងផ្អែកលើមធ្យោបាយតែមួយចូលទៅក្នុងបណ្តាញទេ។
ពួកគេទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្វះខាតដែលគេស្គាល់នៅក្នុងកម្មវិធីដូចជា Microsoft Exchange, SharePoint, ឧបករណ៍ Fortinet និង Cisco IOS XE ខណៈពេលដែលក៏ចែកចាយឧបករណ៍ទម្លាក់ដែលធ្វើពុតជាឧបករណ៍ដូចជា Cisco AnyConnect និង Google Update។
វិធីសាស្រ្តពីរនេះអនុញ្ញាតឱ្យពួកគេទៅដល់ជនរងគ្រោះដោយមិនចាំបាច់បង្កើតការកេងប្រវ័ញ្ចថ្មីទេ។ អ្នកវិភាគនៅ PolySwarm បានកំណត់អត្តសញ្ញាណ និងកត់ត្រា SharkLoader បន្ទាប់ពីពិនិត្យមើលគំរូដែលភ្ជាប់ទៅនឹងសំណុំនៃការឈ្លានពានដែលកំពុងបន្តនេះ។
PolySwarm បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ Cyber Security News (CSN) ថាការស្រាវជ្រាវរបស់ពួកគេបង្ហាញថាមេរោគនេះមិនមែនជាកម្មវិធីទាញយកសាមញ្ញទេ ប៉ុន្តែជាកម្មវិធីផ្ទុកដែលត្រូវបានរៀបចំយ៉ាងប្រុងប្រយ័ត្នដើម្បីជៀសវាងការរកឃើញនៅគ្រប់ជំហាន។
វាឌិគ្រីប និងដំណើរការស្ទើរតែទាំងស្រុងនៅក្នុងអង្គចងចាំ ដោយបន្សល់ទុកដានតិចតួចសម្រាប់ឧបករណ៍កំចាត់មេរោគដើម្បីចាប់បាន។
ជនរងគ្រោះដែលបានបញ្ជាក់គ្របដណ្តប់ស្ថាប័នរដ្ឋាភិបាល បេសកកម្មការទូត និងក្រុមហ៊ុនកម្មវិធីនៅទូទាំងប្រទេសឥណ្ឌូនេស៊ី តៃវ៉ាន់ ហុងកុង លីបង់ ស៊ីរី កូឡុំប៊ី ម៉ាសេដូនខាងជើង នេប៉ាល់ និងស៊ែប៊ី។
ការរីករាលដាលនេះបង្ហាញថាប្រតិបត្តិករកំពុងបោះសំណាញ់ធំទូលាយជាជាងការដេញតាមគោលដៅមួយ។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្តោតអារម្មណ៍នៃការវាយលុកលើបណ្តាញការទូត និងរដ្ឋាភិបាលបានលើកឡើងនូវសំណួរអំពីគោលបំណងប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់។
ពួក Hacker ប្រើកម្មវិធីដំឡើង Cisco AnyConnect និង Google Update ក្លែងក្លាយ
ផ្នែកដែលទាក់ទាញភ្នែកបំផុតនៃយុទ្ធនាការនេះគឺរបៀបដែលវាប្រើទំនុកចិត្តប្រឆាំងនឹងជនរងគ្រោះ។ ដោយការវេចខ្ចប់ SharkLoader នៅខាងក្នុងកម្មវិធីដំឡើងដែលមានម៉ាកយីហោឱ្យមើលទៅដូចជា Cisco AnyConnect ឬ Google Update អ្នកវាយប្រហារទាញយកប្រយោជន៍ពីសភាវគតិដើម្បីចុចលើការជំរុញការអាប់ដេតដែលធ្លាប់ស្គាល់ដោយមិនគិតពីរដង។
នៅពេលដែលបានចាប់ផ្តើម កម្មវិធីដំឡើងក្លែងក្លាយទាំងនេះដាក់កម្មវិធីផ្ទុកដោយស្ងៀមស្ងាត់ ខណៈពេលដែលជនរងគ្រោះជឿថាពួកគេកំពុងធ្វើបច្ចុប្បន្នភាពកម្មវិធីស្របច្បាប់។
