ជនសង្ស័យអ៊ឺរ៉ង់មានសកម្មភាពវាយប្រហារលើផ្នែកដឹកជញ្ជូន រដ្ឋាភិបាល ថាមពល និងអង្គភាពថែទាំសុខភាពអ៊ីស្រាអែល តាំងពីចុងឆ្នាំ២០២០។
ក្រុមហ៊ុនសន្តិសុខសាយប័រ Mandiant កំពុងតែតាមដានក្រុម UNC3890 ដែលគេជឿជាក់ថាជាចំណាប់អារម្មណ៍របស់ជនជាតិអ៊ឺរ៉ង់។ ក្រុមអ្នកស្រាវជ្រាវអ៊ីស្រាអែលកត់សម្គាល់ឃើញថា៖ “ការប្រមូលទិន្នន័យនេះប្រហែលជាមានបំណងគាំទ្រដល់សកម្មភាពផ្សេងៗដូចជាការហេគរួចទម្លាយ ដូចទៅនឹងការវាយប្រហារផ្នែកឧស្សាហកម្មដឹកជញ្ជូន នាពេលថ្មីៗនេះ”។
ក្រុមនេះប្រើមេរោគ ២ប្រភេទមានឈ្មោះថា SUGARUSH ដើរតួជាទ្វារក្រោយ និង SUGARDUMP ដើរតួជាអ្នកលួចអត្តសញ្ញាណ ហើយអាចច្រោះយកលេខសម្ងាត់ រួចចូលទៅកាន់អាសយដ្ឋានអ៊ីម៉ែលដូចជា Gmail, ProtonMail, Yahoo និង Yandex។ ជាងនេះទៀត ហេគឃ័របានបង្ហោះផេចក្លែងក្លាយ ដែលមើលទៅដូចផេចស្របច្បាប់ Office 365, LinkedIn និងហ្វេសប៊ុកដើម្បីបញ្ឆោតក្រុមគោលដៅ។ អ្នកស្រាវជ្រាវបានថ្លែងថា៖ “នាពេលថ្មីៗនេះ ក្រុម UNC3890 ប្រើវីដេអូពាណិជ្ជកម្មសម្រាប់តុក្កតាមនុស្សយន្តដែលប្រើAI ដើម្បីលួងលោមអ្នកប្រើឱ្យបញ្ជូនមេរោគ SUGARDUMP”។
មេរោគ SUGARUSH បង្កើតទំនាក់ទំនងជាមួយនឹងC2 server ដើម្បីប្រតិបត្តិការខមមិន CMD ដែលប្រើចេញពីហេគឃ័រ ហើយអាចគ្រប់គ្រងជនរងគ្រោះ នៅពេលទទួលបានសិទ្ធិចូលដំណើរការ។
មិនតែប៉ុណ្ណោះ ក្រុមនេះប្រើកម្មវិធីតេស្ត Metasploit penetration និង Unicorn ដើម្បីវាយប្រហារ PoweShell និងចាក់បញ្ចូល shellcode ទៅក្នុងអង្គចងចាំ។
ក្រុមនេះពាកព័ន្ធនឹងប្រទេសអ៊ឺរ៉ង់ ប្រើភាសាហ្វាសី នៅក្នុងជំនាន់ថ្មីរបស់មេរោគSUGARDUMP និងមានបំណងវាយប្រហារលើស្ថាប័នអ៊ីស្រាអែល ដែលមានទំនាក់ទំនងជាមួយនឹងហេគឃ័រអ៊ឺរ៉ង់ និងប្រើ NorthStar C2 Framework។
ប្រភពព័ត៌មាន៉៖ ថ្ងៃទី២៣ ខែសីហា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា
