Windows စနစ်များအပေါ် သက်ရောက်မှုရှိသည့် Malware ကို Viber မှတစ်ဆင့်ပေးပို့နေခြင်းနှင့် ပတ်သက်၍ သတိပေးချက်

 ၁။       မသမာသူများအနေဖြင့် အရေးကြီးသော သတင်းအချက်အလက်များကို ခိုးယူရန် သို့မဟုတ် အသုံးပြုသူများ၏ လုပ်ဆောင်ချက်များ (User activity) ကို လွယ်လင့်တကူ ခြေရာခံနိုင်ရန်အတွက် Viber ကဲ့သို့သော Messaging App များမှတစ်ဆင့် အဖျက်အမှောင့်ဖိုင်များပါဝင်သည့် “Meeting Record.zip” အမည်ဖြင့် လိုက်လံပေးပို့နေသည်ကို တွေ့ရှိရပါသည်။

ပုံ(၁) အဖျက်အမှောင့်ဖိုင်ပါဝင်သော ဖိုင်ကို viber မှတစ်ဆင့် ပေးပို့လာခြင်း

၂။       Viber မှပေးပို့လာသော အဆိုပါ zip ဖိုင်တွင်ပါဝင်သော အဖျက်အမှောင့်ကုဒ်များသည် Android နှင့် iOS ဖုန်းများတွင် အကျိုးသက်ရောက်မှုမရှိနိုင်သောကြောင့် Computer နှင့်သာ ဖွင့်ကြည့်စေရန် လမ်းညွှန် စေခိုင်းချက်ပါ ပါဝင်သည်ကိုတွေ့ရှိရပါသည်။

၃။       Zip ဖိုင်ကို ဖြည်ကြည့်လျှင် “Meeting Record.exe” ဟူသည့် Application ဖိုင် တစ်ဖိုင်တည်းသာ မြင် တွေ့ရမည်ဖြစ်ပြီး ၎င်းခေါ်သုံးမည့် “nvdaHelperRemote.dll” ဖိုင်မှာ “Hidden file” အဖြစ် တွဲလျက် ပါဝင်လာပါသည်။

 ပုံ(၂) အဖျက်အမှောက်ကုဒ်များပါဝင်သည့် ဖိုင်များကို မြင်ရစဉ်

၄။       Meeting Record.exe ဖိုင်ကို Run မိပါက ၎င်းတွင်ပါဝင်သော အဖျက်အမှောင့်ကုဒ်များကို အလုပ်လုပ်စေမည်ဖြစ်ပါသည်။ “C:\ProgramData\Citrix\MeetingRecord.exe” နှင့် “C:\Program Data\ Citrix\nvdaHelperRemote.dll” မှာ ပူးတွဲအလုပ်လုပ်ကာ “C:\ProgramData\DexpotMouseEvents Part.dat” လမ်းကြောင်းအတိုင်း မသမာသူမှ User ၏ Keystroke များ သို့မဟုတ် Mouse Movement များ ကဲ့သို့သော အချက်အလက်များကို စုစည်းနိုင်မည်ဖြစ်ပါသည်။ ထို့အပြင် မသမာသူမှ စနစ်ထဲသို့ ဝင်ရောက် သည့် အချိန်တိုင်း အသုံးပြုသူ၏ ခွင့်ပြုချက် မလိုအပ်ဘဲ အလိုအလျောက်အလုပ်လုပ်စေနိုင်ရန် Windows Registry တွင် Citrixonece အမည်ဖြင့် String တစ်ခုကို ဖန်တီးရေးသားပါသည်။

ပုံ(၃) Registry Key Value ကို ပြင်ဆင်သွားပုံကို မြင်ရစဉ်

၅။       ဆက်လက်၍ တိုက်ခိုက်ခံရသောကွန်ပျူတာအား ၎င်း၏ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာ (Command and Control Server) ဖြစ်သော 188.127.247.137 ထံသို့ Port Number 443 ကိုအသုံးပြု၍ ချိတ်ဆက် နေကြောင်း တွေ့ရှိရပါသည်။ ထို့နောက် C2 ဆာဗာမှ တိုက်ခိုက်ခံရသော ကွန်ပျူတာအား ဝင်ရောက် ထိန်းချုပ်ကာ အရေးကြီးသော အချက်အလက်များ ခိုးယူခြင်း သို့မဟုတ် ခွင့်ပြုချက်မရှိသော Command များကို လုပ်ဆောင်ခြင်းကဲ့သို့သော အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို လုပ်ဆောင်သွားနိုင်မည် ဖြစ် ပါသည်။

ပုံ(၄) C2 ဆာဗာနှင့် ချိတ်ဆက်နေသည်ကို မြင်ရစဉ်

၆။       အဆိုပါ Malware တိုက်ခိုက်ခံရသောကွန်ပျူတာများ (Malware ဖိုင်အား ဖွင့်မိထားသောသူများ) သည် Task Manager မှတစ်ဆင့် ပုံမှန်မဟုတ်သော Process များ၊ C2 ဆာဗာနှင့် ချိတ်ဆက်မှုရှိ မရှိ ကိုလည်းကောင်း၊ Registry Value များ ပြောင်းလဲထားခြင်းရှိမရှိကိုလည်းကောင်း သေချာစစ်ဆေးရန် လိုအပ်ပါသည်။ ထို့အပြင် မိမိတို့အဖွဲ့အစည်းများတွင် Network-based Firewall များတပ်ဆင်ထားပါက (သို့) Host-based Firewall အသုံးပြုပါက IP Address 188.127.247.137 အား Firewall တွင် ပိတ်ပင်ထားရန် လိုအပ်ပါသည်။  မိမိတို့အသုံးပြုသော Operating System (OS) များနှင့်  Antivirus ဆော့ဖ်ဝဲလ်များကို နောက်ဆုံးအခြေအနေ အထိ Update ပြုလုပ်ထားရန်လည်း လိုအပ်ပါသည်။

၇။      ဆိုက်ဘာတိုက်ခိုက်မှုနှင့်ပတ်သက်၍ အသိပေးတိုင်ကြားလိုပါက မြန်မာဆိုက်ဘာအရေးပေါ်တုံ့ပြန် ရေးဌာနခွဲ၊ ဇမ္ဗူကျက်သရေလမ်း၊ ဇမ္ဗူသီရိမြို့နယ်၊ နေပြည်တော်သို့ လူကိုယ်တိုင်ဖြစ်စေ၊ ဆက်သွယ်ရန် ဖုန်းနံပါတ်ဖြစ်သော ၀၆၇-၃၄၂၂၂၇၂ သို့ ဖြစ်စေ၊ infoteam@mmcert.org.mm နှင့် incident@mmcert.org.mm တို့သို့ အီးမေးလ်ပေးပို့၍ဖြစ်စေ အသိပေးတိုင်ကြားနိုင်ပါသည်။

မြန်မာဆိုက်ဘာအရေးပေါ်တုံ့ပြန်ရေးဌာနခွဲ