ហេគឃ័ររដ្ឋកូរ៉េខាងជើង មានបំណងវាយប្រហារអ្នកកាសែតកូរ៉េខាងត្បូង តាមរយៈការប្រើប្រាស់កម្មវិធី Android ដែលមានផ្ទុកមេរោគ malware។ បើយោងតាមលទ្ធផលចេញពីបន្ទប់ពិសោធន៍អន្តរមិនស្វែងរកប្រាក់ចំណេញ (no-profit Interlab) ដែលមានមូលដ្ឋាននៅកូរ៉េខាងត្បូងឱ្យដឹងពីមេរោគ RambleOn ថ្មី។ អ្នកស្រាវជ្រាវការគំរាមកំហែង Interlab ថ្លែងនៅក្នុងសប្តាហ៍នេះថា មុខងារមេរោគនេះរួមមាន លទ្ធភាពទម្លាយបញ្ជីទាក់ទង (contact list), សារ SMS, voice call content, ទីតាំង និងព័ត៌មានផ្សេងៗពីម៉ាស៊ីនគោលដៅ។ កម្មវិធីមេរោគបន្លំខ្លួនដូចជាកម្មវិធីជជែកកំសាន្តសុវត្ថិភាពឈ្មោះ Fizzle (ch.seme) ប៉ុន្តែធាតុពិត វាដើរតួជាអ្នកជញ្ជូនបន្ទុកដំណាក់បន្ទាប់ (next-stage payload) ដែលបង្ហោះនៅលើសេវារក្សាទុកទិន្នន័យ pCloud និង Yandex។
កម្មវិធីជជែកកំសាន្តបន្លំនេះផ្ញើឯកសារ Android Package (APK) ទៅកម្មវិធីជជែកកំសាន្ត WeChat ដើម្បីតម្រង់ទៅអ្នកកាសែតកាលពីខែឆ្នូ ឆ្នាំ២០២២ នៅក្រោមហេតុផលចង់ពិភាក្សារឿងព័ត៌មានរសើប។ គោលបំណងនៃមេរោគ RableOn បឋមគឺដើម្បីផ្ទុកឯកសារ APK (com.data.WeCoin) ផ្សេងទៀត ខណៈមានការស្នើសុំលួចប្រមូលឯកសារ, ដំណើរការ call logs, ស្ទាក់ចាប់សារ SMS, ថតសម្លេង (audio) និងទិន្នន័យទីតាំង។
បន្ទាប់មក បន្ទុក (payload) ត្រូវបង្កើតឡើងដើម្បីផ្តល់ឆានែលជំនួស (alternative) សម្រាប់ដំណើរការឧបករណ៍ Android ដែលឆ្លងមេរោគ តាមរយៈការប្រើ Firebase Cloud Messaging (FCM) ជាយន្តការបញ្ជា និងគ្រប់គ្រង (C2)។ អ្នកស្រាវជ្រាវនៅ Interlab ថ្លែងថា វាកំណត់ភាពដូចគ្នានៅក្នុងតួនាទី FCM រវាងមេរោគ RambleOn និង FastFire គឺជាប្រភេទកម្មវិធីមេរោគដែលចែកចាយទៅកាន់ក្រុមហេគឃ័រកូរ៉េខាងជើង Kimsuky កាលពីឆ្នាំមុន។ ជាងនេះទៀត អ្នកស្រាវជ្រាវថ្លែងថា ជនរងគ្រោះនៃព្រឹត្តិការណ៍នេះទំនងជាពាក់ព័ន្ធជាមួយនឹងក្រុម APT37 និង Kimsuky បើតាមការចង្អុលបង្ហាញពីអតីតអ្នកប្រើសេវារក្សាទុកទិន្នន័យ pCloud និង Yandex សម្រាប់ការបញ្ជូនបន្ទុក និង ការបញ្ជានិងគ្រប់គ្រង៕
ប្រែសម្រួលដោយ៖ កញ្ញា
