ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ်ကို ရှောင်တိမ်းရန် တရုတ်ဟက်ကာများက Microsoft APP-v ကို အလွဲသုံးစားပြု
တရုတ် APT ဟက်ကာအဖွဲ့ “Mustang Panda” သည် ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ်၏ ထောက်လှမ်းမှုကို ရှောင်တိမ်းရန် (မှတ်ဉာဏ်တွင်) အလုပ်လုပ်နေသော တရားဝင်ဖိုင်များ အတွင်းသို့ အန္တရာယ်ရှိသော ကုဒ်များကို ထည့်သွင်းရန်အတွက် Microsoft Application Virtualization Injector Utility ကို LOLBin (ရှိပြီးသား Binary ဖိုင်တွင် အခြေချခြင်း) အဖြစ် အလွဲသုံးစားလုပ်သည်ကို တွေ့ရှိခဲ့ရသည်။
ဤနည်းပညာကို Trend Micro မှ ဆိုက်ဘာခြိမ်းခြောက်မှုသုတေသီများက ရှာဖွေတွေ့ရှိခဲ့ခြင်း ဖြစ်သည်။ ၎င်းတို့သည် အဆိုပါအဖွဲ့ကို Earth Preta ဟု သတ်မှတ်ထားပြီး ၂၀၂၂ ခုနှစ်မှစ၍ အတည်ပြုနိုင်ခဲ့သော တိုက်ခိုက်ခံရသူ ၂၀၀ ကျော်ရှိကြောင်း အစီရင်ခံခဲ့သည်။
Trend Micro ၏ စောင့်ကြည့်လေ့လာမှုအပေါ် အခြေခံ၍ Mustang Panda ၏ ပစ်မှတ်ထားတိုက်ခိုက်မှုနယ်ပယ်တွင် အာရှပစိဖိတ်ဒေသရှိ အစိုးရအဖွဲ့အစည်းများ ပါဝင်ပြီး အဓိကတိုက်ခိုက်မှုနည်းလမ်းမှာ အစိုးရအေဂျင်စီများ၊ NGO များ၊ ဉာဏ်ကြီးရှင်အဖွဲ့များ သို့မဟုတ် ဥပဒေစိုးမိုးရေးအဖွဲ့အစည်းများထံမှ လာပုံရသော ပစ်မှတ်ထားတိုက်ခိုက်သည့် Phishing အီးမေးလ်များ ဖြစ်သည်။
အဆိုပါဆိုက်ဘာခြိမ်းခြောက်မှုအဖွဲ့သည် ယခင်က ကမ္ဘာတစ်ဝန်းရှိ အစိုးရများကို ပစ်မှတ်ထားတိုက်ခိုက်မှုများတွင် Google Drive ကို အသုံးပြု၍ အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ် ဖြန့်ဖြူးခြင်း၊ ရှောင်တိမ်းနိုင်ရန် စိတ်ကြိုက်ပြင်ဆင်ထားသော Backdoor များနှင့် Worm အသုံးပြုသော တိုက်ခိုက်မှုလမ်းကြောင်းများကို အသုံးပြုသည်ကို တွေ့ရှိခဲ့ရသည်။
Trend Micro မှ တွေ့ရှိခဲ့သော အီးမေးလ်များတွင် အန္တရာယ်ရှိသော ပူးတွဲဖိုင်တစ်ခုပါဝင်ပြီး ၎င်းတွင် Setup Factory Installer ၏ Dropper ဖိုင် (IRSetup.exe) တစ်ခု ပါဝင်သည်။
အကယ်၍ ပစ်မှတ်ထားခံရသူက ၎င်းကို ဖွင့်လိုက်ပါက ၎င်းဖိုင်သည် C:\ProgramData\session ထဲ၌ ဖိုင်များစွာကို ချထားမည်ဖြစ်ပြီး ၎င်းတို့ထဲတွင် တရားဝင်ဖိုင်များ၊ အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ် အစိတ်အပိုင်းများနှင့် လှည့်စားရန်အတွက် PDF ဖိုင်အတုတစ်ခု ပါဝင်သည်။
တိုက်ခိုက်ခံရသောစက်တွင် ချထားသော ဖိုင်များ (သတင်းရင်းမြစ် - Trend Micro)
ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ်ကို ရှောင်တိမ်းခြင်း
တိုက်ခိုက်ခံရသည့်စက်တွင် ESET ဗိုင်းရပ်စ်နှိမ်နင်းရေးထုတ်ကုန်များ (ekrn.exe သို့မဟုတ် egui.exe) ကို တွေ့ရှိသောအခါ Mustang Panda သည် Windows 10 နှင့် နောက်ပိုင်းဗားရှင်းများတွင် ကြိုတင်ထည့်သွင်းထားသည့် ပရိုဂရမ်များကို အသုံးချ၍ ထူးခြားသော ရှောင်တိမ်းမှုယန္တရားကို အသုံးပြုသည်။
