អ្នកស្រាវជ្រាវ លម្អិតពីប្រតិបត្តិការមេរោគថ្មី ដែលវាយប្រហារមន្ត្រីរដ្ឋាភិបាលឥណ្ឌា

ក្រុមហេគឃ័រ Transparent Tribe មានបំណងវាយប្រហារលើរដ្ឋាភិបាលឥណ្ឌា ដោយប្រើការផ្ទៀងផ្ទាត់២កត្តា ដែលគេហៅថា Kavach។ កាលពីថ្ងៃព្រហស្បតិ៍ អ្នកស្រាវជ្រាវ Sudeep Singh បានថ្លែងថាៈ ក្រុមនេះប្រើការផ្សាយពាណិជ្ជកម្មហ្គូហ្គលក្នុងបំណងចែកចាយទ្វារក្រោយនៃកម្មវិធី Kavach multi-authentication (MFA)។ ក្រុមហ៊ុនសន្តិសុខសាយប័របានថ្លែងថាៈ ក្រុមហេគឃ័រឈានមុខបានប្រមូលព័ត៌មានសម្ងាត់ នៅលើគេហទំព័រក្លែងក្លាយ ដែលកំពុងតែក្លែងបន្លំជាគេហទំព័រផ្លូវការរបស់រដ្ឋាភិបាលឥណ្ឌា ដើម្បីលួងអ្នកប្រើឱ្យបញ្ចូលលេខសម្ងាត់។ Transparent Tribe ត្រូវបានគេស្គាល់ថាជា APT36, Operation C-Major និង Mythic Leopard ដែលគេសង្ស័យថាជាក្រុមសមូហភាពប៉ាគីស្ថាន ដែលធ្លាប់វាយប្រហារលើស្ថាប័នឥណ្ឌា និងអាហ្គានីស្ថាន។

នេះមិនមែនជាលើកទី១ ដែលក្រុមនេះវាយប្រហារលើ Kavach (មានន័យថា “ទាហ៊ាន” ជាភាសាឥណ្ឌូ) ជាកម្មវិធីចាំបាច់ដែលទាមទារដោយអតិថិជន នៅក្នុងអាសយដ្ឋានអុីម៉ែលនៅលើ @gov.in និង @nic.in domains ដើម្បីចូល (sign in) ទៅកាន់អុីម៉ែល ដែលជាស្រទាប់ទី២ នៃការផ្ទៀងផ្ទាត់។ កាលពីដើមខែមីនា ឆ្នាំនេះ Cisco Talos បានរកឃើញការវាយប្រហារ ដែលប្រើការដំឡើងវីនដូ ក្លែងក្លាយ សម្រាប់ Kavach ជាការបញ្ឆោតដើម្បីចម្លងមេរោគ CrimesonRAT និងមេរោគផ្សេងទៀត ទៅបុគ្គលិករដ្ឋាភិបាល។ បច្ចេកទេសទូទៅ ដែលក្រុមហេគឃ័រនិយមប្រើនោះគឺ ការត្រាប់តាមរដ្ឋាភិបាល, យោធា និងអង្គការស្របច្បាប់ ដើម្បីវាយប្រហារ។ Singh បានថ្លែងថាៈ ហេគឃ័របានបង្ហោះ domains ថ្មីៗចម្រុះ ក្លែងបន្លំដូចជាកម្មវិធី Kavach ផ្លូវការ។ ពួកគេក៏បានប្រើ លក្ខណៈស្រាវជ្រាវការចំណាយ (paid search feature) របស់ Google Ads ដើម្បីរុញ domains អាក្រក់ឡើងទៅលើលទ្ធផលនៃការស្រាវជ្រាវរបស់អ្នកប្រើនៅឥណ្ឌា។

តាំងពីខែឧសភា ឆ្នាំ២០២២ ក្រុមហេគឃ័រ Transparent Tribe បានចែកចាយទ្វារក្រោយ នៃកម្មវិធី​ Kavach តាមរយៈហាងកម្មវិធីដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលអះអាងថានឹងផ្តល់ជូនការដោនឡូតកម្មវិធីដោយឥតគិតថ្លៃ។ តាំងពីខែសីហា ឆ្នាំ២០២២ ក្រុមនេះចាប់ផ្តើមប្រើឧបករណ៍ exfiltration tool មានឈ្មោះថា LimePad ដើម្បី upload ឯកសារដែលចាប់អារម្មណ៍ពីម៉ាស៊ីនឆ្លងមេរោគ ទៅកាន់ម៉ាស៊ីនមេរបស់ហេគឃ័រ។

Zscaler បានថ្លែងថាវាបានកំណត់អត្តសញ្ញាណ domain ដែលចុះឈ្មោះដោយក្រុម Transparent Tribe ក្លែងបន្លំចូលគេហទំព័រ នៃកម្មវិធី Kavach ដែលបង្ហាញតែមួយគត់ចេញពីអាសយដ្ឋាន IP ឥណ្ឌា ឬក៏នាំអតិថិជនទៅកាន់គេហទំព័រមជ្ឈមណ្ឌលព័ត៌មានជាតិឥណ្ឌា (NIC)។ គេហទំព័រ ត្រូវបានបំពាក់ការចាប់យកអត្តសញ្ញាណជនរងគ្រោះ ដែលចូល និងផ្ញើសារទៅកាន់ម៉ាស៊ីនមេដែលបញ្ជាពីចម្ងាយ ដែលធ្វើការវាយប្រហារប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធរដ្ឋាភិបាល។ ការប្រើ Google Ads និង LinePaid ចង្អុលបង្ហាញពីការវិវត្ត និងកែលម្អរបស់ហេគឃ័រ។ Singh បានថ្លែងថាៈ APT-36 គឺជាក្រុមគំរាមកំហែងជាប់លាប់ ដែលរាលដាលទៅកាន់អតិថិជនធ្វើការនៅក្នុងជួររដ្ឋាភិបាលឥណ្ឌា។ កម្មវិធីដែលត្រូវបានប្រើដោយស្ថាប័នរដ្ឋាភិបាលឥណ្ឌាគឺជាជម្រើសដ៏ពេញនិយមដែលប្រើដោយក្រុម APT-36 ផងដែរ៕

ប្រភពព័ត៌មាន៖ ៤ វិច្ឆិកា ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា