អ្នកស្រាវជ្រាវពី JPCERT/CC សង្កេតឃើញថា មេរោគដ៏មានគ្រោះថ្នាក់បំផុតនៅក្នុងពិភពលោក APT វាយប្រហារលើអង្គភាពជប៉ុនដោយប្រើប្រាស់មេរោគផ្សេងៗក្រោយពីហេគ ឃ័រទាំងនោះបានបំពានលើប្រព័ន្ធរួច។
ក្រុម Lazarus ក៏ត្រូវបានគេស្គាល់ផងដែរថា Hidden Cobra ដែលជាក្រុមហេគឃ័ររបស់កូរ៉េខាងជើង ហើយពួកគេធ្លាប់បានចូលរួមនៅក្នុងការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺរណិតរបស់រដ្ឋាភិបាល និងវិស័យឯកជនជាច្រើននៅជុំវិញពិភពលោកចាប់តាំងពីឆ្នាំ២០០៩ ។
គេជឿថា ក្រុមហេគឃ័រ Lazarus ធ្វើការនៅក្រោមការិយាល័យស៊ើបអង្កេតរបស់រដ្ឋកូរ៉េខាងជើងដែលឧបត្ថម្ភដោយរដ្ឋកូរ៉េខាងជើង និងបានប្រើប្រាស់វិធីសាស្ត្រវាយប្រហារផ្សេងៗជាច្រើនដូចជា Zerodays, spearphishing, malware, disinformation, backdoors, និង droppers ។
លក្ខណៈរបស់មេរោគ APT
អ្នកវាយប្រហារអ៊ីនគ្រីបប្រព័ន្ធ Strings ទាំងអស់របស់មេរោគជាមួយនឹង AES128 និងកូដអ៊ីនគ្រីបផ្សេងទៀត។ ក្រោយពីមានការឆ្លងមេរោគបានជោគជ័យ វានឹងផ្ញើរសំណើរ HTTP ទៅម៉ាស៊ីនមេ C2។ ក្រោយមកទៀតមេរោគផ្តោតលើការទាញយកម៉ូឌុលពីម៉ាស៊ីន C2 តាមរយៈគោលបំណងផ្សេង។ នៅពេលដែលវាទាញយកបានជោគជ័យ វានឹងស្នើរសុំការបញ្ជាពីម៉ាស៊ីន C2 ជាកន្លែងដែលអ្នកវាយប្រហារផ្ញើរពាក្យបញ្ចា។
ការទាញយកម៉ូឌុលនោះរួច មេរោគនឹងដំណើរការដូចខាងក្រោម៖
-ធ្វើប្រតិបត្តិការហ្វាល(បង្កើត លុប ចម្លង សម្រួល)
-ធ្វើប្រតិបត្តិការលើដំណើរការ (បង្កើតបញ្ចី បង្កប់ និងលុប)
-ទាញយកហ្វាលចូល ឬចេញពីឧបករណ៍
-បង្កើត និងទាញយក ZIP ហ្វាល
-ប្រតិបត្តិពាក្យបញ្ជាតាមចិត្ត
-ផ្ទុកព័ត៌មានពីឌីស
-សម្រួលលើម៉ោងរបស់ប្រព័ន្ធ
នៅទីបំផុតអ្នកវាយប្រហារចែកចាយការឆ្លង និងប្រើប្រាស់ព័ត៌មានគណនីដោយមានជំនួយពីឧបករណ៍ Python“ SMBMAP” ដែលពួកគេអាចចូលទៅកាន់ម៉ាស៊ីនពីចម្ងាយតាមរយៈ SMB ក្រោយពីបំលែងវាជាឯកសារ Windows PE ជាមួយនឹង Pyinstaller ។
ប្រែសម្រួល៖ ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន Gbhacker ផ្សាយថ្ងៃទី០១ ខែសីហា ឆ្នាំ២០២០
