ក្រុមឆ្លើយតបគ្រោះអាសន្នកុំព្យូទ័ររបស់អ៊ុយក្រែនកំពុងព្រមានថា ក្រុមហេគឃ័រកំពុងតែចែកចាយនូវការអាប់ដេត Windows antivirus ក្លែងក្លាយដើម្បីតម្លើងនូវមេរោគ Cobalt Strike និងមេរោគ malware ផ្សេងទៀត។ នៅក្នុងអ៊ីម៉ែលក្លែងបន្លំ (phishing emails) បន្លំធ្វើជាទីភ្នាក់ងាររដ្ឋាភិបាលរបស់ប្រទេសអ៊ុយក្រែនដែលចង់បង្កើនទៅលើសុវត្ថិភាពទៅលើបណ្តាញតាមរយៈការជូនដំណឹងអោយអតិថិជនធ្វើការដោនឡូតនូវ “BitdefenderWindowsUpdatePackage.exe” ដែលមានទំហំ 60MB។
.jpg)
សម្រាប់ emails នេះគឺមានផ្ទុកនូវ link មួយទៅកាន់វេបសាយរបស់ប្រទេសបារាំងដែលមានភ្ជាប់ជាមួយនឹងប៊ូតុង download សម្រាប់អាប់ដេតទៅលើកម្មវិធី Antivirus ។ សម្រាប់វេបសាយមួយទៀតគឺ nirsoft[.]me ត្រូវរកឃើញដោយ MalwareHunterTeam ដែលក្លែងបន្លំជា C&C Server នៅក្នុងយុទ្ធនាការនេះ។
.jpg)
នៅពេលដែលជនរងគ្រោះចុចដោនឡូត និងចុចនៅលើការអាប់ដេត BitDefender Windows ក្លែងក្លាយនេះ អេក្រង់នឹងបង្ហាញនូវសារមួយអោយអ្នកប្រើប្រាស់ចុចតម្លើងនូវ ‘Windows Update Package’ ។ នៅក្នុងការអាប់ដេតនេះគឺតម្រូវអោយអ្នកប្រើប្រាស់ធ្វើការដោនឡូត និងតម្លើងនូវ one.exe file [VirusTotal] ចេញពី Discord CDN ដែលជាប្រភពនៃមេរោគ Cobalt Strike ។ វាក៏មានការចែកចាយនូវ Go downloader (dropper.exe) សម្រាប់តម្លើងនូវមេរោគ GraphSteel backdoor (microsoft-cortana.exe)និង GrimPlant backdoor (oracle-java.exe) ៕
