PuTTY နှင့် WinSCP အဖျက်အမှောက်ကြော်ငြာများမှတစ်ဆင့် Windows Admin များကို Ransomware ဂိုဏ်းက ပစ်မှတ်ထား
Ransomware လှုပ်ရှားမှုတစ်ခုက PuTTY နှင့် WinSCP တို့အား ရယူနိုင်သည့် Download ဝဘ်ဆိုက်အတုများကို ကြော်ငြာရန် Google Ads များကို ဝယ်ယူခြင်းဖြင့် Windows System Administrator များကို ပစ်မှတ်ထားနေသည်။
WinSCP နှင့် Putty တို့သည် Windows အတွက် နာမည်ကျော် အသုံးချပရိုဂရမ်များဖြစ်ပြီး WinSCP ဖြင့် SFTP နှင့် FTP ချိတ်ဆက်ခြင်း၊ PuTTY ဖြင့် SSH ချိတ်ဆက်ခြင်းတို့ ဆောင်ရွက်နိုင်သည်။
System Administrator များသည် ပုံမှန်အားဖြင့် Windows ကွန်ရက်တစ်ခုတွင် လုပ်ပိုင်ခွင့် ပိုမိုမြင့်မားစွာ ရရှိကြပြီး ကွန်ရက်မှတစ်ဆင့် လျင်မြန်စွာ ဖြန့်ကျက်တိုက်ခိုက်ခြင်း၊ ဒေတာများခိုးယူခြင်း၊ Ransomware များနေရာချရန်အတွက် ကွန်ရက်၏ Domain Controller ကို ရယူခွင့်ရှိစေခြင်းတို့အား ပြုလုပ်လိုသော ဆိုက်ဘာတိုက်ခိုက်သူများအတွက် ၎င်းတို့သည် တန်ဖိုးရှိသောပစ်မှတ်များ ဖြစ်စေသည်။
ရှာဖွေရေးအင်ဂျင်ကမ်ပိန်းတစ်ခုက “Download WinSCP” သို့မဟုတ် “Download Putty” ဟု ရှာဖွေချိန်တွင် PuTTY နှင့် WinSCP Site အတုများအတွက် ကြော်ငြာများ ပြသပေးကြောင်း Rapid7 ၏ မကြာသေးခင်အစီရင်ခံစာက ဆိုထားသည်။ ဤကမ်ပိန်းကို Google ပေါ်တွင် သို့မဟုတ် Bing ပေါ်တွင် ပြုလုပ်ခဲ့ခြင်း ရှိ၊ မရှိကိုမူ ရှင်းလင်းခြင်း မရှိပါ။
ဤကြော်ငြာများသည် puutty.org၊ puutty[.]org, wnscp[.]net, နှင့် vvinscp[.]net ကဲ့သို့သော မူရင်းဒိုမိန်းနှင့် ဆင်တူတုပထားသော ဒိုမိန်းအမည်များကို အသုံးပြုထားသည်။
ဤဝဘ်ဆိုက်များသည် WinSCP ၏ တရားဝင်ဝဘ်ဆိုက်ဖြစ်သော winscp.net ကို အယောင်ဆောင်ထားသော်လည်း ဆိုက်ဘာတိုက်ခိုက်သူများသည် PuTTY အတွက် ဆက်စပ်မှုမရှိသော ဝက်ဘ်ဆိုက် (putty.org)တစ်ခုကို အတုလုပ်ဖန်တီးခဲ့ပြီး ထိုဝက်ဘ်ဆိုက်ကို လူအများက တကယ့်ဆိုက်အစစ်အမှန်ဟု ယုံကြည်ကြသည်။ တကယ်တမ်းတွင် PuTTY အတွက် တရားဝင်ဝဘ်ဆိုက်မှာ https://www.chiark.greenend.org.uk/~sgtatham/putty/ ဖြစ်သည်။
