- អ៊ីមែលដែលក្លែងបន្លំជាការិយាល័យអគ្គមេធាវីនៅប្រទេសកូឡុំប៊ីចែកចាយឯកសារភ្ជាប់ SVG ជាការបញ្ឆោត។
- ឯកសារ "ផ្ទាល់ខ្លួន" សម្រាប់ជនរងគ្រោះ ស្វ័យប្រវត្តិកម្ម និងភស្តុតាងនៃ AI ប្រើប្រាស់ការរកឃើញដ៏ស្មុគស្មាញ។
- ខ្សែសង្វាក់ការឆ្លងបញ្ចប់ដោយការដាក់ពង្រាយ AsyncRAT តាមរយៈការផ្ទុកចំហៀង DLL ។
- SVGs ប្លែកៗចំនួន 44 និងវត្ថុបុរាណជាង 500 ត្រូវបានគេមើលឃើញចាប់តាំងពីខែសីហា ជាមួយនឹងការរកឃើញដំបូងទាប។
នៅអាមេរិកឡាទីនមាន រលកនៃយុទ្ធនាការព្យាបាទជាមួយកូឡុំប៊ីជាចំណុចកណ្តាលដែលជាកន្លែងដែលអ៊ីមែលលេចចេញមកពីស្ថាប័នផ្លូវការចែកចាយឯកសារមិនធម្មតាដើម្បីឆ្លងកុំព្យូទ័រ។
ទំពក់គឺដូចគ្នានឹងតែងតែ -វិស្វកម្មសង្គមជាមួយនឹងដីកាមិនពិត ឬបណ្តឹង- ប៉ុន្តែវិធីសាស្ត្រចែកចាយបានឈានទៅមុខមួយជំហានទៀត៖ ឯកសារភ្ជាប់ SVG ដែលមានតក្កវិជ្ជាបង្កប់ គំរូស្វ័យប្រវត្តិ និងសញ្ញាដែលចង្អុលទៅដំណើរការដែលជំនួយដោយ AI.
ប្រតិបត្តិការកំណត់គោលដៅអ្នកប្រើប្រាស់នៅក្នុងប្រទេសកូឡុំប៊ី
សារក្លែងបន្លំ អង្គភាពដូចជាការិយាល័យអគ្គមេធាវី និងរួមបញ្ចូលឯកសារ .svg ដែលមានទំហំ—ជាញឹកញាប់លើសពី 10 មេកាបៃ—គួរតែធ្វើឱ្យមានការសង្ស័យរួចហើយ។ នៅពេលអ្នកបើកវា ជំនួសឱ្យឯកសារស្របច្បាប់ អ្នកឃើញ a ចំណុចប្រទាក់ដែលក្លែងធ្វើនីតិវិធីផ្លូវការ ជាមួយនឹងរបារវឌ្ឍនភាព និងការផ្ទៀងផ្ទាត់ដែលសន្មត់។
បន្ទាប់ពីពីរបីវិនាទីកម្មវិធីរុករកខ្លួនវារក្សាទុក a លេខសម្ងាត់ដែលបានការពារ ZIPបានបង្ហាញយ៉ាងច្បាស់នៅក្នុងឯកសារដូចគ្នា ពង្រឹងដំណាក់កាលនៃនីតិវិធី "ផ្លូវការ" ។ នៅក្នុងគំរូមួយដែលបានវិភាគ (SHA-1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958), ដំណោះស្រាយសុវត្ថិភាព ESET បានកំណត់អត្តសញ្ញាណវាជា JS/TrojanDropper.Agent.PSJ.
