កាលពីពេលថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវ Insikt របស់ក្រុមហ៊ុន Recorded Future រាយការណ៍ថា ក្រុមហេគឃ័រ RedGolf ដែលជាក្រុមគំរាមកំហែងឧបត្ថម្ភដោយរដ្ឋរបស់ចិនកំពុងប្រើទ្វារក្រោយ (backdoor) ដែលត្រូវរចនាឡើងជាពិសេសសម្រាប់ប្រព័ន្ធ Windows និង Linux ដែលហៅថា KEYPLUG ដើម្បីជ្រៀតចូលបណ្តាញ។ ក្នុងនាមជាក្រុមគំរាមកំហែងដ៏ខ្លាំងបំផុតមួយរបស់ពិភពលោក ក្រុមហេគឃ័រ RedGolf ប្រឆាំងយ៉ាងសកម្មជាមួយនឹងឧស្សាហកម្មជាច្រើននៅជុំវិញពិភពលោក អស់រយៈពេលជាច្រើនឆ្នាំមកហើយ។
ក្រុមនេះបង្កើត និងប្រើប្រាស់ក្រុមមេរោគផ្ទាល់ខ្លួនជាច្រើនក្រុមក្នុងរយៈពេលជាច្រើនឆ្នាំ។ វាបង្ហាញពីសមត្ថភាពក្នុងការបំពាក់អាវុធដែលជាភាពងាយរងគ្រោះយ៉ាងឆាប់រហ័ស។ ខាងក្រោមនេះ យើងលើកឡើងអំពីក្រុមមេរោគដែលក្រុមហេគឃ័រធ្លាប់ប្រើកាលពីពេលថ្មីៗនេះមានដូចជា Log4Shell និង ProxyLogon។ ឧស្សាហកម្ម និងអង្គភាព ដែលក្រុមហេគឃ័រ RedGolf កំណត់គោលដៅវាយប្រហារមានដូចជា វិស័យអាកាសចរណ៍ រថយន្ត ការអប់រំ រដ្ឋាភិបាល ប្រព័ន្ធផ្សព្វផ្សាយ ពត៌មានវិទ្យា ស្ថាប័ណសាសនា។
ក្រៅពីនេះ នៅមានគុណវិបត្តិសាធារណៈ និងកំហុស zero-day មួយចំនួន ដែលក្រុមហេគឃ័រ RedGolf កេងប្រវ័ញ្ចជាប្រវត្តិសាស្ត្រ ក្នុងគោលបំណងទទួលការចូលប្រើដំបូងទៅកាន់ឧបករណ៍ដែលប្រឈមមុខនឹងការប្រើបណ្តាញអ៊ីនធឺរណិត ក្នុងនោះរួមមានឧបករណ៍ Citrix ឧបករណ៍ Cisco និងឧបករណ៍ Zoho។ក្នុងអំឡុងឆ្នាំ2021 និងឆ្នាំ2022 ក្រុមហេគឃ័រ RedGolf វាយប្រហារកំណត់គោលដៅទៅលើអង្គភាពរដ្ឋាភិបាលសហរដ្ឋអាមេរិកដោយប្រើ KEYPLUG ដែលការកំណត់ និងម៉ូឌុលទ្វារក្រោយលីនុច។ សំណាក KEYPLUG មួយចំនួន និងហេដ្ឋារចនាសម្ព័ន្ធជាច្រើនដែលក្រុមហេគឃ័រ RedGolf ប្រើចាប់ពីឆ្នាំ2021មក រហូតដល់ឆ្នាំ2023 ត្រូវកំណត់អត្តសញ្ញាណដោយ Insikt Group។ KEYPLUG C2 អាចប្រើជាមួយពិធីការបណ្តាញ សរុបចំនួន 5ដែលមានដូចជា HTTP, TCP, KCP, UDP និង WSS។
ការវិភាគបច្ចេកទេស