ဤဆိုက်များတွင် Download လင့်ခ်များပါဝင်ပြီး နှိပ်လိုက်ချိန်တွင် တရားဝင်ဆိုက်များသို့ ရောက်ရှိသွားလိမ့်မည် သို့မဟုတ် တိုက်ခိုက်သူများ၏ဆာဗာမှ Zip ဖိုင်တစ်ခုကို Download လုပ်ယူလိမ့်မည်။ ၎င်းသည် ရှာဖွေရေးအင်ဂျင် သို့မဟုတ် ကမ်ပိန်းရှိ အခြားဆိုက်မှ သင့်အား ရည်ညွှန်းခြင်းပေါ် မူတည်မည်ဖြစ်သည်။
ထရိုဂျန်ပါသော Installer များအား ဖြန့်ဝေနေသော PuTTY ဆိုက်အတု
Download လုပ်ခဲ့သော ZIP တွင် Windows ၌ အသုံးပြုသည့် တရားဝင် Python ဖိုင် (pythonw.exe) ကို အမည်ပြောင်းလဲထားသော Setup.exe ဖိုင်တစ်ခုနှင့် အဖျက်အမှောက် python311.dll ဖိုင်တစ်ခု ပါဝင်သည်။
pythonw.exe ဖိုင်ကို ဖွင့်သောအခါ ထိုဖိုင်က ၎င်းမှခေါ်ယူအသုံးပြုသော တရားဝင် python311.dll ဖိုင်ကို ခေါ်ယူသုံးစွဲရန် ကြိုးပမ်းသည်။ သို့သော် တိုက်ခိုက်သူများသည် ဤ DLL ဖိုင်ကို DLL Sideloading (မူရင်းထုတ်ဝေထားသော DLL ဖိုင်တွင် အဖျက်အမှောက်ကုဒ်များ ထည့်ထားခြင်း) နည်းလမ်းသုံးထားသော အဖျက်အမှောက်ဗားရှင်းဖြင့် အစားထိုးထားပြီး (ထိုအဖျက်အမှောက်ဖိုင်ကိုသာ ကွန်ပျူတာမှတ်ဉာဏ်သို့) ကူးတင်မည် ဖြစ်သည်။
သုံးစွဲသူတစ်ယောက်မှ Setup.exe ကို အလုပ်လုပ်ခိုင်းသောအခါ ၎င်းလူမှ PuTTY သို့မဟုတ် WinSCP ကို Install လုပ်နေသည်ဟု ထင်မြင်ပြီး ထိုဖိုင်က အဖျက်အမှောက် DLL ဖိုင်ကို ခေါ်ယူသုံးစွဲကာ ထို DLL ဖိုင်ထဲတွင်ပါသော ဝှက်စာစနစ်သုံး Python Script ဖိုင်ကို ဆွဲထုတ်ပြီး အလုပ်လုပ်စေမည်ဖြစ်သည်။
ဤ Script က ကော်ပိုရေးရှင်းကွန်ရက်များကို ကနဦးဝင်ရောက်ရန်အတွက် အသုံးပြုသော နာမည်ကျော် Silver ပရိုဂရမ် (ဆိုက်ဘာတိုက်ခိုက်မှုအောင်မြင်ခြင်းအဆင့်တွင်သုံးသော ပရိုဂရမ်) ကို Install ပြုလုပ်မည်ဖြစ်သည်။
တိုက်ခိုက်သူသည် Cobalt Strike Beacons အပါအဝင် နောက်ထပ်သော အဖျက်အမှောက်ဖိုင်များ (Payloads) ကို ပြင်ပမှတစ်ဆင့် နေရာချထားနိုင်ရန် Sliver ကို အသုံးပြုခဲ့ကြောင်း Rapid7 က ပြောကြားသည်။ ဟက်ကာများသည် ဒေတာများကို ခိုးထုတ်ရန်နှင့် Ransomware Encryptor အားနေရာချရန် ဤဝင်ရောက်ရယူခွင့်အား အသုံးပြုခဲ့သည်။
ဤကမ်ပိန်းတွင် မြင်ရသော တိုက်ခိုက်မှုပုံစံအဆင့်ဆင့် (Source: Rapid7)
