យោងតាមក្រុមអ្នកស្រាវជ្រាវ Trend Micro ក្រុមគំរាមកំហែងកម្រិតខ្ពស់ (APT) ដែលគាំទ្រដោយរដ្ឋាភិបាលចិនបានបើកការវាយប្រហារដោយ spear-phishing លើគោលដៅដូចជា វិស័យអប់រំ, រដ្ឋាភិបាល និងផ្នែកស្រាវជ្រាវទូទាំងពិភពលោក។
ក្រុមវាយប្រហារកំពុងចែកចាយមេរោគដែលរក្សាទុកក្នុង Google Drive ដោយត្រូវបានរកឃើញនៅចន្លោះខែមីនាដល់ខែតុលាឆ្នាំ 2022។ គោលដៅចម្បងរបស់ក្រុមនេះគឺនៅប្រទេសជប៉ុន អូស្ត្រាលី មីយ៉ាន់ម៉ា តៃវ៉ាន់ និងហ្វីលីពីន។
តើការវាយប្រហារដំណើរការយ៉ាងដូចម្តេច?
អ្នកវាយប្រហារទទួលបានសិទ្ធិចូលប្រើបណ្តាញតាមរយៈឯកសារបោកបញ្ឆោត លើប្រធានបទភូមិសាស្រ្តនយោបាយដ៏ចម្រូងចម្រាស ដើម្បីទាក់ទាញអង្គភាពដែលជាគោលដៅឱ្យទាញយក និងប្រតិបត្តិការមេរោគ។
ក្នុងករណីខ្លះ សារបន្លំត្រូវបានផ្ញើពីគណនីអ៊ីមែលដែលត្រូវបានគេសម្របសម្រួលពីមុន និងជាកម្មសិទ្ធិរបស់អង្គភាពជាក់លាក់ណាមួយ ដែលបានបង្ហាញឯកសារទាក់ទាញដល់ជនរងគ្រោះ។
ទោះយ៉ាងណា នៅផ្ទៃខាងក្រោយរបស់វាបានផ្ទុកមេរោគតាមរយៈ DLL side-loading។ នៅទីបំផុតអ្នកវាយប្រហារបានបញ្ចូនមេរោគចំនួន 3 ដើម្បីទាញយក payloads ជាដំណាក់កាលបន្ទាប់។ Backdoor សំខាន់ដែលពួកគេប្រើគឺ TONESHELL ដែលបានដំឡើងតាមរយៈកម្មវិធីផ្ទុកលេខកូដ TONEINS shellcode។
អ្នកវាយប្រហារឆ្លងកាត់យន្តការសុវត្ថិភាពដោយបង្កប់តំណភ្ជាប់ទៅ Dropbox ឬ Google Drive ។ តំណទាំងនោះបានបញ្ជូនបន្តដើម្បីទាញយកឯកសារដែលបានបង្រួមដូចជា ZIP, RAR, និង JAR ជាមួយនឹងប្រភេទមេរោគ PubLoad និង TONESHELL ។
តើអ្នកណាជាអ្នកវាយប្រហារ?
ក្រុមអ្នកស្រាវជ្រាវអះអាងថា ក្រុមដែលទទួលខុសត្រូវចំពោះការវាយប្រហារនេះត្រូវបានកំណត់អត្តសញ្ញាណថាជាក្រុម Mustang Panda ដែលត្រូវបានគេស្គាល់ផងដែរថាជា TA416, Red Lich, Earth Preta, HoneyMyte និង Bronze President ។ Mustang Panda ចូលចិត្តប្រើមេរោគ China Chopper និង PlugX ដើម្បីប្រមូលទិន្នន័យពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
នៅក្នុងរបាយការណ៍របស់ខ្លួន Trend Micro បានកត់សម្គាល់ថា Mustang Panda បន្តវិវឌ្ឍយុទ្ធសាស្ត្រវាយប្រហាររបស់ខ្លួន ដើម្បីគេចពីការរកឃើញ និងប្រើវិធីចម្លងមេរោគ ដែលអនុញ្ញាតឱ្យពួកគេដាក់ពង្រាយតាមតម្រូវការដូចជា PUBLOAD, TONEINS និង TONESHELL ។
ប្រភព ថ្ងៃទី២២ ខែ១១ ឆ្នាំ២០២២