ការដឹកជញ្ជូនមិនមានទំហំធំទេជាមួយនឹងឯកសារភ្ជាប់តែមួយ៖ អ្នកទទួលនីមួយៗទទួលបាន SVG ផ្សេងគ្នាជាមួយនឹងទិន្នន័យចៃដន្យដែលធ្វើឱ្យវាប្លែក។ "polymorphism" នេះធ្វើឱ្យទាំងតម្រងស្វ័យប្រវត្តិ និងការងាររបស់អ្នកវិភាគពិបាក។
Telemetries បង្ហាញ សកម្មភាពពាក់កណ្តាលសប្តាហ៍ឈានដល់កម្រិតកំពូលក្នុងខែសីហាដោយមានឧប្បត្តិហេតុខ្ពស់ជាងក្នុងចំណោមអ្នកប្រើប្រាស់ដែលមានទីតាំងនៅក្នុងប្រទេសកូឡុំប៊ី ដែលស្នើឱ្យធ្វើយុទ្ធនាការប្រកបដោយនិរន្តរភាពដែលផ្តោតលើប្រទេសនោះ។
តួនាទីរបស់ឯកសារ SVG និងល្បិចរត់ពន្ធ
SVG គឺ ក ទ្រង់ទ្រាយរូបភាពវ៉ិចទ័រផ្អែកលើ XML. ភាពបត់បែននេះ - អត្ថបទ រចនាប័ទ្ម និងស្គ្រីបនៅក្នុងឯកសារដូចគ្នា - អនុញ្ញាតឱ្យអ្នកវាយប្រហារបញ្ចូល លេខកូដសម្ងាត់និងទិន្នន័យ ដោយមិនចាំបាច់មានធនធានខាងក្រៅដែលអាចមើលឃើញ បច្ចេកទេសដែលគេស្គាល់ថាជា "ការរត់ពន្ធ SVG" និងត្រូវបានចងក្រងជាឯកសារនៅក្នុង MITER ATT&CK ។
នៅក្នុងយុទ្ធនាការនេះ ការបោកប្រាស់ត្រូវបានប្រតិបត្តិនៅក្នុង SVG ខ្លួនវាផ្ទាល់៖ ទំព័រព័ត៌មានក្លែងក្លាយត្រូវបានបង្ហាញ ជាមួយនឹងការគ្រប់គ្រង និងសារដែលនៅពេលបញ្ចប់ ធ្វើឱ្យកម្មវិធីរុករកតាមអ៊ីនធឺណិតរក្សាទុកកញ្ចប់ ZIP ជាមួយនឹងការប្រតិបត្តិដែលអាចចាប់ផ្តើមជំហានបន្ទាប់នៃការឆ្លង។
នៅពេលដែលជនរងគ្រោះប្រតិបត្តិមាតិកាដែលបានទាញយកនោះ ខ្សែសង្វាក់នឹងឈានទៅមុខ ការផ្ទុកចំហៀង DLL៖ ប្រព័ន្ធគោលពីរស្របច្បាប់ផ្ទុកបណ្ណាល័យដែលបង្កើតដោយមិនដឹងខ្លួន ដែលមិនបានរកឃើញ និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារបន្តការឈ្លានពាន។
គោលដៅចុងក្រោយគឺការដំឡើង AsyncRAT, Trojan ដែលអាចចូលប្រើពីចម្ងាយដែលមានសមត្ថភាពចាក់សោរ, បន្សុទ្ធឯកសារ, ចាប់យកអេក្រង់, គ្រប់គ្រងកាមេរ៉ា និងមីក្រូហ្វូន និងលួចព័ត៌មានសម្ងាត់ដែលរក្សាទុកក្នុងកម្មវិធីរុករក។
ស្វ័យប្រវត្តិកម្ម និងស្នាមជើង AI នៅក្នុងគំរូ
ការសម្គាល់នៃ SVGs ដែលបានវិភាគបង្ហាញឱ្យឃើញ ឃ្លាទូទៅ វាលប្លង់ទទេ និងថ្នាក់ពិពណ៌នាច្រើនពេកបន្ថែមពីលើការជំនួសដ៏គួរឱ្យទាក់ទាញ - ដូចជា និមិត្តសញ្ញាផ្លូវការដោយ emojis- ថាគ្មានវិបផតថលពិតប្រាកដនឹងប្រើទេ។
វាក៏មានពាក្យសម្ងាត់ច្បាស់លាស់ និងសន្មត់ថា "ការផ្ទៀងផ្ទាត់សញ្ញា" នោះ។ ពួកវាគ្មានអ្វីលើសពីខ្សែ MD5 ទេ។ ដោយគ្មានសុពលភាពជាក់ស្តែង។ អ្វីគ្រប់យ៉ាងចង្អុលទៅឧបករណ៍ prefabricated ឬ គំរូដែលបានបង្កើតដោយស្វ័យប្រវត្តិ ដើម្បីផលិតឯកសារភ្ជាប់ជាស៊េរីជាមួយនឹងការខិតខំប្រឹងប្រែងរបស់មនុស្សតិចតួចបំផុត។
ការគេចចេញ និងលេខយុទ្ធនាការ
វេទិកាចែករំលែកគំរូបានរាប់យ៉ាងហោចណាស់ 44 SVGs តែមួយគត់ បុគ្គលិកនៅក្នុងប្រតិបត្តិការនិងច្រើនជាង 500 វត្ថុបុរាណដែលពាក់ព័ន្ធចាប់តាំងពីពាក់កណ្តាលខែសីហាវ៉ារ្យ៉ង់ដំបូងគឺធ្ងន់ - ប្រហែល 25 មេកាបៃ - ហើយត្រូវបាន "លៃតម្រូវ" តាមពេលវេលា។
ដើម្បីជៀសវាងការគ្រប់គ្រង គំរូប្រើ obfuscation, polymorphism, និងចំនួនដ៏ធំនៃកូដ bloat ដែលធ្វើឱ្យការវិភាគឋិតិវន្តដែលច្រឡំ លទ្ធផល ការរកឃើញដំបូងទាប ដោយម៉ាស៊ីនជាច្រើន។
ការប្រើប្រាស់ សញ្ញាសម្គាល់អេស្ប៉ាញនៅក្នុង XML និងគំរូដដែលៗបានអនុញ្ញាតឲ្យអ្នកស្រាវជ្រាវបង្កើតច្បាប់ម៉ាញ់ និងហត្ថលេខាដែលអនុវត្តបន្តបន្ទាប់គ្នាបានភ្ជាប់ការដឹកជញ្ជូនរាប់រយទៅយុទ្ធនាការដូចគ្នា។
វ៉ិចទ័រទីពីរ៖ ឯកសារ SWF រួមបញ្ចូលគ្នា
ស្របគ្នាវាត្រូវបានគេសង្កេតឃើញ ឯកសារ SWF ក្លែងធ្វើជា 3D minigamesជាមួយនឹងម៉ូឌុល ActionScript និងទម្រង់ AES ដែលលាយឡំមុខងារជាមួយសមាសធាតុស្រអាប់។ យុទ្ធសាស្ត្រមួយនោះ។ បង្កើនកម្រិត heuristic និងពន្យារការចាត់ថ្នាក់របស់ពួកគេថាជាព្យាបាទ.
