Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

RomCom malware ແຜ່ກະຈາຍຜ່ານ Google Ads ໂດຍການປອມເປັນ ChatGPT, GIMP ແລະ ອື່ນໆ

RomCom malware ແຜ່ກະຈາຍຜ່ານ Google Ads ໂດຍການປອມເປັນ ChatGPT, GIMP ແລະ ອື່ນໆ

Trend Micro ເປີດ​ເຜຍ​ການ​ຄົ້ນ​ພົບ​ແຄມ​ເປນ (Campaign) ການ​ໂຈມ​ຕີ​ໃໝ່​ຂອງ​ມັນ​ແວ ​(Malware)  RomCom ທີ່​ໄດ້​​ປອມ​ແປງ​ເປັນ​ເວັບ​ໄຊ​ຂອງ​ຊ໋ອບແວ​ຍອດນິຍົມ​ ເພື່ອ​ຫຼອກ​ໃຫ້​ເຫຍື່ອ​ດາວ​​ໂຫຼດ​ ແລະ​ ຕິດ​ຕັ້ງ​ໂປຣ​ແກຣມ​ທີ່​ເປັນ​ອັນຕະລາຍ​.

ແຄມ​ເປນຫຼ້າ​ສຸດ​ຂອງ​ RomCom ຖືກຄົ້ນ​ພົບ​ຕັ້ງ​ແຕ່​ປີ​ 2022 ໂດຍ​ນັກ​ວິ​ໄຈພົບ​ວ່າ​ Hacker ໄດ້​ເພີ່ມ​ການ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ໂດຍ​ໃຊ້​ການ​ເຂົ້າ​ລະ​ຫັດ​ເພ​​ໂຫຼດ​ (Payload) ລວມ​ເຖິງ​ມີ​ການ​ເພີ່ມ​ປະ​ສິດ​ທິ​ພາບ​ຂອງ​ເຄື່ອງ​ມື​ ດ້ວຍ​ການ​ເພີ່ມ​ຄຳ​ສັ່ງ​ໃໝ່​ໆ​, ຊຶ່ງ​ເວັບ​ໄຊ​​ທີ່​ RomCom ​ປອມ​ແປງ​ແມ່ນຈະ​ກ່ຽວ​ຂອງ​ກັບ​ໂປຣ​ແກຣມ​ Remote Desktop Management Application ເພື່ອ​ເພີ່ມ​ໂອ​ກາດ​ທີ່​ Hacker ຈະ​ໃຊ້​ການ​ໂຈມ​ຕີ​ແບບ​ Phishing ຫຼື​ Social Engineering ໃນ​ການ​ເຂົ້າ​ເຖິງ​ເປົ້າ​ໝາຍ​.



ແຄມ​ເປນ​ການ​ໂຈມ​ຕີ​ໃໝ່​ຂອງ​ RomCom

Trend Micro ເຜີຍແຜ່​ລາຍ​ງານ​ແຄມ​ເປນ​ການ​ໂຈມ​ຕີ​ໃໝ່​ຂອງ​ RomCom ທີ່​ໄດ້​ພົບ​ການ​ໂຈມ​ຕີ​ມາ​ຕັ້ງ​ແຕ່​ ເດືອນ​ ທັນວາ​ ປີ 2022 ຫາ​ ເມ​ສາ​ ປີ 2023 ຊຶ່ງ​ໄດ້​ປອມ​ແປງ​ເປັນ​ເວັບ​ໄຊ​​ຂອງ​ຊ໋ອບ​ແວ​ຍອດນິຍົມ​ ເຊັ່ນ:​ Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions' Remote Desktop Manager ແລະ​ ອື່ນ​ໆ​.