အလွဲသုံးစားပြုမှုသည် Microsoft Application Virtualization Injector (MAVInject.exe) နှင့်စတင်ပြီး ၎င်းပရိုဂရမ်သည် Windows စက်လည်ပတ်မှုစနစ်အား (မှတ်ဉာဏ်၌) လုပ်ဆောင်နေသော ပရိုဂရမ်များအတွင်းသို့ ကုဒ်ထည့်သွင်းခွင့်ပြုသည့် Windows ထဲရှိ တရားဝင်စနစ်ပရိုဂရမ်တစ်ခု ဖြစ်သည်။
၎င်းစနစ်ပရိုဂရမ်ကို Microsoft ၏ Application Virtualization (App-V) က Virtualized ပြုလုပ်ထားသော ပရိုဂရမ်များကို အလုပ်လုပ်စေရန် အဓိကအသုံးပြုသော်လည်း Developer များနှင့် Administrator များအနေဖြင့် စမ်းသပ်ရန်အတွက် သို့မဟုတ် အလိုအလျောက်စနစ်အတွက် မှတ်ဉာဏ်တွင် အလုပ်လုပ်နေသော အခြားပရိုဂရမ်တစ်ခုအတွင်းရှိ DLL ဖိုင်များကို အလုပ်လုပ်စေရန်လည်း ၎င်းပရိုဂရမ်ကို အသုံးပြုနိုင်သည်။
၂၀၂၂ ခုနှစ်တွင် ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီ FourCore က MAVInject.exe ကို LOLBin အဖြစ် အလွဲသုံးစားပြုနိုင်ကြောင်း အစီရင်ခံခဲ့ပြီး APP-v ဝန်ဆောင်မှုကို အသုံးပြုခြင်းမရှိသော ကွန်ပျူတာများတွင် ထိုဖိုင်ကို ပိတ်ထားသင့်ကြောင်း သတိပေးခဲ့သည်။
Mustang Panda အဖွဲ့သည် Windows စက်လည်ပတ်မှုစနစ်များတွင် ကြိုတင်ထည့်သွင်းထားသည့် Windows ၏ တရားဝင်အသုံးချပရိုဂရမ်တစ်ခုဖြစ်သော “waitfor.exe” ထဲသို့ အန္တရာယ်ရှိသော ကုဒ်များကို ထည့်သွင်းရန် အဆိုပါဖိုင်ကို အသုံးချသည်။
Windows စနစ်ရှိ waitfor.exe ၏ တရားဝင်လုပ်ဆောင်ချက်မှာ သတ်မှတ်ထားသော လုပ်ဆောင်ချက်တစ်ခုကို မလုပ်ဆောင်မီ အချက်ပြမှု သို့မဟုတ် အမိန့်တစ်ခုကို စောင့်ခြင်းဖြင့် စက်များစွာတွင် လုပ်ငန်းစဉ်များကို တစ်ပြိုင်တည်းလုပ်ဆောင်ရန်ဖြစ်သည်။
၎င်းကို အဓိကအားဖြင့် Batch Script ရေးသားနှင့် အလိုအလျောက်စနစ်တွင် လုပ်ငန်းဆောင်တာများကို နှောင့်နှေးစေရန် သို့မဟုတ် အချို့သော လုပ်ငန်းစဉ်များ ပြီးဆုံးမှသာ အခြားလုပ်ငန်းစဉ်များ စတင်ကြောင်း သေချာစေရန် အသုံးပြုသည်။
ယုံကြည်စိတ်ချရသော စနစ်ပရိုဂရမ်တစ်ခုဖြစ်သောကြောင့် ၎င်းထဲသို့ ထည့်သွင်းထားသော အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်ကို ပုံမှန် Windows ပရိုဂရမ်တစ်ခုအဖြစ် မြင်ကြပြီး ESET နှင့် အခြားသော ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ်များက အဖျက်အမှောက်ဆော့ဖ်ဝဲလ်၏ လုပ်ဆောင်မှုကို သတိပေးချက် မပြကြပေ။
waitfor.exe ထဲသို့ ထည့်သွင်းထားသော အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်သည် TONESHELL Backdoor ၏ ပြုပြင်ထားသော ဗားရှင်းဖြစ်ပြီး ၎င်းပရိုဂရမ်ထဲ၌ ပုန်းကွယ်နေသော DLL ဖိုင် (EACore.dll) တစ်ဖိုင် ပါရှိပါသည်။