ពីទីនោះ SharkLoader រំលោភលើការផ្ទុក DLL ភាគច្រើនជាញឹកញាប់ដោយការលួចយកកម្មវិធី Windows ពិតប្រាកដមួយដែលមានឈ្មោះថា SystemSettings.exe ដើម្បីផ្ទុកឯកសារព្យាបាទមួយដែលមានឈ្មោះថា SystemSettings.dll។
ដោយសារតែដំណើរការដែលអាចមើលឃើញគឺជាសមាសធាតុ Windows ពិតប្រាកដ និងបានចុះហត្ថលេខា ឧបករណ៍សុវត្ថិភាពដែលពឹងផ្អែកលើកេរ្តិ៍ឈ្មោះឯកសារតែម្នាក់ឯងនឹងមិនដាក់សញ្ញាសម្គាល់អ្វីដែលមិនធម្មតានោះទេ។
អ្នកស្រាវជ្រាវក៏បានរកឃើញមេរោគដោយប្រើ Perfect DLL Hijacking ដែលរៀបចំឥរិយាបថកម្មវិធីផ្ទុក Windows ខាងក្នុងដើម្បីបើកដំណើរការខ្សែស្រឡាយព្យាបាទ ខណៈពេលដែលគេចពីសោសុវត្ថិភាព។
ស្រទាប់នៃការគេចវេស និងអ្វីដែលកើតឡើងបន្ទាប់
SharkLoader មិនឈប់នៅការចូលដោយស្ងាត់ៗនោះទេ វាក៏ធ្វើការយ៉ាងលំបាកដើម្បីលាក់ខ្លួននៅពេលក្រោយ។ មេរោគភ្ជាប់ការហៅ Windows API ជាច្រើន ហើយបញ្ជូនបន្តពួកវាទៅកាន់ការហៅប្រព័ន្ធឆៅដែលបង្កើតភ្លាមៗ ដោយជួយឱ្យវារអិលឧបករណ៍ដែលមើលឥរិយាបថគួរឱ្យសង្ស័យ។
វាក៏រំខានដល់ការកត់ត្រាព្រឹត្តិការណ៍សម្រាប់ការតាមដាន Windows និងក្លែងបន្លំលេខសម្គាល់ដំណើរការមេ ដោយលាយសកម្មភាពរបស់វាទៅជាសំឡេងរំខានប្រព័ន្ធធម្មតា។
ដើម្បីបន្ត ប្រតិបត្តិករបានកំណត់ការបន្តតាមរយៈភារកិច្ចដែលបានកំណត់ពេលដែលដំណើរការរៀងរាល់ប្រាំនាទីម្តង សោដំណើរការចុះបញ្ជី និងភារកិច្ចដែលបានកំណត់ពេលបន្ថែមដែលដំណើរការជាមួយសិទ្ធិកម្រិតប្រព័ន្ធ។
បន្ទាប់មកពួកគេផ្លាស់ទីទៅការឈ្លបយកការណ៍ ការរាប់បញ្ចូល Active Directory ការលួចអត្តសញ្ញាណ ការចាក់ចោលអង្គចងចាំ LSASS និងការទាញយកមូលដ្ឋានទិន្នន័យ NTDS ដែលជាជំហានបុរាណឆ្ពោះទៅរកការគ្រប់គ្រងបណ្តាញ។
Cobalt Strike Beacon និងឧបករណ៍កេងប្រវ័ញ្ចប្រភពបើកចំហជាច្រើនត្រូវបានប្រើដើម្បីផ្លាស់ទីទៅចំហៀងរវាងប្រព័ន្ធនានា។
អ្នកស្រាវជ្រាវកត់សម្គាល់ដោយមានទំនុកចិត្តទាបទៅមធ្យមថា ឧបករណ៍មួយចំនួនដែលប្រើក្នុងយុទ្ធនាការនេះហាក់ដូចជាត្រូវបានបង្កើតឡើងដោយអ្នកអភិវឌ្ឍន៍ដែលនិយាយភាសាចិន ទោះបីជាគ្មានតំណភ្ជាប់រឹងមាំភ្ជាប់ StrikeShark ទៅនឹងក្រុមដែលធ្លាប់ស្គាល់ពីមុនក៏ដោយ។
គម្លាតនៃការសន្មតនោះមានន័យថា អ្នកការពារគួរតែចាត់ទុករឿងនេះជាការគំរាមកំហែងដាច់ដោយឡែកមួយ ជាជាងការដាក់វាទៅជាការសន្មត់អំពីអ្នកដើរតួដែលធ្លាប់ស្គាល់។
PolySwarm ណែនាំថា អង្គការនានាគួរតែផ្តល់អាទិភាពដល់ការជួសជុលកម្មវិធីដែលប្រឈមមុខនឹងអ៊ីនធឺណិត និងឧបករណ៍បណ្តាញយ៉ាងឆាប់រហ័ស ដោយសារការកេងប្រវ័ញ្ចកំហុសដែលគេស្គាល់នៅតែជាចំណុចចូលសំខាន់នៅទីនេះ។