ការវាយប្រហារ WIP26 Espionage កំណត់គោលដៅលើអ្នកផ្តល់ សេវាទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ា

0

អ្នកស្រាវជ្រាវជាច្រើនរកឃើញសំណុំនៃសកម្មភាពសាយប័រដែលគេស្គាល់ថាជាក្រុម គំរាមកំហែងWIP26 ដែលកំណត់គោលដៅទៅលើ​អ្នកផ្តល់សេវាទូរគមនាគមន៍នៅមជ្ឈិមបូព៌ា។ រឿងចម្លែកអំពីចង្កោមសកម្មភាពនេះគឺការពឹងផ្អែកខ្លាំងលើហេដ្ឋារចនាសម្ព័ន្ធ Cloud រាប់បញ្ចូលទាំង Microsoft Azure, Microsoft 365 Mail, Google Firebase, និង Dropbox សម្រាប់ការទាញយកទិន្ន័យ ដឹកជញ្ចូនមេរោគ និងគ្រប់គ្រងលើម៉ាស៊ីន C2។

ការសិក្សារួមគ្នាអំពីមេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធដែលប្រើប្រាស់ដោយក្រុមគំរាមកំហែង WIP26 បង្ហាញឱ្យដឹងថា វា​គឺ​ជា​បេសកកម្ម​ប្រមូល​ព័ត៌មានចារកម្ម​ជាមួយនឹងការប៉ុនប៉ងប្រើប្រាស់ចរាចរណ៍បណ្តាញពីសេវាកម្ម cloud ស្របច្បាប់ និងលាក់ខ្លួននៅពីក្រោយសេវានោះ។

ការវាយប្រហារចាប់ផ្តើមជាមួយកម្មវិធីផ្ញើសារ WhatsApp ដែលផ្ញើទៅបុគ្គលិករបស់អង្គភាពគោលដៅ។ នៅក្នុងសារនោះមាន Dropbox ភ្ជាប់ទៅកាន់ archive file ដែលក្លែងធ្វើជាឯកសារស្តីពីបញ្ហាទាក់ទងនឹងភាពក្រីក្រនៅមជ្ឈិមបូព៌ា។ ឯកសារ archive មានផ្ទុកឯកសារនោះ និងឯកសារផ្ទុកមេរោគ (PDFelement.exe) ដែលក្លែងបន្លំជាកម្មវិធី PDFelement។ ឧបករណ៍ផ្ទុកមេរោគនេះត្រូវរចនាឡើងដើម្បីទម្លាក់ទ្វាក្រោយ (backdoors) ដែលបង្កើតដោយខ្លួនឯងរួមមាន CMD365 និង CMDEmber ។

អ្នកស្រាវជ្រាវរកឃើញគម្រូទ្វាក្រោយ CMD365 និង CMDEmber  ដែលបំពានលើ Google Firebase និង Microsoft 365 Mail សម្រាប់ម៉ាស៊ីន C2 និងបំពានពាក្យបញ្ជាដែលទទួលពីអ្នកវាយប្រហារនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល។ ទ្វាក្រោយ CMD365 គឺជា.NET មួយ ដែលអាចប្រតិបត្តិ ដោយវាធ្លាប់មានឈ្មោះថាជា Update.exe ដែលធ្លាប់បន្លំធ្វើជាកម្មវិធី Postman ពិតយប្រាកដ។ វាបង្កើតប្រតិទិនសកម្មភាពនៅលើប្រព័ន្ធឆ្លងមេរោគដើម្បីប្រាកដថាវាអាចបន្តបំពាន។  បន្ថែមលើសពីនេះ វា​មាន​សមត្ថភាព​ក្នុង​ការទាញយក​ទិន្នន័យ ការ​បង្កើន​សិទ្ធិ ការ​ឈ្លបយកការណ៍ និង​ដំណើរការ​មេរោគ​បន្ថែម។

ចំណែកឯទ្វាក្រោយ CMD365  គឺជា .NET មួយផ្សេងទៀត ដែលអាចប្រតិបត្តិ ដោយវាធ្លាប់មានឈ្មោះថាជា Launcher.exe ដែលក្លែងបន្លំធ្វើជា Opera browser។ វាប្រើ          បណ្ណាល័យ Firebase ប្រភពបើកចំហដើម្បីធ្វើអន្តរកម្មជាមួយ Google Firebase តាមរយៈសំណើ HTTP។ វាលួចទិន្ន័យ browser ឯកជន និងព័ត៌មានសម្ងាត់របស់ម៉ាស៊ីនគោលដៅដែលមានតម្លៃខ្ពស់។ ទិន្ន័យនេះត្រូវបញ្ជូនទៅកាន់ Azure ដែលត្រូវគ្រប់គ្រងដោយគោលដៅតាមរយៈពាក្យបញ្ជា PowerShell ។

គួរបញ្ជាក់ផងដែរ  ការវាយប្រហារ Espionage ទៅលើអង្គភាពនៅប្រទេសមជ្ឈិមបូព៌ាមិនមែនជារឿងថ្មីនោះទេ។ ទោះបីជាយ៉ាងណាក៏ដោយ អ្វី​ដែលខុសពីការវាយប្រហារមុន​គឺ​ការពឹងផ្អែកយ៉ាងខ្លាំងលើ​ហេដ្ឋារចនាសម្ព័ន្ធ cloud ​សាធារណៈ​ដោយក្រុមគំរាមកំហែង WIP26 ដែលបង្ហាញថាពួកគេចង់ធ្វើការវាយប្រហារដោយមិនលើកទង់ក្រហមនោះទេ។ សម្រាប់ការការពារប្រឆាំងនឹងការវាយប្រហារដ៏ទំនើបបែបនេះ អ្នកស្រាវជ្រាវស្នើឱ្យអ្នកប្រើប្រាស់ធ្វើបច្ចុប្បន្នភាពជាមួយនឹងសកម្មភាពអ៊ីនធឺរណិតចុងក្រោយបំផុតនៅទូទាំងវិស័យនេះ  និងប្រើប្រាស់វេទិកាស៊ើបការណ៍សម្ងាត់ពីការគំរាមកំហែងដែលបំពេញតម្រូវការរបស់អ្នក៕

ប្រែសម្រួល៖ប៉ោក លក្ខិណា

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Disney ស៊ើបអង្កេតលើការលេចធ្លាយសារផ្ទៃក្នុង (Internal Messages)

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហាងថ្នាំ Rite Aid ពោលថា ការបំពានទិន្នន័យកាលពីខែមិថុនា បានប៉ះពាល់ដល់មនុស្ស ២,២លាននាក់

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត SEXi ប្តូរឈ្មោះទៅ APT INC ហើយបន្តវាយប្រហារលើ VMwar ESXi

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការផ្សាយពាណិជកម្ម Facebook ទាក់ទងនឹង Windows Desktop Themes ជាការបន្លំដើម្បីចម្លងមេរោគលួចយកព័ត៌មាន

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Kaspersky សាខានៅអាមេរិក កំពុងតែត្រៀមបិទទ្វារ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បង្កើនប្រាក់រង្វាន់រហូតដល់ទៅ ៥ដង សរុបចំនួន ១៥១ពាន់ដុល្លារ

LEAVE A REPLY

Please enter your comment!
Please enter your name here