ຊຶ່ງ​ໄດ້​ພົບ​ເວັບ​ໄຊ​​ ທີ່​ເປັນ​ອັນຕະລາຍ​ບາງ​ສ່ວນ​ທີ່​ຖືກ​ໃຊ້​ໃນ​ໄລຍະເວລາ​ດັ່ງ​ກ່າວຄື​:

  • com (ອອບລາຍ) – ຮຽນ​ແບບ​ໂປຣ​ແກຣມ​ແກ້​ໄຂ​ຮູບ​ພາບ​ຟ​ຣີ​ ແລະ​ Open Source
  • us (ອອບລາຍ​) – ຮຽນ​ແບບ​ແອັບ​ການ​ປະ​ຊຸມ​ທາງ​ວິ​ດີ​ໂອເທິງຄ​ລາວ​ (Cloud Computing) ແລະ​ ແອັບ​ການ​ປະ​ຊຸມ​
  • org (ອອບລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ເຮັດ​ຄວາມ​ສະ​ອາດ​ຂໍ້​ມູນ​ເທິງ​ພີ​ຊີ (PC) ​
  • chatgpt4com (ອອນລາຍ​) – ຮຽນ​ແບບ​ແພັດ​ຟອມ​ແຊັດ​ບອດ (Chatbot Platform) ​ທີ່​ຂັບ​ເຄື່ອນ​ດ້ວຍ​ AI
  • com (ອອບລາຍ​) – ຮຽນ​ແບບຊ໋ອບແວ​ແຊັດ​
  • com (ອອນ​ໄລ​ນ໌​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ​ Desktop ​ຈາກ​ໄລຍະໄກ​
  • cosy-sofware.com (ອອບລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ Desktop ​ຈາກ​ໄລຍະໄກ​
  • com (ອອນລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ Desktop ​ຈາກ​ໄລຍະໄກ
  • com (ອອນລາຍ​) – ຮຽນ​ແບບ​ເຄື່ອງ​ມື​ການ​ຈັດການ Desktop ​ຈາກ​ໄລຍະໄກ​
  • com (ອອນລາຍ​) – ປອມ​ຕົວ​ເປັນ​ແອັບ​ກວດ​ສອບ​ການ​ໃຊ້​ດິສ (Disk)​ ແລະ​ ເຄື່ອງ​ມື​ສຳລັບ​ລ້າງ​ຂໍ້​ມູນ​

 

ເວັບ​ໄຊ​ທີ່​ເປັນ​ອັນຕະລາຍ​ເຫຼົ່າ​ນີ້​ຖືກ​ເຜີຍແຜ່​ຜ່ານ​ໂຄສະ​ນາຂອງ​ Google Ads ແລະ ​ອີ​ເມວຫຼອກລວງ (Phishing Email)​ ຊຶ່ງ​ເຫຍື່ອ​ສ່ວນ​ຫຼາຍຢູ່ໃນ​ຢູ​ໂຣບ​ຕະເວັນ​ອອກ (Eastern Europe).​

ຕົວ​ຢ່າງ​ການ​ໂຈມ​ຕີ​ທີ່​ທາງ​ Trend Micro ໄດ້​​ວິ​ເຄາະ​ ເຊັ່ນ:​ ເວັບ​ໄຊ​ແຈກ​ຈ່າຍ​ໂປຣ​ແກຣມ​ຕິດ​ຕັ້ງ​ MSI ທີ່ປອມ​ຕົວ​ເປັນ​ແອັບ​ຂ້າງ​ເທິງ​ ແຕ່​ຖືກ​ຝັງ​ໂທ​ຈັນ (Trojan) ​ດ້ວຍ​ຟາຍ​ DLL ທີ່​ເປັນ​ອັນຕະລາຍ​ (“InstallA.dll”) ຊຶ່ງ​ຟາຍ​ນີ້​ຈະ​ແຕກ​ຟາຍ​ DLLs ອີກ​ສາມ​ລາຍ​ການ​ໄປທີ່ໂຟນ​ເດີ​ (Folder) %PUBLIC%\Libraries ຂອງ​ເຫຍື່ອ​ ເພື່ອ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ ແລະ ​ເຊື່ອມ​ຕໍ່ໄປ​ຫາ​ command and control (C2) server ຂອງ​ Hacker ລວມເຖິງ​ພົບ​ວ່າ​ Hacker ໄດ້​ພະຍາຍາມ​ໃຊ້​ຄຳ​ສັ່ງ​ທີ່​ເປັນ​ອັນຕະລາຍ​ເພີ່ມຕື່ມ​ ຊຶ່ງ​ຈຳນວນ​ຄຳ​ສັ່ງ​ເພີ່ມ​ຂຶ້ນ​ຈາກ​ 20 ເປັນ​ 42.



