Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ພົບ​ມັນ​ແວ​ (Malware) ໂຕໃໝ່ ‘EvilGnome’ ມີເປົ້າໝາຍໂຈມ​ຕີ​ຜູ້​ໃຊ້​ງານ​ລີ​ນຸກ (Linux)

ແຈ້ງເຕືອນ ພົບ​ມັນ​ແວ​ (Malware) ໂຕໃໝ່ ‘EvilGnome’ ມີເປົ້າໝາຍໂຈມ​ຕີ​ຜູ້​ໃຊ້​ງານ​ລີ​ນຸກ (Linux)
ນັກ​ວິໄ​ຈ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຈາກ Intezer ໄດ້​ອອກ​ມາ​ເປີດ​ເຜີຍ​ການ​ຄົ້ນ​ພົບ Backdoor ໂຕ​ໃໝ່ ມີ​ຊື່​ວ່າ ‘EvilGnome’ ຊຶ່ງ​ປອມໂຕ​ເປັນ Gnome Extension ພ້ອມທັງມີ​ຄວາມ​ສາມາດ​ຫຼາກ​ຫຼາຍ ເຊັ່ນ: ຖ່າຍ​ພາບ​ໜ້າ​ຈໍ, ລັກ​ໄຟ​ລ໌, ລັກ​ບັນ​ທຶກ​ສຽງ​ຈາກ​ໄມ​ໂຄຣ​ໂຟນ (Micro phone) ຫຼື​ ​ດາວ​ໂຫຼດ​ໂມ​ດູນ (Module) ​ອື່ນ​ເພີ່ມເຕີມ.


ຈາກ​ຫຼັກ​ຖານ​ຊີ້​ໃຫ້ເຫັນວ່າ ​ມັນ​ແວ​ (Malware) ໜ້າ​ຈະ​ຢູ່ໃນ​ເວີ​ຊັ່ນ (Version) ກໍາລັງ​ພັດທະນາ ​ເພາະ​ຍັງ​ມີ​ຄຳອະທິບາຍປະ​ກອບ​ໄວ້ຢ່າງຫຼວງ​ຫຼາຍ​ ຈຶ່ງ​ຄາດ​ການວ່າໂຕທີ່ພົ​ບ​ເທິງ VirusTotal ນັ້ນ ​ອາດ​ຖືກ​ອັບ​ໂຫຼດ​ຂຶ້ນ​ມາ​ໂດຍ​ບໍ່​ໄດ້​ຕັ້ງ​ໃຈ ໃນເບື້ອງຕົ້ນມັນ​ແວ​ຈະ​ມາ​ໃນ​ຮູບ​ແບບ​ຂອງ Self-extracting Archive ທີ່​ຖືກ​ສ້າງ​ດ້ວຍ makeself ຊຶ່ງ​ການ​ຕິດ​ມັນ​ແວ​ສາມາດ​ເກີດ​ຂຶ້ນ​ໄດ້​ຢ່າງ​ອັດຕະ​ໂນ​ມັດ​ຈາກ Argument ໃນ Payload ທີ່​ຈະ​ໄປ​ອອກ​ຄຳ​ສັ່ງ​ໃຫ້​ເປີດ setup.sh ນຳ​ໄປ​ສູ່​ການ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​ໄວ້​ທີ່ Path ‘ ~/.cache/gnome-software/gnome-shell-extensions/’. ດັ​ງ​ນັ້ນ,​ ຈະ​ເຫັນ​ໄດ້​ວ່າ​ ມັນ​ແວ​ປະ​ຕິ​ບັດຕົນເອງ​ຄືກັບ​ເປັນ Gnome Extension.