El SWF+SVG ពីរបានធ្វើជា ស្ពានរវាងកេរ្តិ៍ដំណែល និងទម្រង់ទំនើប៖ ខណៈពេលដែល SWF កំពុងធ្វើឱ្យម៉ាស៊ីនច្រឡំ SVG បានចាក់បញ្ចូលទំព័របន្លំ HTML ដែលបានអ៊ិនកូដ ហើយទុក ZIP បន្ថែមដោយមិនមានអន្តរកម្មអ្នកប្រើប្រាស់លើសពីការចុចដំបូង។
ការរួមបញ្ចូលគ្នានៃ គំរូផ្ទាល់ខ្លួនសម្រាប់ជនរងគ្រោះឯកសារសំពីងសំពោង និងបច្ចេកទេសរត់ពន្ធពន្យល់ថា តម្រងផ្អែកលើកេរ្តិ៍ឈ្មោះ ឬលំនាំសាមញ្ញ មិនបានបញ្ឈប់ការរីករាលដាលនៅក្នុងរលកទីមួយទេ។
អ្វីដែលការរកឃើញទាំងនេះទាញបានគឺជាប្រតិបត្តិការដែល ទាញយកអត្ថប្រយោជន៍ពេញលេញនៃទម្រង់ SVG ដើម្បីក្លែងបន្លំជាអង្គការកូឡុំប៊ីបង្កើតឯកសារភ្ជាប់ដោយស្វ័យប្រវត្តិ និងបញ្ចប់ជាមួយ AsyncRAT តាមរយៈការផ្ទុកចំហៀង DLL ។ នៅពេលប្រឈមមុខនឹងអ៊ីមែល "ដីកា" ដែលរួមបញ្ចូលឯកសារ .svg ឬជម្រះពាក្យសម្ងាត់ វាជាការល្អដែលគួរឱ្យសង្ស័យ និង ធ្វើឱ្យមានសុពលភាពតាមរយៈបណ្តាញផ្លូវការ មុនពេលបើកអ្វីទាំងអស់។
ខ្ញុំជាអ្នកចូលចិត្តបច្ចេកវិទ្យាមួយរូបដែលបានបង្វែរចំណាប់អារម្មណ៍របស់គាត់ទៅជាអាជីព។ ខ្ញុំបានចំណាយពេលជាង 10 ឆ្នាំនៃជីវិតរបស់ខ្ញុំ ដោយប្រើបច្ចេកវិទ្យាទំនើបៗ និងការបញ្ចូលកម្មវិធីគ្រប់ប្រភេទ ដោយការចង់ដឹងចង់ឃើញ។ ឥឡូវនេះខ្ញុំមានជំនាញខាងបច្ចេកវិទ្យាកុំព្យូទ័រ និងវីដេអូហ្គេម។ នេះគឺដោយសារតែអស់រយៈពេលជាង 5 ឆ្នាំមកហើយដែលខ្ញុំបានសរសេរសម្រាប់គេហទំព័រផ្សេងៗអំពីបច្ចេកវិទ្យា និងវីដេអូហ្គេម ដោយបង្កើតអត្ថបទដែលស្វែងរកការផ្តល់ឱ្យអ្នកនូវព័ត៌មានដែលអ្នកត្រូវការជាភាសាដែលអាចយល់បានសម្រាប់មនុស្សគ្រប់គ្នា។
ប្រសិនបើអ្នកមានចម្ងល់ណាមួយ ចំណេះដឹងរបស់ខ្ញុំមានចាប់ពីអ្វីគ្រប់យ៉ាងដែលទាក់ទងនឹងប្រព័ន្ធប្រតិបត្តិការ Windows ក៏ដូចជា Android សម្រាប់ទូរស័ព្ទចល័ត។ ហើយការប្តេជ្ញាចិត្តរបស់ខ្ញុំគឺចំពោះអ្នក ខ្ញុំតែងតែសុខចិត្តចំណាយពេលពីរបីនាទី និងជួយអ្នកដោះស្រាយរាល់ចម្ងល់ដែលអ្នកអាចមាននៅក្នុងពិភពអ៊ីនធឺណិតនេះ។