ការវាយប្រហារ WIP26 Espionage កំណត់គោលដៅលើអ្នកផ្តល់ សេវាទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ា

0

អ្នកស្រាវជ្រាវជាច្រើនរកឃើញសំណុំនៃសកម្មភាពសាយប័រដែលគេស្គាល់ថាជាក្រុម គំរាមកំហែងWIP26 ដែលកំណត់គោលដៅទៅលើ​អ្នកផ្តល់សេវាទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ា។ រឿងចម្លែកអំពីចង្កោមសកម្មភាពនេះគឺការពឹងផ្អែកខ្លាំងលើហេដ្ឋារចនាសម្ព័ន្ធ Cloud រាប់បញ្ចូលទាំង Microsoft Azure, Microsoft 365 Mail, Google Firebase, និង Dropbox សម្រាប់ការទាញយកទិន្ន័យ ដឹកជញ្ចូនមេរោគ និងគ្រប់គ្រងលើម៉ាស៊ីន C2។

ការសិក្សារួមគ្នាអំពីមេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធដែលប្រើប្រាស់ដោយក្រុមគំរាមកំហែង WIP26 បង្ហាញឱ្យដឹងថា វា​គឺ​ជា​បេសកកម្ម​ប្រមូល​ព័ត៌មានចារកម្ម​ជាមួយនឹងការប៉ុនប៉ងប្រើប្រាស់ចរាចរណ៍បណ្តាញពីសេវាកម្ម cloud ស្របច្បាប់ និងលាក់ខ្លួននៅពីក្រោយសេវានោះ។

ការវាយប្រហារចាប់ផ្តើមជាមួយកម្មវិធីផ្ញើសារ WhatsApp ដែលផ្ញើទៅបុគ្គលិករបស់អង្គភាពគោលដៅ។ នៅក្នុងសារនោះមាន Dropbox ភ្ជាប់ទៅកាន់ archive file ដែលក្លែងធ្វើជាឯកសារស្តីពីបញ្ហាទាក់ទងនឹងភាពក្រីក្រនៅមជ្ឈិមបូព៌ា។ ឯកសារ archive មានផ្ទុកឯកសារនោះ និងឯកសារផ្ទុកមេរោគ (PDFelement.exe) ដែលក្លែងបន្លំជាកម្មវិធី PDFelement។ ឧបករណ៍ផ្ទុកមេរោគនេះត្រូវរចនាឡើងដើម្បីទម្លាក់ទ្វាក្រោយ (backdoors) ដែលបង្កើតដោយខ្លួនឯងរួមមាន CMD365 និង CMDEmber ។

អ្នកស្រាវជ្រាវរកឃើញគម្រូទ្វាក្រោយ CMD365 និង CMDEmber  ដែលបំពានលើ Google Firebase និង Microsoft 365 Mail សម្រាប់ម៉ាស៊ីន C2 និងបំពានពាក្យបញ្ជាដែលទទួលពីអ្នកវាយប្រហារនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល។ ទ្វាក្រោយ CMD365 គឺជា.NET មួយ ដែលអាចប្រតិបត្តិ ដោយវាធ្លាប់មានឈ្មោះថាជា Update.exe ដែលធ្លាប់បន្លំធ្វើជាកម្មវិធី Postman ពិតយប្រាកដ។ វាបង្កើតប្រតិទិនសកម្មភាពនៅលើប្រព័ន្ធឆ្លងមេរោគដើម្បីប្រាកដថាវាអាចបន្តបំពាន។  បន្ថែមលើសពីនេះ វា​មាន​សមត្ថភាព​ក្នុង​ការទាញយក​ទិន្នន័យ ការ​បង្កើន​សិទ្ធិ ការ​ឈ្លបយកការណ៍ និង​ដំណើរការ​មេរោគ​បន្ថែម។

ចំណែកឯទ្វាក្រោយ CMD365  គឺជា .NET មួយផ្សេងទៀត ដែលអាចប្រតិបត្តិ ដោយវាធ្លាប់មានឈ្មោះថាជា Launcher.exe ដែលក្លែងបន្លំធ្វើជា Opera browser។ វាប្រើ          បណ្ណាល័យ Firebase ប្រភពបើកចំហដើម្បីធ្វើអន្តរកម្មជាមួយ Google Firebase តាមរយៈសំណើ HTTP។ វាលួចទិន្ន័យ browser ឯកជន និងព័ត៌មានសម្ងាត់របស់ម៉ាស៊ីនគោលដៅដែលមានតម្លៃខ្ពស់។ ទិន្ន័យនេះត្រូវបញ្ជូនទៅកាន់ Azure ដែលត្រូវគ្រប់គ្រងដោយគោលដៅតាមរយៈពាក្យបញ្ជា PowerShell ។

គួរបញ្ជាក់ផងដែរ  ការវាយប្រហារ Espionage ទៅលើអង្គភាពនៅប្រទេសមជ្ឈិមបូព៌ាមិនមែនជារឿងថ្មីនោះទេ។ ទោះបីជាយ៉ាងណាក៏ដោយ អ្វី​ដែលខុសពីការវាយប្រហារមុន​គឺ​ការពឹងផ្អែកយ៉ាងខ្លាំងលើ​ហេដ្ឋារចនាសម្ព័ន្ធ cloud ​សាធារណៈ​ដោយក្រុមគំរាមកំហែង WIP26 ដែលបង្ហាញថាពួកគេចង់ធ្វើការវាយប្រហារដោយមិនលើកទង់ក្រហមនោះទេ។ សម្រាប់ការការពារប្រឆាំងនឹងការវាយប្រហារដ៏ទំនើបបែបនេះ អ្នកស្រាវជ្រាវស្នើឱ្យអ្នកប្រើប្រាស់ធ្វើបច្ចុប្បន្នភាពជាមួយនឹងសកម្មភាពអ៊ីនធឺរណិតចុងក្រោយបំផុតនៅទូទាំងវិស័យនេះ  និងប្រើប្រាស់វេទិកាស៊ើបការណ៍សម្ងាត់ពីការគំរាមកំហែងដែលបំពេញតម្រូវការរបស់អ្នក៕

ប្រែសម្រួល៖ប៉ោក លក្ខិណា

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

សាជីវកម្ម Halliburton ខាតបង់ប្រាក់ ៣៥លានដុល្លារ បន្ទាប់ពីការវាយប្រហារដោយមេរោគចាប់ជម្រិត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ផ្លេតហ្វម Roblox បានដាក់ចេញនូវមុខងារសុវត្ថិភាពថ្មីសម្រាប់ក្មេងក្រោម ១៣ឆ្នាំ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ជនខិលខូចមានគោលដៅលើពលរដ្ឋវ័យចំណាស់អង់គ្លេស ជាមួយការទូទាត់ថ្លៃប្រេងរដូវរងា

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

រដ្ឋាភិបាលកាណាដាបញ្ជាឱ្យក្រុមហ៊ុនតិកតុកបិទទ្វារ ដោយសារព្រួយបារម្ភពីហានិភ័យជាតិ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប្រព័ន្ធតុលាការរដ្ឋ Washington ដាក់ឱ្យប្រើប្រាស់ Offline ក្រោយពីមានការវាយប្រហារសាយប័រនៅចុងសប្តាហ៍

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប្រទេសអាឡឺម៉ង់រៀបចំសេចក្តីព្រាងច្បាប់សម្រាប់ការពារអ្នកស្រាវជ្រាវក្នុងការស្វែងរកបញ្ហាសុវត្ថិភាព (Security Flaws)

LEAVE A REPLY

Please enter your comment!
Please enter your name here