ក្រុមហេគឃ័រចិន RedGolf ប្រើទ្វារក្រោយ KEYPLUG វាយប្រហារប្រព័ន្ធវីនដូ និងលីនុច

0

ក្រុមហេគឃ័ររដ្ឋចិន RedGolf ចែកចាយមេរោគទ្វារក្រោយ KEYPLUG វាយប្រហារលើប្រព័ន្ធ Windows និង Linux។ក្រុមហ៊ុនសន្តិសុខសាយប័រ Recorded Future ប្រាប់ The Hacker News ថា ក្រុមហេគឃ័រ RedGolf ទទួលការគាំទ្រពីរដ្ឋចិនហើយមានសកម្មភាពប្រឆាំងនឹងឧស្សាហកម្មសកលជាច្រើនឆ្នាំមកហើយ។ ក្រុមនេះមានសមត្ថភាពវាយប្រហារភាពងាយរងគ្រោះយ៉ាងឆាប់រហ័សនាពេលថ្មីៗនេះ (eg. Log4Shell និង ProxyLogon) និងមានប្រវត្តិនៃការវិវត្ត និងប្រើគ្រួសារមេរោគដ៏ធំទៀតផង។

ការប្រើទ្វារក្រោយ KEYPLUG របស់ក្រុមហេគឃ័រចិននេះត្រូវរកឃើញដោយក្រុមហ៊ុនសន្តិសុខសាយប័រ Manidant របស់ Google នាខែមីនា ឆ្នាំ២០២២ នៅក្នុងការវាយប្រហារលើបណ្តាញណេតវករដ្ឋាភិបាលអាមេរិកចម្រុះនៅចន្លោះខែឧសភា ឆ្នាំ២០២១ និងខែកុម្ភៈ ឆ្នាំ២០២២។បន្ទាប់មកនៅខែតុលា ឆ្នាំ២០២២ កម្មវិធីកម្ចាត់មេរោគ Malwarebytes លម្អិតពីការវាយប្រហារលើស្ថាប័នរដ្ឋាភិបាលស្រីលង្ការ កាលពីដើមខែសីហា ដែលដាក់បញ្ចូលភ្នាក់ងារ DBoxAgent ដើម្បីពង្រាយទ្វារក្រោយ KEYPLUG។

ការវាយប្រហារទាំងពីរលើកនេះមានការចែកចាយទៅកាន់ក្រុមហេគឃ័រចិន Winnti (aka APT41, Barium, Bronze Atlas និង Wicked Panda) បើយោងតាមក្រុមហ៊ុន Recorded Future ដែលមានសកម្មភាពស្រដៀងគ្នាជាមួយនឹងក្រុមហេគឃ័រចិន RedGolf ដែរ។ ក្រុមហ៊ុន Recorded Future ថ្លែងថា យើងមិនតាមដានជនរងគ្រោះដែលរងផលប៉ះពាល់បណ្តាលមកពីការវាយប្រហាររបស់ RedGolf ទេ។ តែទោះជាយ៉ាងណា យើងជឿថាការវាយប្រហារនេះកំពុងតែចាប់ផ្តើមក្នុងបំណងស៊ើបការណ៍ជាជាងជម្រិតទារប្រាក់។ ក្រុមហ៊ុនសន្តិសុខសាយប័រពណ៌នាថា ក្រៅពីប្រើគម្រូ KEYPLUG និងហេដ្ឋារចនាសម្ព័ន្ធប្រតិបត្តិការ (កូដឈ្មោះ GhostWolf) កាលពីឆ្នាំ២០២១ ដល់ឆ្នាំ២០២៣ ហេគឃ័រនៅប្រើឧបករណ៍ផ្សេងទៀតដូចជា Cobalt Strike និង PlugX។

ហេដ្ឋារចនាសម្ព័ន្ធ GhostWolf រួមមាន 42 IP addresses ដែលមានតួនាទីដូចជា KEYPLUG command-and-control។ ក្រៅពីនោះ គេសង្កេតឃើញថាហេគឃ័រប្រើល្បាយ domains ប្រពៃណីនិង Dynamix DNS domains ដែលជាចំណុចទំនាក់ទំនងគ្នារវាង Cobalt Strike និង PlugX។ ក្រុមហ៊ុនថ្លែងថា ក្រុម RedGolf នឹងបន្តបង្ហាញពីការវាយប្រហារលើភាពងាយរងគ្រោះនៅក្នុងឧបករណ៍សាជីវកម្ម (VPNs, firewalls, mail servers, etc) ដើម្បីកេងប្រវ័ញ្ចបណ្តាញណេតវកគោលដៅ។

ដើម្បីការពារខ្លួនពីការវាយប្រហាររបស់ RedGolf អង្គភាពជាច្រើនត្រូវផ្តល់អនុសាសន៍ឱ្យដំឡើង patches ឱ្យទៀងទាត់, ត្រួតពិនិត្យឧបករណ៍បណ្តាញណេតវកខាងក្រៅ (external facing network devices), តាមដាននិងទប់ស្កាត់ហេដ្ឋារចនាសម្ព័ន្ធ command-and-control ដែលកំណត់ និងកំណត់រចនាសម្ព័ន្ធការរកឃើញការឈ្លានពានឬប្រព័ន្ធការពារដើម្បីតាមដានការឃើញមេរោគ៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here