កាលពីខែតុលា ឆ្នាំ២០២២ ក្រុមអ្នកស្រាវជ្រាវ Malwarebytes បោះពុម្ពផ្សាយព័ត៌មានអំពីសំណុំនៃការវាយប្រហារដាច់ដោយឡែកពីគ្នា ដែលជាការកេងប្រវ័ញ្ចលើការផ្សាំដែលមិនទាន់រកឃើញ និងត្រូវគេដាក់ឈ្មោះថា DBoxAgent ដើម្បីប្រើ KEYPLUG លើអង្គភាពរដ្ឋាភិបាលក្នុងប្រទេសស្រីលង្កានៅដើមខែសីហាឆ្នាំមុន។ ក្រុមអ្នកស្រាវជ្រាវ Recorded Future បង្ហាញថា យុទ្ធនាការទាំងនេះហាក់ដូចជាចែករំលែកទំនាក់ទំនងយ៉ាងជិតស្និទ្ធជាមួយយុទ្ធនាការរបស់ក្រុមហេគឃ័រ RedGolf ដែលមានលក្ខណៈស្រដៀងទៅនឹងក្រុមមេរោគ Winnti (aka APT41, Barium, Bronze Atlas, ឬ Wicked Panda)។ អ្នកវិភាគសន្តិសុខឱ្យដឹងថា សកម្មភាពចុងក្រោយរបស់ក្រុមហេគឃ័រ RedGolf មិនទាន់ត្រូវផ្សារភ្ជាប់ជាមួយនឹងជនរងគ្រោះជាក់លាក់ណាមួយឡើយ។ ដោយសារតែសកម្មភាពនេះវាដូចគ្នា និងធ្លាប់មានការរាយការណ៍ពីយុទ្ធនាការចារកម្មតាមអ៊ីនធឺរណិត ពួកគេជឿថាសកម្មភាពទាំងនេះអាចត្រូវធ្វើឡើងសម្រាប់គោលបំណងស៊ើបការណ៍ ជំនួសឱ្យការទទួលផ្នែកហិរញ្ញវិត្ថុ ឬប្រាក់ចំណេញ។ លើសពីនេះ គេកត់សម្គាល់ឃើញថា ក្រុមលួចចូលប្រើប្រាស់ឧបករណ៍ជាច្រើនផ្សេងទៀតដែលមានដូចជា Cobalt Strike និង PlugX បន្ថែមពីលើគំរូ KEYPLUG និងហេដ្ឋារចនាសម្ព័ន្ធប្រតិបត្តិការរបស់វា ដែលមានឈ្មោះកូដ GhostWolf។
អាសយដ្ឋាន IP ចំនួន 42 រួមមានហេដ្ឋារចនាសម្ព័ន្ធ GhostWolf និងត្រូវប្រើជាពាក្យបញ្ជា និងការគ្រប់គ្រងសម្រាប់ប្រព័ន្ធ KEYPLUG។ ដើម្បីទទួលការចូលប្រើដំបូងទៅកាន់បណ្តាញរបស់គោលដៅ ក្រុមហេគឃ័រ RedGolf នឹងបន្តបង្ហាញពីដំណើរការប្រតិបត្តិការដែលអនុញ្ញាតឱ្យវាទាញយកភាពងាយរងគ្រោះយ៉ាងឆាប់រហ័សនៅក្នុងឧបករណ៍របស់សហគ្រាសដែលប្រឈមមុខនឹងបញ្ហា និងប្រើប្រាស់ភាពងាយរងគ្រោះទាំងនោះជាអាវុធយ៉ាងឆាប់រហ័ស។
លំណែនាំ
ដើម្បីការពារខ្លួនប្រឆាំងនឹងការវាយប្រហាររបស់ក្រុមហេគឃ័រ RedGolf អង្គភាពនានាត្រូវអនុវត្តតាមការណែនាំរបស់អ្នកជំនាញដូចខាងក្រោម៖
-ត្រូវប្រាកដថា ធ្វើការជួសជុលប្រព័ន្ធជាប្រចាំ
-ពិនិត្យមើលការចូលប្រើឧបករណ៍ដែលភ្ជាប់ទៅបណ្តាញខាងក្រៅស្ថាប័ន
-កំណត់រចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រង ដែលប្រើដោយអ្នកគំរាមកំហែង
-តាមដានមេរោគ ការរកឃើញការឈ្លានពាន និងប្រព័ន្ធការពារចាំបាច់ត្រូវ
កំណត់រចនាសម្ព័ន្ធតាមរបៀបដែលពួកគេស្វែងរកមេរោគ៕
ប្រភព gbhackers ចុះផ្សាយថ្ងៃទី៣១ ខែមីនា ឆ្នាំ២០២៣