ຂັ້ນ​ຕອນ​ຕໍ່ມາ​ ມັນ​ແວ​​ຈະ​ເປີດສະ​ຄຣິບ​ (Script) ທີ່​ຊື່ gnome-shell-ext.sh ເພື່ອ​ເຂົ້າ​ແຊກ​ຊຶມ Crontab ໃຫ້​ກວດ​ສອບທຸກ​ນາ​ທີ​ວ່າ Spyware Agent ຍັງ​ເປີດ​ຢູ່​ ຫຼື​ ບໍ່ ຈາກ​ນັ້ນ​ຈະ​ມີ​ການ​ເອີ້ນ Agent ຕົວ​ຫຼັກ​ທີ່​ຊື່ gnome-shell-ext ​ຖືກ​ພັດທະນາ​ຂຶ້ນ​ດ້ວຍພາສາ C++ ເປັນແບບ Object Oriented ຊຶ່ງ​ພາຍ​ໃນ Agent ຈະ​ປະກອບ​ດ້ວຍ 5 ໂມ​ດູນ ​ທີ່​ມີ​ຄວາມ​ສາມາດ​ຕ່າງ​ໆ ຄື: ຄົ້ນຫາ​ລະບົບ​ເພື່ອ​ຫາ​ໄຟ​ລ໌ໃໝ່, ດັກ​ຈັບ​ສຽງ​ຂອງ​ໄມ​ໂຄຣ​ໂຟນ, ບັນ​ທຶກ​ພາບ​ໜ້າ​ຈໍ, ຮັບ​ຄຳ​ສັ່ງ​ຈາກ​ເ​ຊິ​​ເວີ​ຄວບ​ຄຸມ ແລະ​ ດັກ​ຈັບ​ການ​ກົດ​ຄີ​ບ​ອ​ດ. ນອກ​ຈາກ​ນີ້,​ ​ແຕ່​ລະ​ໂມ​ດູນ​ຈະ​ມີ​ການ​ເປີດ Thread ແຍກ​ກັນ​ ແລະ ​ປ້ອງ​ກັນ Race condition ດ້ວຍ Mutex ​ຍັງມີ​ການ​ໃຊ້​ການ​ເຂົ້າ​ລະຫັດ​ ແລະ ​ຖອດ​ລະ​ຫັດ​ລະຫວ່າງ​ສື່​ສານ​ກັບ​ເ​ຊິ​ເວີ​ຄ​ວບ​ຄຸມ​ດ້ວຍ RC5 ໂດຍ​ໃຊ້​ຄີ (Key)​ ​ຄື ‘sdg62_AS.sa$die3’.

ນັກ​ວິໄ​ຈ​ໄດ້​ຕັ້ງ​ຂໍ້​ສັນ​ນິ​ຖານ​ວ່າ ​ພຶດຕິກຳ​ຂອງ​ມັນ​ແວ​​ນັ້ນ​ເບິ່ງ​ຄ້າຍ​ຄືກັບ​ກຸ່ມ​ຄົນ​ຮ້າຍ​ໃນຣັດ​ເຊຍ​ທີ່​ມີ​ນາມ​ແຝງ​ວ່າ ‘Gamaredon’ ສາ​ເຫດ​ເພາະ​ໃຊ້​ບໍລິການ​ໂຮ​ສ​​ (Host) ບ່ອນ​ດຽວ​ກັນ ​ແລະ ​ພອດ (Port) 3436 ຄືກັນ​ ລວມເຖິງ​ເຕັກ​ນິກ​ ແລະ ​ໂມ​ດູນ​ທີ່​ໃຊ້​ກໍໍ່​ຄ້າຍຄື​ກັບ​ປະຫວັດ​ການ​ໂຈມ​ຕີ​ໃນ​ຝັ່ງ Windows ຂອງ​ກຸ່ມ​ນີ້.

ເອກະສານອ້າງອີງ: 

  1. https://www.securityweek.com/evilgnome-malware-helps-hackers-spy-linux-users
  2. https://www.bleepingcomputer.com/news/security/new-evilgnome-backdoor-spies-on-linux-users-steals-their-files/
  3. https://www.techtalkthai.com/found-evilgnome-backdoor-focus-on-spying-linux-user/

ລາຍການຮູບ

Porher 30 July 2019 1,347 Print