ຄຳ​ສັ່ງ​ບາງ​ສ່ວນ​ທີ່​ສາມາດ​ສົ່ງ​ໄປ​ທີ່​ອຸປະກອນ​ທີ່​ຖືກ​ຄວບ​ຄຸມ​ຈາກ​ RomCom ແລ້ວ​ ໄດ້​ແກ່​:

  • ການ​ເລີ່ມ​ເຮັດວຽກ​ exe
  • ການ​ວາງ​ຟາຍລົງ​ໃນ​ຄອມພິວເຕີ​ຂອງ​ເຫຍື່ອ​ ເພື່ອ​ດຳ​ເນີນ​ການ​ເພ​ໂຫຼດ​ເພີ່ມຕື່ມ
  • ການ​ປອມ​ process ດ້ວຍ​ການ​ປອມ​ແປງ​ PID ເພື່ອ​ເຮັດໃຫ້​ເບິ່ງ​ຄືກັບ​ process ທີ່ປົກກະ​ຕິ​
  • ການ​ສົ່ງ​ອອກ​ຂໍ້​ມູນ​ຈາກ​ລະບົບ​ທີ່​ຖືກ​ໂຈມ​ຕີ​
  • ການຕັ້ງ​ຄ່າ Proxy ​ຜ່ານ​ SSH
  • ການ​ອັບ​ເດດ​ມັນ​ແວ​ບເທິງ​ອຸປະກອນ​
  • ການ​ເອີ້ນ​ໃຊ້​ AnyDesk ເທິງ​ໜ້າ​ຕ່າງ​ທີ່​ເຊື່ອງ​ຢູ່​
  • ການ​ບີບ​ອັດ​ໂຟນ​ເດີ​ທີ່​ກຳນົດ​ ແລະ ​ສົ່ງ​ກັບ​ໄປ​ຫາ​ເ​ຊີ​ເວີ​​ຂອງ​ຜູ້​ໂຈມ​ຕີ​

 

ລວມ​ເຖິງ​ຍັງ​ພົບ​ວ່າ​ມີ​ການ​ຕິດ​ຕັ້ງ​ເພ​​ໂຫຼດ​ມັນ​ແວ​​ອື່ນ​ເພິ່ມຕື່​ຜ່ານ​ RomCom ຊຶ່ງ​ ມັນ​ແວ​ Stealer ແລະ downloader ທີ່​ຕິດ​ຕັ້ງ​ເພິ່ມຕື່ມມີ​ດັ່ງ​ນີ້​:

  • dll – ເຄື່ອງ​ມື​ຈັບ​ພາບ​ໜ້າຈໍ​ທີ່​ບີບ​ອັດ​ຮູບ​ພາບ​ໃນ​ຟາຍ​ ZIP ສຳລັບ​ຕຽມ​ການ​ສົ່ງ​ຂໍ້​ມູນ​ອອກ​ໄປ​
  • dll – ເຄື່ອງ​ມື​ລັກ​ຄຸກ​ກີ້ເທິງ​ເວັບ​ບ​ຣາ​ວ​ເຊີ​ (Browser)​ (Chrome, Firefox, Edge)
  • exe – ເຄື່ອງ​ມື​ລັກ​ຂໍ້​ມູນ​ກະ​ເປົາ​ເງyນ​ cryptocurrency
  • dll – ເຄື່ອງ​ມື​ລັກ​ຂໍ້​ມູນ​ໃນ​ຂໍ້ຄວາມ​ສົນທະນາ​
  • dll – ເຄື່ອງ​ມື​ລັກ​ຂໍ້​ມູນ​ FTP credentials ທີ່​ອັບ​ໂຫຼດ​ຂໍ້​ມູນ​ໄປ​ທີ່​ເ​ຊີ​ເວີ​​ FTP



