យុទ្ធនាការវាយប្រហារសាយប័រត្រូវគេរកឃើញថាកំណត់គោលដៅទៅលើបុគ្គលទាំងឡាយណានៅក្នុង ប្រទេសចិន និងប្រទេសជប៉ុន ដែលបង្ហាញចំណាប់អារម្មណ៍ របស់ពួកគេនៅក្នុងប្រទេសកូរ៉េខាងជើង។ អ្នកវាយប្រហារថែមទាំងកំពុងចែកចាយទ្វារក្រោយ តាមរយៈបច្ចេកទេសវាយប្រហារ watering hole។ ដោយផ្អែកលើ modus operandi ដែលជារចនាសម្ព័ន្ធដែលត្រូវប្រើប្រាស់ និងរចនាសម្ព័ន្ធរងគ្រោះ យុទ្ធនាការនេះត្រូវសន្មតថាជាក្រុមគំរាមកំហែង Earth Kitsune។
បើយោងតាមប្រភព Trend Micro ឱ្យដឹងថា អ្នកវាយប្រហារសម្របសម្រួលលើវេបសាយរបស់អង្គភាពគាំទ្រកូរ៉េខាងជើង ហើយកែប្រែវេបសាយទាំងនោះដើម្បីចែកចាយមេរោគដែលត្រូវគេហៅថា WhiskerSpy។ នៅពេលដែលអ្នកប្រើប្រាស់ចូលមើលវេបសាយ និងបើកវីដេអូមើល វានឹងបង្ហាញថាគាំង និងស្នើឱ្យអ្នកប្រើប្រាស់ដំឡើង codec វីដេអូ ដើម្បីបើកវីដេអូមើលបន្ត។ កម្មវិធីដំឡើង codec មានមេរោគសម្របសម្រួល codec វីដេអូគោលដៅជាមួយនឹងទ្វាក្រោយ WhiskerSpy។ ទ្វាក្រោយ WhiskerSpy ដែលជាបន្ទុកសំខាន់អនុញ្ញាតិឱ្យប្រតិបត្តិកររបស់ខ្លួនអនុវត្តសកម្មភាពជាច្រើនពីចម្ងាយនៅលើម៉ាស៊ីនដែលមានមេរោគ។
លើសពីនេះដើម្បីអាចសំងំនៅក្នុងប្រព័ន្ធ អ្នកវាយប្រហារបំពានលើម៉ាស៊ីនផ្ញើសារដើមរបស់ Google Chrome និងដំឡើង extension មេរោគដែលមានឈ្មោះថា Google Chrome Helper ទៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។ វេបសាយមេរោគត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីកំណត់គោលដៅតែលើអ្នកទស្សនាប៉ុណ្ណោះជាមួយនឹងអាសយដ្ឋាន IP ដែលត្រូវគ្នាជាមួយនឹងអាសយដ្ឋាន IP ពិតប្រាកដ។ វេបសាយទាំងនោះត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីកំណត់គោលដៅទៅលើបណ្តាញរងអាសយដ្ឋាន IP ដែលមានទីតាំងនៅទីក្រុងស្ហិនយ៉ាងនៃប្រទេសចិន និងទីក្រុងណាហ្គូយ៉ានៃប្រទេសជប៉ុន និងបណ្តាញរងដែលមានទីតាំងនៅប្រទេសប្រេស៊ីល។ បណ្តាញរងអាសយដ្ឋាន IP របស់ប្រទេសប្រេស៊ីល ជាកម្មសិទ្ធិរបស់សេវាកម្ម VPN ពាណិជ្ជកម្មនៅក្នុងប្រទេសប្រេស៊ីល ដែលសង្ស័យថាត្រូវប្រើសម្រាប់តែការសាកល្បងការវាយប្រហារដោយប្រើបច្ចេកទេស watering hole របស់ពួកគេប៉ុណ្ណោះ។
ចំណែកឯ WhiskerSpy អនុញ្ញាតិឱ្យមានការទាញចូល ទាញយក ស្កេន លុបហ្វាល ថតស្គ្រីន ដំណើរការ shell ឱ្យមានអន្តរកម្ម និងសកម្ម និងបញ្ចូល shellcode ទៅក្នុងដំណើរការដែលកំពុងធ្វើបតិបត្តិការ។ វាមានអន្តរកម្មយ៉ាងទៀងទាត់ជាមួយម៉ាស៊ីន C2 sever តាមរយៈសោ AES 16-byte សម្រាប់ការអ៊ិនគ្រីប ជាកន្លែងដែលវាត្រូវធ្វើបច្ចុប្បន្នភាពលើស្ថានភាពរបស់វា និងទទួលការណែនាំសម្រាប់សកម្មភាពបន្ត។
បន្ថែមលើសពីនេះទៅទៀត អ្នកស្រាវជ្រាវរកឃើញកំណែចាស់នៃមេរោគនេះ ដែលអាចអាចសាកល្បងវត្តមានរបស់ Debugger នៅលើម៉ាស៊ីនគោលដៅ។ វាប្រើប្រាស់ FTP protocol ជំនួសឱ្យ HTTP។ នេះមានន័យថា ដើម្បីអនុញ្ញាតិឱ្យមានការទំនាក់ទំនងគ្នានោះ ឈ្មោះអ្នកប្រើប្រាស់ និងលេខកូដ FTP ត្រូវតែជាប្រភេទ hardcoded នៅក្នុងកម្មវិធី។
ដោយពុំមានការផ្តល់ព័ត៌មានលម្អិតច្រើន គោលបំណងរបស់ក្រុមគំរាមកំហែង Earth Kitsune គឺមិនទាន់ច្បាស់លាស់នៅឡើយ ប៉ុន្តែវាមានសមត្ថភាពគ្រប់គ្រាន់ក្នុងការដើម្បីបង្កើតឧបករណ៍ផ្ទាល់ខ្លួន រួមទាំងការបង្កើតទ្វាក្រោយ WhiskerSpy។ ដើម្បីការពារខ្លួនប្រឆាំងនឹងការគំរាមកំហែងប្រកបដោយជំនាញ និងគោលដៅបែបនេះ អង្គភាពនានាគឺត្រូវតែអនុវត្តវិធានការណ៍សុវត្ថិភាពពហុស្រទាប់ឆ្លងកាត់ចំណុចបញ្ចប់ទាំងអស់(endpoints) ម៉ាស៊ីនមេ បណ្តាញ និងអ៊ីម៉េល និងប្រើប្រាស់វេទិកា Intel ដោះស្រាយបញ្ហាគំរាមកំហែងកម្រិតខ្ពស់ម្រាប់ការគំរាមកំហែងតាមពេលវេលាជាក់ស្តែង៕
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
