ក្រុមហេគឃ័រ MirrorFace សាយប័រ វាយប្រហារលើ ស្ថាប័ននយោបាយជប៉ុន

0

ហេគឃ័រប្រើភាសាចិន (APT) មានឈ្មោះហៅថា MirrorFace បានចែកចាយសកម្មភាព spear-phishing ទៅកាន់ស្ថាប័នជប៉ុន។ ESET បានហៅឈ្មោះសកម្មភាពនោះថា Operation LiberalFace  មានបំណងសំដៅលើសមាជិកនៃគណបក្សនយោបាយនៅក្នុងប្រទេស មានគោលដៅបញ្ជូនមេរោគ​ LODEINFO និង លួចអត្តសញ្ញាណឈ្មោះ MirrorStealer។ ក្រុមហ៊ុនសុវត្ថិភាព Slovak បានថ្លែងថាៈ ប្រតិបត្តិការនេះ បានចាប់ផ្តើមប្រហែលជាង ១សប្តាហ៍ នៅក្នុងការបោះឆ្នោតសភាជប៉ុន ដែលប្រព្រឹត្តិទៅកាលពីថ្ងៃទី១០ ខែកក្កដា ឆ្នាំ២០២២។ អ្នកស្រាវជ្រាវ ESET បានបន្ថែមថាៈ ហេគឃ័រប្រើ មេរោគ LODEINFO​ សម្រាប់បញ្ជូនមេរោគ malware បន្ថែម, លួចអត្តសញ្ញាណជនរងគ្រោះ និងលួចឯកសារ និងអុីម៉ែលជនរងគ្រោះ។

ហេគឃ័រ MirrorFace ចែករំលែក overlaps ជាមួយហេគឃ័រផ្សេងដែលមាន tracked ដូចជា APT10 (aka Bronze Riverside, and Potassium) និងធ្លាប់មានប្រវត្តិជាក្រុមហ៊ុន និងអង្គភាព ដែលមានទីតាំងនៅប្រទេសជប៉ុន។ កាន់តែលម្អិតជាងនេះទៀត របាយការណ៍មកពី Kaspersky ចេញកាលពីខែតុលា ឆ្នាំ២០២២ បានឱ្យដឹងថាៈ មេរោគ LODEINFO ឆ្លងចូលទៅ ប្រព័ន្ធផ្សព្វផ្សាយ, ទូត, អង្គភាពរដ្ឋនិងឯកជន និង Stone Panda នៅជប៉ុន។

ទោះជាយ៉ាងណា ESET បានពោលថាៈ វាមិនទាន់រកឃើញភស្តុតាង បង្ហាញពីការវាយប្រហាររបស់ក្រុម APT នេះទេ។ ប៉ុន្តែ វាពណ៌នាថាមេរោគ LODEINFO ជា “ទ្វារក្រោយសំខាន់ (flagship backdoor)” ដែលប្រើដោយ MirrorFace។ អុីម៉ែលបោកបញ្ឆោត (spear-phishing) ដែលបានផ្ញើចេញកាលពីខែមិថុនា ឆ្នាំ២០២២ ចេញមកពីនាយកដ្ឋាន PR របស់គណបក្សនយោបាយ ហើយបានបញ្ចុះបញ្ចូលឱ្យអ្នកទទួលសារ ចែករំលែកវីដេអូនៅលើ profiles ប្រព័ន្ធផ្សព្វផ្សាយសង្គមរបស់ពួកគេអំពី “ជ័យជំនះ” នៅក្នុងការបោះឆ្នោត។ ប៉ុន្តែ វីដេអូជាប្រភេទ WinRAR archives ដែលត្រូវបានបង្កើតឡើង ដើម្បីពង្រាយមេរោគ​ LODEINFO នៅលើម៉ាស៊ីនដែលបានសម្របសម្រួល និងអាចទាញយក screenshots, កត់ត្រាការចុច (logging keystrokes), kill processes, ទាញយកឯកសារ និងប្រតិបត្តិឯកសារ និងពាក្យបញ្ជាបន្ថែម។

នៅក្នុងការលួច MirrorStealer មានលួចយកលេខសម្ងាត់ពី browser និងអុីម៉ែលអតិថិជន ដូចជា Becky ដែលពេញនិយមប្រើនៅប្រទេសជប៉ុន។ អ្នកស្រាវជ្រាវបានពន្យល់ថាៈ នៅពេល MirrorStealer ប្រមូល និងរក្សាទុក អត្តសញ្ញាណនោះ អ្នកប្រតិបត្តិការប្រើ LODEINFO ដើម្បីច្រោះយកអត្តសញ្ញាណ។

ESET បានថ្លែងថាៈ ក្រុមហេគឃ័រ MirrorFace មានបំណងវាយប្រហារលើអ្នកល្បីល្បាញ។ នៅក្នុងប្រតិបត្តិការ LiberalFace វាផ្តោតលើស្ថាប័ននយោបាយ និងប្រើព្រឹត្តិការណ៍បោះឆ្នោតសភាខាងមុខ ដើម្បីជាប្រយោជន៍៕

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៥ ខែធ្នូ ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគ Android Trojan ថ្មីឈ្មោះ SoumniBIt អាចគេចពីការតាមចាប់ដោយប្រើល្បិចដ៏ឆ្លាតវៃ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហេគឃ័ររុស្ស៊ីបានសារភាពចំពោះការវាយប្រហារលើប្រព័ន្ធផ្គត់ផ្គង់ទឹកអាមេរិក បារាំង និងប៉ូឡូញ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមចែកចាយមេរោគ Daixin ransomware អះអាងថាវាយប្រហារទៅលើសណ្ឋាគារ Omni Hotels

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Palo Alto Networks ជួសជុលទៅលើចន្លោះប្រហោង 0-Day ទៅលើ firewalls

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បន្ថែមប្រព័ន្ធការពារ V8 Sandbox សម្រាប់ទប់ស្កាត់ការវាយប្រហារ Browser

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រសួងសុខាភិបាលអាមេរិកព្រមានមន្ទីរពេទ្យពីក្រុមហេគឃ័រដាក់គោលដៅលើបុគ្គលិកបម្រើសេវាអតិថិជន

LEAVE A REPLY

Please enter your comment!
Please enter your name here