ក្រុមចារកម្ម Bitter APT កំណត់គោលដៅលើក្រុមហ៊ុនថាមពលនុយក្លេអ៊ែរនៅក្នុងប្រទេសចិន

0

គេសង្កេតឃើញថា  ក្រុមចារកម្ម Bitter APT ដែលកំណត់គោលដៅទៅលើវិស័យថាមពល និងរដ្ឋាភិបាលនៅអាស៊ីខាងត្បូង និងអាស៊ីអាគ្នេយ៍  ​​ធ្វើ​យុទ្ធនាការ​ថ្មីៗ​ដែល​ផ្តោតទៅ​លើ​ស្ថាប័នសំខាន់ៗនៅ​ក្នុង​ប្រទេស​ចិន។ TTPs មានភាពស៊ីសង្វាក់គ្នាជាមួយនឹងការវាយប្រហារកន្លងមក ដោយមានទាំងអ៊ីមែលបន្លំជាមួយនឹងឯកសារភ្ជាប់ Excel និង Compiled HTML Help (CHM) ។

ការកំណត់គោលដៅទៅលើក្រុមហ៊ុននុយក្លេអ៊ែរ

អ្នកស្រាវជ្រាវ Intezer រាយការណ៍ថា ការ​វាយ​ប្រហារ​នេះ​ចាប់​ផ្ដើម​ដោយ​អ៊ីមែល​ក្លែងក្លាយ​ផ្ញើ​ទៅ​ក្រុមហ៊ុន​ថាមពល​នុយក្លេអ៊ែរ និង​អ្នក​សិក្សា​នានា​ក្នុង​ប្រទេស​ចិន ដោយ​ធ្វើ​ពុត​ជា​ផ្ញើ​ដោយ​ស្ថានទូត​កៀហ្ស៊ីស៊ីស្ថាន​ក្នុង​ទីក្រុង​ប៉េកាំង។ ម៉េលនោះលើកនិយាយអំពីការអញ្ជើញឱ្យទៅចូលរួមក្នុងសន្និសីទទាក់ទងនឹងថាមពលនុយក្លេអ៊ែរ ដែលធ្វើឡើងដោយទីភ្នាក់ងារថាមពលអាតូមិកអន្តរជាតិ (IAEA) វិទ្យាស្ថានសិក្សាអន្តរជាតិចិន (CIIS) និងស្ថានទូតកៀហ្ស៊ីស្ថាន។ នៅក្នុងអ៊ីមែលនោះមានភ្ជាប់មកជាមួយឈ្មោះមន្ត្រីពិតប្រាកដមកពីក្រសួងការបរទេសកៀហ្ស៊ីស៊ីស្ថាន ដើម្បីធ្វើឱ្យវាមើលទៅមានភាពស្របច្បាប់។ អ៊ីមែលជំរុញឱ្យអ្នកប្រើប្រាស់ទាញយកឯកសារហ្វាល RAR ដែលភ្ជាប់មកជាមួយកាតអញ្ជើញសម្រាប់សន្និសីទ។ ទោះយ៉ាងណាក៏ដោយ វាមានឯកសារ Excel ព្យាបាទ ឬ CHM ។

ដំណើរការវាយប្រហារ

ឯកសារ Excel ឬ CHM ព្យាបាទមានគោលបំណងបង្កើតភាពធន់ និងទាញយកបន្ទុកបន្ថែមលើម៉ាស៊ីនដែលមានមេរោគ។ ឯកសារ Excel មានកម្មវិធីនិពន្ធសមីការកេងប្រវ័ញ្ច។ នៅពេលប្រតិបត្តិ វាបង្កើតកិច្ចការដែលគ្រោងទុកចំនួនពីរ ដើម្បីដំណើរការរៀងរាល់ 15 នាទីម្តង ហើយទាញយកដំណាក់កាលបន្ទាប់ EXE payload តាមរយៈ curl។ ឯកសារ CHM ត្រូវប្រើដើម្បីប្រតិបត្តិកូដបំពាន។ វាត្រូវប្រើដើម្បីបង្កើតកិច្ចការដែលកំណត់ពេលដើម្បីដំណើរការ msiexec ក្នុងការទាញយកបន្ទុក MSI ពីចម្ងាយពី C2 និងប្រតិបត្តិវា។ បំរែបំរួលនៃបន្ទុកឯកសារ CHM ប្រើពាក្យបញ្ជា PowerShell កូដក្នុងមុខងារកំណត់ពេលដូចគ្នានេះសកម្មភាពមិនច្បាស់។

