ក្រុមមេរោគថ្មី Mélofée​ មានទំនាក់ទំនងជាមួយក្រុមហេគឃ័រចិន APT

0

សារព័ត៌មាន cyware  ចុះផ្សាយនៅថ្ងៃទី៤ ខែមេសា ឆ្នាំ២០២៣ ឱ្យដឹងថា ក្រុមមេរោគថ្មីដែលមានឈ្មោះថា Mélofée ត្រូវរកឃើញថាកំពុងវាយប្រហារកំណត់គោលដៅទៅលើម៉ាស៊ីនមេ Linux ដែលមានជាប់ទាក់ទងនឹងចំនួនកំណត់នៃគោលដៅតម្លៃខ្ពស់។ ការផ្សាំនេះត្រូវផ្សារភ្ជាប់ទៅនឹងក្រុមដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិន ជាពិសេសក្រុម Winnti ដោយផ្អែកលើសមត្ថភាពរបស់វា និង TTPs ផ្សេងទៀត។

ExaTrack រកឃើញគំរូបីផ្សេងគ្នានៃក្រុមមេរោគ Mélofée ដែលទំនងជាចុះកាលបរិច្ឆេទចន្លោះខែមករាដល់ខែឧសភាឆ្នាំ022។ គំរូទាំងបីចែករំលែកមូលដ្ឋានកូដទូទៅ ខណៈពេលដែលពិធីការទំនាក់ទំនង និងវិធីអ៊ិនគ្រីបរបស់ពួកគេកំពុងស្ថិតក្នុងការអភិវឌ្ឍន៍សកម្ម។ គំរូមួយក្នុងចំណោមគំរូជាច្រើនទម្លាក់ rootkit ដែលត្រូវរចនាឡើងដើម្បីកំណត់គោលដៅទៅលើ kernel ជាក់លាក់។ កូដរបស់វាត្រូវពឹងផ្អែកលើគម្រោង rootkit បើកចំហ Reptile

គំរូទាំងអស់រួមមានកម្មវិធីដំឡើងដែលប្រើពាក្យបញ្ជាសែល (shell) ដើម្បីទាញយក rootkit និង ការផ្សាំសំខាន់ៗចេញពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។លើសពីនេះទៀត អ្នកស្រាវជ្រាវសង្កេតឃើញការផ្សាំមួយផ្សេងទៀត ដែលមានឈ្មោះថា AlienReverse ដែលត្រូវប្រើក្នុងអំឡុងពេលយុទ្ធនាការនេះ។ វាមានមូលដ្ឋានកូដស្រដៀងនឹងក្រុមមេរោគ Mélofée និងប្រើឧបករណ៍ដែលមានជាសាធារណៈដូចជា EarthWorm និង socks_proxy ។

ហេដ្ឋារចនាសម្ព័ន្ធដែលត្រូវប្រើដោយការផ្សាំក្រុមមេរោគ Mélofée មានទំនាក់ទំនងជាមួយឧបករណ៍ផ្សេងៗ​ជាច្រើន ដែលក្រុមហេគឃ័រ APT ចិនប្រើ​ ដែលពង្រឹងជំនឿបន្ថែមទៀតថាក្រុមទាំងនេះធ្វើការរួមគ្នាជាក្រុមជាច្រើននៅក្នុងសហគ្រាសធំមួយ។ ម៉ាស៊ីនមេមួយចំនួនត្រូវប្រើប្រាស់ជាម៉ាស៊ីនមេ C2 សម្រាប់ ShadowPad ខណៈដែលម៉ាស៊ីនមេផ្សេងទៀតត្រូវភ្ជាប់ទៅWinntiនិង HelloBot។ដូម៉េនមួយចំនួនត្រូវប្រើប្រាស់ជាម៉ាស៊ីនមេ C2សម្រាប់ឧបករណ៍ព្យាបាទក្នុងនោះរួមមានទាំង Cobalt Strike, PlugX, StowAway, និងSpark ដែលត្រូវគេស្គាល់ជាទូទៅថាប្រើប្រាស់ដោយក្រុមហេគឃ័រ APT របស់ចិន។ លើសពីនេះ អ្នកវាយប្រហារទាំងនេះប្រើឧបករណ៍បញ្ជាពីចម្ងាយស្របច្បាប់ toDesk និងឧបករណ៍ ezXSS។

ក្រុមមេរោគ Mélofée គឺ​ជា​ឧបករណ៍​មួយ​ផ្សេង​ទៀត​ដែល​ត្រូវ​​បន្ថែម​ទៅ​ក្នុង​ឃ្លាំង​របស់​ក្រុមហេគឃ័រ​ APT របស់​ចិន​ដែល​ឧបត្ថម្ភ​ដោយ​រដ្ឋ។ ការផ្សាំទាំងនេះត្រូវប្រើប្រាស់នៅក្នុងការវាយប្រហារដែលមានចំនួនកំណត់ ដោយបង្ហាញថា វាអាចត្រូវរចនាឡើងដើម្បីអនុវត្តការងារតូចៗនៅក្នុងខ្សែសង្វាក់វាយប្រហារទាំងមូល។ បើមិនដូច្នោះទេ អ្នកវាយប្រហារអាចកំពុងព្យាយាមបង្វែរការយកចិត្តទុកដាក់របស់អ្នកជំនាញសន្តិសុខពីរបៀបវារៈពិតប្រាកដរបស់ពួកគេ៕

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Disney ស៊ើបអង្កេតលើការលេចធ្លាយសារផ្ទៃក្នុង (Internal Messages)

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហាងថ្នាំ Rite Aid ពោលថា ការបំពានទិន្នន័យកាលពីខែមិថុនា បានប៉ះពាល់ដល់មនុស្ស ២,២លាននាក់

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគចាប់ជម្រិត SEXi ប្តូរឈ្មោះទៅ APT INC ហើយបន្តវាយប្រហារលើ VMwar ESXi

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការផ្សាយពាណិជកម្ម Facebook ទាក់ទងនឹង Windows Desktop Themes ជាការបន្លំដើម្បីចម្លងមេរោគលួចយកព័ត៌មាន

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Kaspersky សាខានៅអាមេរិក កំពុងតែត្រៀមបិទទ្វារ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បង្កើនប្រាក់រង្វាន់រហូតដល់ទៅ ៥ដង សរុបចំនួន ១៥១ពាន់ដុល្លារ

LEAVE A REPLY

Please enter your comment!
Please enter your name here