រដ្ឋាភិបាល និងអង្គការដែលស្ថិតនៅក្នុងប្រទេសជាសមាជិកអាស៊ាន បានក្លាយទៅជាគោលដៅរបស់ក្រុមហេគឃ័រ តាំងពីឆ្នាំ២០២១ មក។
ក្រុម Symantec Threat Hunter បានរាយការណ៍ប្រាប់ The Hacker News ថាៈ ក្រុមហេគឃ័របានប្រើកម្មវិធីស្របច្បាប់ជាច្រើន ដើម្បីផ្ទុកមេរោគ ដែលគេស្គាល់ថាជា DLL side-loading។ Dynamic-link library (DLL) side-loading គឺជាវិធីសាស្រ្តដ៏ពេញនិយមដែល Microsoft Windows app ប្រើសម្រាប់គ្រប់គ្រង DLL files។ នៅក្នុងការវាយប្រហារនេះ DLL អាក្រក់ត្រូវបានបញ្ចូលទៅក្នុង Side-by-Side (WinSxS) directory ដូច្នេះប្រព័ន្ធប្រតិបត្តិការបានផ្ទុក (loads) វាជំនួសឯកសារស្របច្បាប់។ ជាងនេះទៀត មេរោគក៏ជួយដល់ការលួចព័ត៌មានសម្ងាត់ និងចល័តឆ្លងបណ្តាញ network ដែលបានសម្របសម្រួលថែមទៀត។
កាលពីខែមេសា ដល់ខែកក្កដា ឆ្នាំ២០២២ មានយុទ្ធនាការនៃការវាយប្រហារមួយ កើតឡើងលើអង្គការរបស់រដ្ឋអាស៊ាន ផ្នែកអប់រំ នៅពេលនោះហេគឃ័របានចូលប្រើម៉ាស៊ីនដែលបង្ហោះទិន្នន័យ និងអ៊ីម៉ែល មុនចូលប្រើ domain controller។
ជាងនេះទៀត ហេគឃ័រក៏បានប្រើ Bitdefender Crash Handler (“javac.exe”) ជំនាន់ ១១ឆ្នាំ ដើម្បីប្តូរឈ្មោះទៅ Minikatz (“calc.exe”) ដែលជាប្រភេទ open source ហៅថា Golang ដើម្បីជ្រៀតចូលទៅក្នុង framework ឈ្មោះថា LadonGo និងបញ្ជូនទិន្នន័យនៅលើ hosts ចម្រុះ។
នៅក្នុងចំណោមវិធីសាស្រ្តទាំងនោះ មានអ្នកជំនាញលួចព័ត៌មាន ដែលមានឈ្មោះថា Logdatter វាមានសមត្ថភាព កត់ត្រា (logging keystrokes), ថត screenshots, ភ្ជាប់និងសួររក SQL database, ដោនឡូតឯកសារ និងលួច clipboard data។
គ្មាននរណាដឹងច្បាស់ពីអត្តសញ្ញាណរបស់ក្រុមហេគឃ័រនេះទេ ទោះបីជា ក្រុមនេះបានប្រើទ្វារក្រោយ ShadowPad និងមេរោគ PlugX (aka Korplug) ហើយបានចែករំលែកនៅក្នុងចំណោមហេគឃ័រចិនជាច្រើននាក់ក៏ដោយ។
ក្រុម Symantec សង្ស័យលើក្រុមហេគឃ័រ APT41 និង Mustang Panda។ អ្នកស្រាវជ្រាវក៏បានបន្ថែមថាៈ ការប្រើបច្ចេកទេសហេគបែប DLL side-loading បានចាប់ផ្តើមកើនឡើងនៅក្នុងតំបន់អាស៊ានហើយ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៣ ខែកញ្ញា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា