ក្រុមហេគឃ័រ APT ដែលមានទំនាក់ទំនងជាមួយចិន ទំនងជាបានប្រើ BackdoorDiplomacy វាយប្រហារនៅមជ្ឈឹមបូព៌ា។ សកម្មភាពនេះបានប្រឆាំងនឹងក្រុមហ៊ុនទូរគមនាគមន៍នៅក្នុងតំបន់ កាលពីខែសីហា ឆ្នាំ២០២១ ដោយប្រើ ProxyShell flaws នៅក្នុង Microsoft Exchange Server។ ហេគឃ័របានប្រើការសម្របសម្រួលប្រព័ន្ធគោល២ ជាបច្ចេកទេស side-loading បន្ទាប់មកប្រើឧបករណ៍ចម្រុះ ដើម្បីយកការណ៍ ប្រមូលទិន្នន័យ និងផ្លាស់ទី ថែមទាំងគេចពីការតាមដានទៀត។ អ្នកស្រាវជ្រាវបានថ្លែងថាៈ ដំបូង ហេគឃ័រដាក់ពង្រាយឯកសារអាក្រក់ដូចជា NPS proxy tool និង IRAFAU backdoor។ តាំងពីខែកុម្ភៈ ឆ្នាំ២០២២ មក ហេគឃ័របានប្រើ tool ផ្សេងទៀតដូចជា Quarian backdoor ជាមួយនឹង scanners and proxy/ tunneling tools។
BackdoorDiplomacy ត្រូវបានកត់ត្រាជាលើកដំបូងដោយ ESET កាលពីខែមិថុនា ឆ្នាំ២០២១ នៅក្នុងប្រតិបត្តិការឈ្លានពានលើស្ថាប័នទូត និងក្រុមហ៊ុនទូរគមនាគមន៍ នៅអាព្រិក និងមជ្ឈឹមបូព៌ា តាមរយៈ Quarian (aka Turian or Whitebird)។
ជាងនេះទៀត ហេគឃ័របានប្រើ keylogger និង PowerShell scripts ដើម្បីប្រមូល email content។ មេរោគ IRAFAU ជាអ្នកបញ្ជូនព័ត៌មាន បន្ទាប់ពីទទួលបាន foothold។ ការណ៍នេះត្រូវបានសម្របសម្រួលដោយការដោនឡូត និងអាប់ឡូត ឯកសារពី និងទៅកាន់ម៉ាស៊ីនមេ C2, ដំណើរការ shell ពីចម្ងាយ និងឯកសារតាមចិត្ត។ Backdoor ទី២ ត្រូវបានប្រើ ដើម្បីធ្វើបច្ចុប្បន្នភាព Quarian មានសមត្ថភាពអាចគ្រប់គ្រងម៉ាស៊ីន ដែលបានសម្របសម្រួល។ លើសពីនេះ នៅក្នុងការវាយប្រហារ ហេគឃ័របានប្រើកម្មវិធី open source ដូចជា ToRat (ដើម្បីគ្រប់គ្រងពីចម្ងាយ) និង AsyncRAT។ អ្នកស្រាវជ្រាវបានពន្យល់ថាៈ BackdoorDiplomacy មានលក្ខណៈ overlap នៅក្នុង C2 infrastructure ដែលគេអាចសម្គាល់បានថា មេរោគនេះ ធ្លាប់ត្រូវបានគេប្រើ៕
ប្រែសម្រួលដោយ៖ កញ្ញា
ប្រភពព័ត៌មាន៖ ៦ ធ្នូ ២០២២
