ក្រុមហេគឃ័រចិន Alloy Taurus កំពុងប្រើអញ្ញត្តិទ្វារក្រោយ PingPull ឬជា tool ថ្មីមានឈ្មោះកូដ Sword2033 របស់លីនុច។យោងតាមការស្វែងរកពីអ្នកស្រាវជ្រាវ Palo Alto Networks Unit 42 ដែលរកឃើញសកម្មភាពសាយប័រនាពេលថ្មីៗនេះ មានគោលដៅលើប្រទេសអាព្រិចខាងត្បូងនិងនេប៉ាល់។ Alloy Taurus គឺជាឈ្មោះក្រុមហេគឃ័រដែលគេដឹងថាវាយប្រហារលើក្រុមហ៊ុនទូរគមនាគមន៍តាំងពីឆ្នាំ២០១២។ ហើយវាក៏ត្រូវតាមដានដោយក្រុមហ៊ុន Microsoft ថាជាព្យុះថ្មក្រានីត (Granite Typhoon (previously Gallium))។ កាលពីខែមុន ក្រុមនេះធ្វើចលនាមួយឈ្មោះថា Tainted Love មានប្រតិបត្តិការដ៏លេចធ្លោ (Soft Cell) លើអ្នកផ្គត់ផ្គង់បណ្តាញទំនាក់ទំនងនៅមជ្ឈឹមបូព៌ា។
នាពេលថ្មីៗនេះ ក្រុម Alloy Taurus ពង្រីកការវាយប្រហាររួមបញ្ចូលទាំងស្ថាប័នហិរញ្ញវត្ថុ និងអង្គភាពរដ្ឋាភិបាល។ PingPull ត្រូវកត់ត្រាដោយអ្នកស្រាវជ្រាវនៅ Unit 42 គឺជាមេរោគ Trojan ដែលអាចចូលប្រើពីចម្ងាយដែលប្រើប្រូតូកូលសារគ្រប់គ្រងអុីនធឺណិត (Internet Control Message Protocol (ICMP)) សម្រាប់ការទំនាក់ទំនងបញ្ជានិងគ្រប់គ្រង (C2)។ មេរោគលីនុចមានមុខងារស្រដៀងគ្នានឹងវីនដូដែរ អនុញ្ញាតឱ្យមានប្រតិបត្តិការឯកសារនិងដំណើរការខំមិនតាមចិត្តដោយបញ្ជូនពី C2 server នូវតួអក្សរធំតែមួយ (upper case) រវាង A និង K, និង M។ បើយោងតាមអ្នកស្រាវជ្រាវនៅ Unit 42 ឱ្យដឹងថា នៅពេលប្រតិបត្តិ គម្រូនេះត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីទំនាន់ទំនងជាមួយ domain yrhsywu2009.zapto[.]org នៅ port 8443 សម្រាប់ C2។ វាប្រើលីង OpenSSL (OpenSSL 0.9.8e) library ដើម្បីទំនាក់ទំនងជាមួយនឹង domain Https។
អ្វីដែលគួរឱ្យចាប់អារម្មណ៍នោះ ការញែករបស់ PingPull នៃរចនាសម្ព័ន្ធ C2 ឆ្លុះបញ្ចាំងពី China Chopper ដែលជា web shell ដែលប្រើដោយក្រុមហេគឃ័រចិន ហើយស្នើឱ្យហេគឃ័ររៀបចំប្រភពកូដដែលមានឡើងវិញដើម្បីបង្កើត tools តាមតម្រូវការ។ domain ដែលរៀបរាប់ខាងលើបង្ហាញថាមាន ELF artifact (i.e., Sword2033) ដែលមានមុខងារមូលដ្ឋានចំនួន៣រួមមាន អាប់ឡូត ច្រោះឯកសារ និងប្រតិបត្តិការខំមិន។
លីងរបស់មេរោគទៅកាន់ក្រុម Alloy Taurus កើតចេញពីដូមិនដែលដោះស្រាយអាសយដ្ឋាន IP ដែលត្រូវកំណត់ពីមុនថាជាសូចនាករសកម្មនៃការសម្របសម្រួល (IoC) ដែលទាក់ទងនឹងយុទ្ធនាការមុនមានគោលដៅលើប្រតិបត្តិការក្រុមហ៊ុននៅអាស៊ីអាគ្នេយ៍ អឺរ៉ុប និងអាព្រិច។ ក្រុមការងារ Unit 42 ថ្លែងថា Alloy Taurus នៅតែវាយប្រហារលើបណ្តាញទំនាក់ទំនង ស្ថាប័នហិរញ្ញវត្ថុ និងអង្គភាពរដ្ឋាភិបាលនៅអាសុីអាគ្នេយ៍ អឺរ៉ុប និងអាព្រិច។ អញ្ញតិ្តមេរោគ PingPull របស់លីនុចក៏ដូចជា ទ្វារក្រោយ Sword2033 ណែនាំថាពួកគេនៅតែបន្តវិវត្តគាំទ្រសកម្មភាពចារកម្មរបស់ពួកគេ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៦ ខែមេសា ឆ្នាំ២០២៣