စတင်လည်ပတ်သည်နှင့်တပြိုင်နက် အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်သည် ၎င်း၏ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာဖြစ်သော militarytc[.]com:443 သို့ ချိတ်ဆက်ပြီး စနစ်နှင့်ပတ်သက်သောအချက်အလက်နှင့် တိုက်ခိုက်ခံရသူ၏ ID ကို ပေးပို့သည်။
Mustang Panda တိုက်ခိုက်မှု အကျဉ်းချုပ် (သတင်းရင်းမြစ် - Trend Micro)
အဆိုပါ အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်သည် တိုက်ခိုက်သူများအား အဝေးမှ Command များ လုပ်ဆောင်ရန်နှင့် ဖိုင်လုပ်ဆောင်ချက်များ (ဥပမာ - ရွှေ့ခြင်းနှင့် ဖျက်ခြင်း) လုပ်ဆောင်ရန်အတွက် Reverse Shell ချိတ်ဆက်မှုကိုလည်း ပံ့ပိုးပေးသည်။
Trend Micro က ဤဗားရှင်းအသစ်သည် ၎င်း၏ လုပ်ဆောင်နိုင်စွမ်း ဝိသေသများနှင့် ယခင်မှတ်တမ်းတင်ထားသော ကွန်ရက် Packet ဖော်ယူခြင်းယန္တရားများအပေါ် အခြေခံ၍ Mustang Panda အဖွဲ့၏ စိတ်ကြိုက်လက်နက်တစ်ခုဖြစ်ကြောင်း ယုံကြည်မှု အလယ်အလတ်ရှိသည်။
နောက်ဆုံးပြင်ဆင်ချက် (၁၈-၂-၂၀၂၅)။ ESET သည် Trend Micro ၏ တွေ့ရှိချက်များကို သဘောမတူကြောင်း BleepingComputer သို့ အောက်ပါထုတ်ပြန်ချက်ကို မျှဝေခဲ့သည်-
"ESET ဆက်သွယ်ရေးအဖွဲ့များသည် Trend Micro မှ ထုတ်ဝေသော သုတေသနဘလော့ဂ်တစ်ခုကို သတိပြုမိခဲ့ပြီး ESET 'ဗိုင်းရပ်စ်နှိမ်နင်းရေးအပလီကေးရှင်း' ကို APT အဖွဲ့ဖြစ်သော Mustang Panda (ခေါ်) Earth Preta ၏ ပစ်မှတ်အဖြစ် သတ်မှတ်ထားကြောင်း သိရှိရပါသည်။" ဟု ESET က BleepingComputer သို့ ပြောကြားခဲ့သည်။
“ဤတိုက်ခိုက်မှုသည် 'ESET ဗိုင်းရပ်စ်နှိမ်နင်းရေးကို ကောင်းမွန်စွာ ရှောင်တိမ်းကျော်လွှားသည်' ဆိုသော ထုတ်ပြန်ထားသည့် တွေ့ရှိချက်များကို ကျွန်ုပ်တို့ သဘောမတူပါ။ ၎င်းသည် ရှောင်တိမ်းကျော်လွှားခြင်း မဟုတ်ပါ၊ Trend Micro သည် ၎င်းတို့၏ တွေ့ရှိချက်များကို ဆွေးနွေးရန် ESET ကို သတိမပေးခဲ့ခြင်းကြောင့် ကျွန်ုပ်တို့ အံ့အားသင့်မိပါသည်။”
"အစီရင်ခံထားသော နည်းပညာသည် အသစ်အဆန်းမဟုတ်ပါ၊ ESET နည်းပညာသည် နှစ်ပေါင်းများစွာကတည်းက ၎င်းတိုက်ခိုက်မှုကို ကာကွယ်ပေးနေပါသည်။ ဤ အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ် နမူနာနှင့်ပတ်သက်၍ ESET သည် ၎င်း၏ ပရီမီယံ ဆိုက်ဘာခြိမ်းခြောက်မှုထောက်လှမ်းရေး ဝန်ဆောင်မှုမှတစ်ဆင့် အသေးစိတ်အချက်အလက်များကို ယခင်ကတည်းက ထုတ်ပြန်ခဲ့ပြီးဖြစ်ကာ ဇန်နဝါရီလမှစ၍ သီးခြားထောက်လှမ်းမှုနည်းပညာကို ထည့်သွင်းခဲ့ပါသည်။ ကျွန်ုပ်တို့သည် ဤဆိုက်ဘာခြိမ်းခြောက်မှုကို တရုတ်နှင့် ချိတ်ဆက်ထားသော CeranaKeeper APT အဖွဲ့က လုပ်ဆောင်သည်ဟု သတ်မှတ်ထားပါသည်။ ESET အသုံးပြုသူများအား ဤ အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်နှင့် ၎င်း၏တိုက်ခိုက်မှုရန်မှ ကာကွယ်ထားပါသည်။"
“Bill Toulas” ၏ “Chinese hackers abuse Microsoft APP-v tool to evade antivirus” ကို ဘာသာပြန်ဆိုသည်။