ນອກ​ຈາກ​ນີ້​ນັກ​ວິ​ໄຈຍັງ​ພົບ​ວ່າ​ RomCom ໄດ້​ມີ​ການ​ໃຊ້​ຊ໋ອບແວ​ VMProtect ສຳລັບ​ການ​ປ້ອງ​ກັນ​ການ​ກວດ​ສອບ​ ແລະ ​ວິ​ເຄາະ​ຜ່ານ​ VM ນອກ​ຈາກ​ນີ້ຍັງ​ໃຊ້​ການ​ເຂົ້າ​ລະຫັດ​ສຳລັບ​ເພ​​ໂຫຼດ​ ຊຶ່ງ​ເປັນ​ຄີ​ (Key) ​ທີ່​ບໍ່​ໄດ້​ hard coded ໄວ້​ ແຕ່​ໃຊ້​ການ​ດຶງ​ຂໍ້​ມູນ​ຈາກ​ພາຍນອກ​ ຊຶ່ງ​ມັນ​ແວ​ຈະ​ໃຊ້​ null bytes ໃນ​ການ​ເຊື່ອມ​ຕໍ່​ກັບ​ C2 server ເພື່ອ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ຈັບ​ຈາກ​ອຸປະກອນ​ດ້ານ​ຄວາມ​ປອດໄ​ພ.

ຄວາມ​ກ່ຽວ​ຂ້ອງ​ກັບ​ Cuba ransomware

ມີ​ລາຍ​ງານ​ການ​ໃຊ້​ງານ​ RomCom ເທື່ອ​ທໍາອິດໃນ​ເດືອນ ​ສິງ​ຫາ​ 2022 ໂດຍ​ Palo Alto Networks ທີ່ພົບວ່າ​ Cuba ransomware ໄດ້​ໃຊ້​ເຄື່ອງ​ມື​ໂຈມ​ຕີ​ເຊັ່ນ​ດຽວ​ກັບ​ RomCom ລວມ​ເຖິງ​ມີ​ການ​ລາຍ​ງານ​ວ່າ​ໃນ​ເດືອນ​ ຕຸລາ​ 2022 ທາງ​ CERT-UA ຂອ ງ​ຢູ​ເຄນ ​ລາຍ​ງານ​ວ່າ​ມີ​ການ​ໃຊ້​ມັນ​ແວ​ RomCom ໃນ​ການ​ໂຈມ​ຕີ​ເຄືອ​ຂ່າຍ​ທີ່​ສຳຄັນ​ໃນ​ປະເທດ​ ໃນ​ຂະນະ​ທີ່​ທາງ​ BlackBerry ອ້າງ​ວ່າ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ມີ​ຄວາມ​ກ່ຽວ​ຂ້ອງ​ກັບ​ Cuba ransomware ແລະ ​ມີ​ເຫຍື່ອ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ໃນ​ສະ​ຫະລັດ​ອ​າເມລິ​ກາ​, ບ​າ​ຊິນ​ ແລະ ​ຟິ​ລິບ​ປິນ​ ​ອີກ​ດ້ວຍ​ ຕໍ່​ມາ​ໃນ​ເດືອນ​ ພະຈິກ​ 2022 ທາງ​ BlackBerry ພົບ​ວ່າ​ RomCom ໄດ້​ໃຊ້​ໂປຣ​ແກຣມ​ SolarWinds Network Performance Monitor (NPM), KeePass password manager ແລະ​ PDF Reader Pro ປອມ​ໃນ​ການ​ໂຈມ​ຕີ​ເປົ້າ​ໝາຍ​.




ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/romcom-malware-spread-via-google-ads-for-chatgpt-gimp-more/
  2. https://www.trendmicro.com/content/dam/trendmicro/global/en/research/23/e/void-rabisu%E2%80%99s-use-of-romcom-backdoor-shows-a-growing-shift-in-threat-actors%E2%80%99-goals-/ioc-list-void-rabisus-use-of-romcom-backdoor-shows-a-growing-shift-in-threat-actors-goals.txt
  3. https://www.i-secure.co.th/2023/06/romcom-malware-%e0%b9%81%e0%b8%9e%e0%b8%a3%e0%b9%88%e0%b8%81%e0%b8%a3%e0%b8%b0%e0%b8%88%e0%b8%b2%e0%b8%a2%e0%b8%9c%e0%b9%88%e0%b8%b2%e0%b8%99-google-ads-%e0%b9%82%e0%b8%94%e0%b8%a2%e0%b8%9b%e0%b8%a5/

ລາຍການຮູບ

Meesaisak 15 June 2023 705 Print