ក្រុមហេគឃ័រថ្មីWhite Tur ទើបតែប្រើប្រាស់នូវបច្ចេកទេសជាច្រើនដែលខ្ចីពីក្រុមហេគឃ័រ APTs ។ ក្រុមហេគឃ័រនេះគឺមានសកម្មភាពយ៉ាងសកម្មចាប់ពីឆ្នាំ 2017 មក។ ការវាយប្រហារនេះត្រូវរកឃើញនៅក្នុងខែមករានេះដែលក្រុមហេគឃ័រនេះបានចុះឈ្មោះនូវ subdomain (mail[.]mod[.]qov[.]rs) ដើម្បីបោកបញ្ឆោតអោយជនរងគ្រោះនៅក្នុងក្រសួងការពារជាតិរបស់ប្រទេសស៊ែបីបញ្ចូលព័ត៌មានផ្ទាល់ខ្លួន។
នៅក្នុង phishing domain ប្រើប្រាស់នូវ TLS certificate ជាមួយនឹងពាក្យថា ‘qov’ ដែលមើលទៅវាអាចនឹងច្រឡំគ្នាជាមួយនឹងពាក្យថា ‘gov’ ។ បច្ចេកទេសនៃការបន្លំទៅលើ .gov នេះកាលពីមុនគឺត្រូវបានប្រើប្រាស់ដោយក្រុមហេគឃ័រ APT ដែលមានឈ្មោះហៅថា Sofacy (APT28) ចេញពីប្រទេសរុស្សី។
ជាផ្នែកមួយនៅក្នុងការវាយប្រហារ White Tur នេះ PowerShell code នេះមានព័ត៌មានលម្អិតជាច្រើនរបស់ជនរងគ្រោះដែលប្រើប្រាស់នូវ PowerShell WMI និង BitsTransfer Module នៅក្នុង PowerShell ដើម្បីធ្វើការលួចព័ត៌មាន។ ក្រុមអ្នកស្រាវជ្រាវក៏រកឃើញនូវ backdoor package ដែលដើរតួជា DLL ក្នុងការគ្រប់គ្រងទៅលើ files ការដំណើការទៅលើពាក្យបញ្ជា (commands) ការបញ្ជាទៅលើ malware និងការ upload/download files ។ ដូចនេះ សូមមានការប្រុងប្រយ័ត្ន!
