ហេគឃ័ររូស្ស៊ីប្រើ DropBox និង Google Drive ដើម្បីទម្លាក់ Payloads ក្លែងក្លាយ

0

APT29 ជាក្រុមហេគឃ័ររដ្ឋាភិបាលរូស្ស៊ី បានចែកចាយ phishing ថ្មី គេងចំណេញពីសេវាក្លោដដូចជា Google Drive និង Dropbox ដើម្បីបញ្ជូន payloads បន្លំលើប្រព័ន្ធដែលបានចូលសម្របសម្រួល។ Palo Alto Networks Unit 42 បានសរសេរនៅក្នុងរបាយការណ៍ថា៖ “គាត់ជឿជាក់ថា សកម្មភាពនេះតម្រង់ទៅកាទូតលោកខាងលិចមួយចំនួនដូចជា ស្ថានទូតបរទេសនៅព័រទុយហ្គាល់ និងប្រទេសប្រេស៊ីល នៅចន្លោះខែ ឧសភា និង មិថុនា ឆ្នាំ២០២២” ។

APT29 ស្ថិតក្រោម moniker Cozy Bear, Cloaked Ursa ឬ The Dukes ជាក្រុមចារកម្មតាមអ៊ីនធឺណិត ត្រូវបានរៀបចំឡើងដើម្បីប្រមូលព័ត៌មានសម្ងាត់ ស្របតាមគោលដៅរូស្ស៊ី។ កាលពីឆ្នាំ២០២០ ធ្លាប់មានការវាយប្រហារលើច្រវាក់ផ្គត់ផ្គង់ SolarWinds ដោយអ្នកហេគដ៏ជំនាញ។

នៅឆ្នាំ២០២២ នេះហេគឃ័រប្រើបច្ចេកទេសថ្មីគឺប្រើសេវាក្លោដដូចជា Dropbox និង Google Drive ដើម្បីបិទបាំងសកម្មភាពរបស់ពួកគេ និងបញ្ជូនមេរោគទៅកាន់គោលដៅ។ ការវាយប្រហារជំនាន់ទី ២ នេះមានការបម្លែងខ្លួនថ្មី ដើម្បីអាចរក្សា HTML dropper នៅក្នុង Dropbox កាលពីចុងខែ ឧសភា ឆ្នាំ២០២២។

រីឯ EnvyScout ដែលជាផ្នែកមួយនៃ​ tool នេះ ប្រើដើម្បីចម្លងទៅកាន់គោលដៅ។ នៅក្នុងករណីនេះ​វាប្រើប្រតិបត្តិការ NET-based ដែលបានលាក់នៅក្នុងឡេយ័រចម្រុះ (multiple layers) ដើម្បីស្រង់ព័ត៌មាន ក៏ដូចជាដំណើរការប្រព័ន្ធគោលពីរ Cobalt Strike ដែលទាញយកពី Google Drive។

ការប្រើសេវា Dropbox និង Google Drive គឺជាបច្ចេកទេសថ្មី ហើយក៏ពិបាកនឹងតាមដានណាស់ ដោយសារតែសេវានេះផ្គត់ផ្គង់គ្រប់ទីកន្លែង និងទទួលបានការគាំទ្រយ៉ាងច្រើនសន្លឹកពីអតិថិជននៅទូទាំងសកលលោក។

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកក្កដា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here