Rapid7 အနေဖြင့် အသေးစိတ်အချက်အလက်များကို ကန့်သတ်မျှဝေထားသော်လည်း ကမ်ပိန်းသည် Malwarebytes နှင့် Trend Micro တို့မှ သိရှိထားသည့် “ယခုသက်ဝင်ခြင်းမရှိတော့သော BlackCat/ALPHV Ransomware” ကမ်ပိန်းများနှင့် ဆင်တူသည်ဟု သုတေသီများက ပြောကြားသည်။
မကြာသေးမီက အဖြစ်အပျက်တစ်ခုတွင် ဆိုက်ဘာတိုက်ခိုက်သူက Backup ပြုလုပ်သည့် ပရိုဂရမ်ဖြစ်သော Restic ကိုအသုံးပြု၍ ဒေတာများကို ခိုးထုတ်ရန်နှင့် ၎င်းနောက် Ransomware ထားရန် ကြိုးစားခဲ့ကြောင်းကို Rapid 7 က သိရှိခဲ့ပြီး ဟက်ကာများ၏ ကြိုးစားမှုသည် နောက်ဆုံး၌ Ransomware ကို အလုပ်လုပ်ခိုင်းချိန်တွင် ပိတ်ပင်ခံခဲ့ရကြောင်း Rapid7 မှ Tyler McGraw က ရှင်းပြသည်။
Rapid7 မှ သတိပြုမိသော ဆက်စပ် နည်းပညာများ၊ နည်းဗျူဟာများနှင့် လုပ်ထုံးလုပ်နည်းများ (TTP)သည် ယမန်နှစ်က Trend Micro မှ အစီရင်ခံထားသည့် BlackCat/ALPHV ကမ်ပိန်းများကို အမှတ်ရစေသည်။
ရှာဖွေရေးအင်ဂျင်ကြော်ငြာများသည် လွန်ခဲ့သောနှစ်အနည်းငယ်အတွင်း ကြီးမားသော ပြဿနာတစ်ခုဖြစ်လာခဲ့ပြီး ဆိုက်ဘာတိုက်ခိုက်သူများစွာသည် ၎င်းတို့ကို အဖျက်အမှောက်ဆော့ဖ်ဝဲလ်များ ဖြန့်ဖြူးရန်နှင့် လိမ်လည်လှည့်ဖြားမှုဝဘ်ဆိုက်များသို့ ရောက်စေရန်အတွက် အသုံးပြုခဲ့သည်။
ဤကြော်ငြာများသည် လူသိများသော ပရိုဂရမ်များအတွက်ဖြစ်ပြီး ၎င်းတို့တွင် Keepass၊ CPU-Z၊ Notepad++၊ Grammarly၊ MSI Afterburner၊ Slack၊ Dashlane၊ 7-Zip၊ CCleaner၊ VLC၊ Malwarebytes၊ Audacity၊ μTorrent၊ OBS၊ Ring၊ AnyDesk၊ Libre Office၊ Teamviewer၊ Thunderbird နှင့် Brave တို့ပါဝင်သည်။
မကြာသေးမီက ဆိုက်ဘာတိုက်ခိုက်သူတစ်ဦးသည် ခရစ်တိုရောင်းဝယ်ရေးပလက်ဖောင်းဖြစ်သည့် Whales Market အတွက် တရားဝင် URL ပါသည့် Google ကြော်ငြာလွှင့်ခဲ့သည်။ သို့သော် ကြော်ငြာက ဝင်ရောက်ကြည့်ရှုသူများ၏ ခရစ်တိုငွေကြေးကို ခိုးယူရန်အတွက် CryptoDrainer (ခရစ်တိုငွေကြေးခိုးယူသည့်ပရိုဂရမ်) ပါသော လိမ်လည်လှည့်ဖြားသည့် ဝဘ်ဆိုက်ဆီသို့ ရောက်ရှိသွားစေခဲ့သည်။
“Lawrence Abrams” ၏ “Ransomware gang targets Windows admins via PuTTy, WinSCP malvertising” ကို ဘာသာပြန်ဆိုသည်။