ក្រុមស្រាវជ្រាវគម្រាមកំហែងតាមបណ្តាញអ៊ីនធឺរណិត BI.ZONE Cyber រកឃើញថា
ក្រុមហេគឃ័រ FIN7 បន្លំខ្លួនជាក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពស្របច្បាប់ និងប្រើប្រាស់បង្ហាញ backdoor របស់ពួកគេថាជាឧបករណ៍វិភាគសន្តិសុខសុវត្ថិភាព។
ក្រុមហេគឃ័រ FIN7 បានជួលបុគ្គលិកជាច្រើនដែលបុគ្គលិកទាំងនោះពុំដឹងខ្លួនទេថា ក្រុមហ៊ុនរបស់ក្រុមហេគឃ័រនេះគឺជាក្រុមហេគខុសច្បាប់។ យ៉ាងណាមិញ ក្រុមហេគឃ័រនេះមិនមែនជាក្រុមហេគឃ័រថ្មីនោះទេ ព្រោះក្រុមនេះធ្លាប់បានធ្វើសកម្មភាពហេគលើអង្គភាពនានាចាប់តាំងពីឆ្នាំ២០១៥មកម្លេះ ដោយវិធីសាស្ត្រហេគរបស់ពួកគេភាគច្រើនជា phishing attacks ភ្ជាប់ជាមួយមេរោគផ្សេងៗនិងផ្ញើទៅអ្នកប្រើប្រាស់រងគ្រោះជាច្រើន។
ការវាយប្រហារ phishing attacks ភ្ជាប់ជាមួយមេរោគមានសមត្ថភាពអាចជ្រៀតចូលទៅក្នុងប្រព័ន្ធទាំងមូលដើម្បីលួចយកទិន្ន័យដូចជាព័ត៌មានកាតធនាគារ ហើយក្រោយមកហេគឃ័រអាចដាក់លក់ទិន្ន័យទាំងនោះ។
ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវបានកត់សម្គាល់ឃើញថា ក្រុមហេគឃ័រ FIN7 បានប្រើប្រាស់ backdoor ដែលមានឈ្មោះថា “Lizar”។ ក្រុមអ្នកស្រាវជ្រាវអះអាងថា backdoor នោះនៅតែមានសកម្មភាពយ៉ាងសកម្ម ហើយត្រូវបានក្រុមហេគឃ័រប្រើប្រាស់ backdoor នោះដើម្បីធ្វើការគ្រប់គ្រងពីចម្ងាយលើកុំព្យូទ័រដែលឆ្លងមេរោគ។
ក្រុមអ្នកស្រាវជ្រាវបញ្ជាក់ឲ្យដឹងថា កុំព្យូទ័រដែលឆ្លងមេរោគទាំងនោះភាគច្រើនជាកម្មសិទ្ធរបស់អ្នកប្រើប្រាស់នៅសហរដ្ឋអាមេរិក។
គួរបញ្ជាក់ផងដែរថា Lizar Toolkit មានប្រភេទ plugins ច្រើនប្រភេទ និងមានបន្ទុកខុសៗគ្នា ដោយវាត្រូវបានហេគឃ័រប្រើប្រាស់សម្រាប់ភ្ជាប់ជាមួយ Lizar bot របស់ client និងបញ្ជាគ្រប់គ្រងម៉ាស៊ីនពីចម្ងាយ ខណៈដែលអ្នកស្រាវជ្រាវរកឃើញ bot របស់ Client មានបីប្រភេទមានដូចជា DLLs, EXEs, និង PowerShell scripts។
អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន antimalware និងក្រុមសន្តិសុខផ្សេងទៀតផ្ដល់អនុសាសន៍ឱ្យអ្នកប្រើប្រាស់បន្ថែម IoC លើ rules និង signatures ហត្ថលេខាដើម្បីការពារអតិថិជនរបស់អ្នកពីការវាយប្រហារប្រភេទនេះ។
IoC
IP:
108.61.148.97
136.244.81.250
185.33.84.43
195.123.214.181
31.192.108.133
45.133.203.121