ទោះបីជាអ្នកស្រាវជ្រាវមិនអាចចាប់យកបន្ទុកជាក់ស្តែងដែលប្រើសម្រាប់ការវាយប្រហារដំណាក់កាលទី 2 ក៏ដោយ វាត្រូវគេសង្ស័យថាជា keyloggers, info-stealers ឬ RATs ដូចដែលត្រូវប្រើក្នុងការវាយប្រហារពីមុនដោយ Bitter APT ។

សរុបមក Bitter APT ប្រើយុទ្ធសាស្ត្រវាយប្រហារស្រដៀងគ្នា រួមមានទាំងអ៊ីមែលបន្លំ អស់រយៈពេលជាច្រើនឆ្នាំ។ ដូច្នេះ អង្គភាពពាក់ព័ន្ធនៅអាស៊ីប៉ាស៊ីហ្វិកត្រូវស្នើឱ្យបន្តរក្សាការប្រុងប្រយ័ត្ននៅពេលទទួលអ៊ីមែលពីអង្គភាពដែលមិនស្គាល់ និងពិនិត្យមើលសុពលភាពរបស់អ្នកផ្ញើពីរដងមុនពេលបើកមែលមើល។លើសពីនេះ ស្ថាប័ននានាមិនគួរប្រើប្រាស់ឯកសារ CHM ជាទូទៅនោះទេ ហើយគួរចៀសវាងការប្រើវា។ យុទ្ធសាស្ត្រទាំងអស់ដែលប្រើក្នុងការវាយប្រហារ APT ត្រូវគេស្គាល់ច្បាស់ ហើយអាចត្រូវទប់ស្កាត់ដោយការយល់ដឹងត្រឹមត្រូវអំពីរបត់បច្ចុប្បន្ន៕

ប្រភព cyware ចុះផ្សាយថ្ងៃទី៣០ ខែមីនា ឆ្នាំ២០២៣

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

សាជីវកម្ម Halliburton ខាតបង់ប្រាក់ ៣៥លានដុល្លារ បន្ទាប់ពីការវាយប្រហារដោយមេរោគចាប់ជម្រិត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ផ្លេតហ្វម Roblox បានដាក់ចេញនូវមុខងារសុវត្ថិភាពថ្មីសម្រាប់ក្មេងក្រោម ១៣ឆ្នាំ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ជនខិលខូចមានគោលដៅលើពលរដ្ឋវ័យចំណាស់អង់គ្លេស ជាមួយការទូទាត់ថ្លៃប្រេងរដូវរងា

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

រដ្ឋាភិបាលកាណាដាបញ្ជាឱ្យក្រុមហ៊ុនតិកតុកបិទទ្វារ ដោយសារព្រួយបារម្ភពីហានិភ័យជាតិ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប្រព័ន្ធតុលាការរដ្ឋ Washington ដាក់ឱ្យប្រើប្រាស់ Offline ក្រោយពីមានការវាយប្រហារសាយប័រនៅចុងសប្តាហ៍

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ប្រទេសអាឡឺម៉ង់រៀបចំសេចក្តីព្រាងច្បាប់សម្រាប់ការពារអ្នកស្រាវជ្រាវក្នុងការស្វែងរកបញ្ហាសុវត្ថិភាព (Security Flaws)

LEAVE A REPLY

Please enter your comment!
Please enter your name here