ယနေ့အစမှ ယနေ့အထိ၊ JSOC CERT ကျွမ်းကျင်သူများသည် Troldesh ကုဒ်ဝှက်ခြင်းဗိုင်းရပ်စ်၏ ကြီးမားသော အန္တရာယ်ရှိသော ဖြန့်ဖြူးမှုကို မှတ်တမ်းတင်ထားသည်။ ၎င်း၏ လုပ်ဆောင်နိုင်စွမ်းသည် ကုဒ်ဝှက်စနစ်ထက် ပိုမိုကျယ်ပြန့်သည်- ကုဒ်ဝှက်ခြင်း မော်ဂျူးအပြင်၊ ၎င်းသည် အလုပ်ရုံတစ်ခုအား အဝေးမှ ထိန်းချုပ်နိုင်ပြီး နောက်ထပ် မော်ဂျူးများကို ဒေါင်းလုဒ်လုပ်နိုင်စွမ်း ရှိသည်။ ဒီနှစ် မတ်လမှာ ကျွန်တော်တို့ ပြီးပြီ။ Troldesh ကပ်ရောဂါအကြောင်း - ထို့နောက်ဗိုင်းရပ်စ်သည် IoT ကိရိယာများကိုအသုံးပြု၍ ၎င်း၏ပေးပို့မှုကိုဖုံးကွယ်ထားသည်။ ယခု၊ ၎င်းအတွက် အားနည်းချက်ရှိသော WordPress ဗားရှင်းများနှင့် cgi-bin interface ကို အသုံးပြုထားသည်။
စာပို့ခြင်းကို မတူညီသော လိပ်စာများမှ ပေးပို့ထားပြီး WordPress အစိတ်အပိုင်းများ ပါ၀င်သော အပေးအယူလုပ်ထားသော ဝဘ်အရင်းအမြစ်များသို့ လင့်ခ်တစ်ခုပါရှိသော စာ၏ကိုယ်ထည်တွင် ပါဝင်သည်။ လင့်ခ်တွင် Javascript တွင် script တစ်ခုပါရှိသော archive တစ်ခုပါရှိသည်။ ၎င်း၏လုပ်ဆောင်မှုရလဒ်အနေဖြင့် Troldesh ကုဒ်ဝှက်စနစ်ကို ဒေါင်းလုဒ်လုပ်ပြီး စတင်လိုက်ပါသည်။
တရားဝင်ဝဘ်ရင်းမြစ်သို့ လင့်ခ်တစ်ခုပါ၀င်သောကြောင့် အန္တရာယ်ရှိသောအီးမေးလ်များကို လုံခြုံရေးကိရိယာအများစုမှ ရှာမတွေ့သော်လည်း ransomware ကိုယ်တိုင်က လက်ရှိတွင် ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲထုတ်လုပ်သူအများစုမှ ရှာဖွေတွေ့ရှိထားသည်။ မှတ်ချက်- Malware သည် Tor ကွန်ရက်တွင်ရှိသော C&C ဆာဗာများနှင့် ဆက်သွယ်သောကြောင့်၊ ၎င်းအား "ဖြည့်တင်းပေးနိုင်သော" ရောဂါပိုးရှိသော စက်သို့ နောက်ထပ်ပြင်ပဝန်မော်ဂျူးများကို ဒေါင်းလုဒ်လုပ်ရန် ဖြစ်နိုင်ချေရှိသည်။
ဤသတင်းလွှာ၏ ယေဘုယျအင်္ဂါရပ်အချို့ ပါဝင်သည်။
(၁) သတင်းလွှာအကြောင်းအရာ ဥပမာ- “မှာယူခြင်းအကြောင်း”
(2) လင့်ခ်များအားလုံးသည် ပြင်ပနှင့်ဆင်တူသည် - ၎င်းတို့တွင် အဓိကစကားလုံးများ /wp-content/ နှင့် /doc/၊ ဥပမာ-
Horsesmouth[.]org/wp-content/themes/InspiredBits/images/dummy/doc/doc/
[.]org/wp-content/themes/campus/mythology-core/core-assets/images/social-icons/long-shadow/doc/
chestnutplacejp[.]com/wp-content/ai1wm-backups/doc/
(၃) Malware သည် Tor မှတဆင့် အမျိုးမျိုးသော ထိန်းချုပ်ဆာဗာများကို ဝင်ရောက်သည်။
(၄) ဖိုင်အမည်ကို ဖန်တီးပြီး ဖိုင်အမည်- C:ProgramDataWindowscsrss.exe၊ SOFTWAREMicrosoftWindowsCurrentVersionRun ဌာနခွဲ (ပါရာမီတာအမည် - Client Server Runtime Subsystem) တွင် မှတ်ပုံတင်ထားသည်။
သင်၏ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ်ဒေတာဘေ့စ်များသည် ခေတ်မီကြောင်းသေချာစေရန် အကြံပြုထားပြီး၊ ဤခြိမ်းခြောက်မှုနှင့်ပတ်သက်၍ ဝန်ထမ်းများအား အသိပေးရန်နှင့် ဖြစ်နိုင်ပါက အထက်ဖော်ပြပါလက္ခဏာများဖြင့် ဝင်လာသောစာများကို အားကောင်းအောင် ထိန်းချုပ်ရန် ကျွန်ုပ်တို့ အကြံပြုအပ်ပါသည်။
source: www.habr.com