ក្រុមចារកម្ម Bitter APT កំណត់គោលដៅលើក្រុមហ៊ុនថាមពលនុយក្លេអ៊ែរនៅក្នុងប្រទេសចិន

0

គេសង្កេតឃើញថា  ក្រុមចារកម្ម Bitter APT ដែលកំណត់គោលដៅទៅលើវិស័យថាមពល និងរដ្ឋាភិបាលនៅអាស៊ីខាងត្បូង និងអាស៊ីអាគ្នេយ៍  ​​ធ្វើ​យុទ្ធនាការ​ថ្មីៗ​ដែល​ផ្តោតទៅ​លើ​ស្ថាប័នសំខាន់ៗនៅ​ក្នុង​ប្រទេស​ចិន។ TTPs មានភាពស៊ីសង្វាក់គ្នាជាមួយនឹងការវាយប្រហារកន្លងមក ដោយមានទាំងអ៊ីមែលបន្លំជាមួយនឹងឯកសារភ្ជាប់ Excel និង Compiled HTML Help (CHM) ។

ការកំណត់គោលដៅទៅលើក្រុមហ៊ុននុយក្លេអ៊ែរ

អ្នកស្រាវជ្រាវ Intezer រាយការណ៍ថា ការ​វាយ​ប្រហារ​នេះ​ចាប់​ផ្ដើម​ដោយ​អ៊ីមែល​ក្លែងក្លាយ​ផ្ញើ​ទៅ​ក្រុមហ៊ុន​ថាមពល​នុយក្លេអ៊ែរ និង​អ្នក​សិក្សា​នានា​ក្នុង​ប្រទេស​ចិន ដោយ​ធ្វើ​ពុត​ជា​ផ្ញើ​ដោយ​ស្ថានទូត​កៀហ្ស៊ីស៊ីស្ថាន​ក្នុង​ទីក្រុង​ប៉េកាំង។ ម៉េលនោះលើកនិយាយអំពីការអញ្ជើញឱ្យទៅចូលរួមក្នុងសន្និសីទទាក់ទងនឹងថាមពលនុយក្លេអ៊ែរ ដែលធ្វើឡើងដោយទីភ្នាក់ងារថាមពលអាតូមិកអន្តរជាតិ (IAEA) វិទ្យាស្ថានសិក្សាអន្តរជាតិចិន (CIIS) និងស្ថានទូតកៀហ្ស៊ីស្ថាន។ នៅក្នុងអ៊ីមែលនោះមានភ្ជាប់មកជាមួយឈ្មោះមន្ត្រីពិតប្រាកដមកពីក្រសួងការបរទេសកៀហ្ស៊ីស៊ីស្ថាន ដើម្បីធ្វើឱ្យវាមើលទៅមានភាពស្របច្បាប់។ អ៊ីមែលជំរុញឱ្យអ្នកប្រើប្រាស់ទាញយកឯកសារហ្វាល RAR ដែលភ្ជាប់មកជាមួយកាតអញ្ជើញសម្រាប់សន្និសីទ។ ទោះយ៉ាងណាក៏ដោយ វាមានឯកសារ Excel ព្យាបាទ ឬ CHM ។

ដំណើរការវាយប្រហារ

ឯកសារ Excel ឬ CHM ព្យាបាទមានគោលបំណងបង្កើតភាពធន់ និងទាញយកបន្ទុកបន្ថែមលើម៉ាស៊ីនដែលមានមេរោគ។ ឯកសារ Excel មានកម្មវិធីនិពន្ធសមីការកេងប្រវ័ញ្ច។ នៅពេលប្រតិបត្តិ វាបង្កើតកិច្ចការដែលគ្រោងទុកចំនួនពីរ ដើម្បីដំណើរការរៀងរាល់ 15 នាទីម្តង ហើយទាញយកដំណាក់កាលបន្ទាប់ EXE payload តាមរយៈ curl។ ឯកសារ CHM ត្រូវប្រើដើម្បីប្រតិបត្តិកូដបំពាន។ វាត្រូវប្រើដើម្បីបង្កើតកិច្ចការដែលកំណត់ពេលដើម្បីដំណើរការ msiexec ក្នុងការទាញយកបន្ទុក MSI ពីចម្ងាយពី C2 និងប្រតិបត្តិវា។ បំរែបំរួលនៃបន្ទុកឯកសារ CHM ប្រើពាក្យបញ្ជា PowerShell កូដក្នុងមុខងារកំណត់ពេលដូចគ្នានេះសកម្មភាពមិនច្បាស់។

ទោះបីជាអ្នកស្រាវជ្រាវមិនអាចចាប់យកបន្ទុកជាក់ស្តែងដែលប្រើសម្រាប់ការវាយប្រហារដំណាក់កាលទី 2 ក៏ដោយ វាត្រូវគេសង្ស័យថាជា keyloggers, info-stealers ឬ RATs ដូចដែលត្រូវប្រើក្នុងការវាយប្រហារពីមុនដោយ Bitter APT ។

សរុបមក Bitter APT ប្រើយុទ្ធសាស្ត្រវាយប្រហារស្រដៀងគ្នា រួមមានទាំងអ៊ីមែលបន្លំ អស់រយៈពេលជាច្រើនឆ្នាំ។ ដូច្នេះ អង្គភាពពាក់ព័ន្ធនៅអាស៊ីប៉ាស៊ីហ្វិកត្រូវស្នើឱ្យបន្តរក្សាការប្រុងប្រយ័ត្ននៅពេលទទួលអ៊ីមែលពីអង្គភាពដែលមិនស្គាល់ និងពិនិត្យមើលសុពលភាពរបស់អ្នកផ្ញើពីរដងមុនពេលបើកមែលមើល។លើសពីនេះ ស្ថាប័ននានាមិនគួរប្រើប្រាស់ឯកសារ CHM ជាទូទៅនោះទេ ហើយគួរចៀសវាងការប្រើវា។ យុទ្ធសាស្ត្រទាំងអស់ដែលប្រើក្នុងការវាយប្រហារ APT ត្រូវគេស្គាល់ច្បាស់ ហើយអាចត្រូវទប់ស្កាត់ដោយការយល់ដឹងត្រឹមត្រូវអំពីរបត់បច្ចុប្បន្ន៕

ប្រភព cyware ចុះផ្សាយថ្ងៃទី៣០ ខែមីនា ឆ្នាំ២០២៣

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Disney ស៊ើបអង្កេតលើការលេចធ្លាយសារផ្ទៃក្នុង (Internal Messages)

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហាងថ្នាំ Rite Aid ពោលថា ការបំពានទិន្នន័យកាលពីខែមិថុនា បានប៉ះពាល់ដល់មនុស្ស ២,២លាននាក់

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត SEXi ប្តូរឈ្មោះទៅ APT INC ហើយបន្តវាយប្រហារលើ VMwar ESXi

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការផ្សាយពាណិជកម្ម Facebook ទាក់ទងនឹង Windows Desktop Themes ជាការបន្លំដើម្បីចម្លងមេរោគលួចយកព័ត៌មាន

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Kaspersky សាខានៅអាមេរិក កំពុងតែត្រៀមបិទទ្វារ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បង្កើនប្រាក់រង្វាន់រហូតដល់ទៅ ៥ដង សរុបចំនួន ១៥១ពាន់ដុល្លារ

LEAVE A REPLY

Please enter your comment!
Please enter your name here