អ្នកស្រាវជ្រាវសន្តិសុខសាយប័ររកឃើញសកម្មភាពឆបោក (phishing) ដែលប្រើសម្រាប់ការបញ្ជូនមេរោគ XWorm malware នៅលើប្រព័ន្ធគោលដៅ។ភ្នាក់ងារសន្តិសុខ Securonix កំពុងតែតាមដានសកម្មភាព MEME#4CHAN ដែលជាការវាយប្រហារមានគោលដៅលើក្រុមហ៊ុនផលិត និងមណ្ឌលសុខភាពដែលមានទីតាំងនៅប្រទេសអាឡឺម៉ង់។
អ្នកស្រាវជ្រាវសន្តិសុខ ថ្លែងថា ការវាយប្រហារនេះមិនធម្មតា ដោយសារប្រើ meme-filled PowerShell code ដែលភ្ជាប់មកជាមួយនឹងការចម្លងមេរោគ XWorm ដ៏ច្របូកច្របល់ទៅកាន់ជនរងគ្រោះ។ របាយការណ៍ចេញពីបន្ទប់ពិសោធន៍ Elastic Security ថ្មីៗនេះបង្ហាញថា គ្រោងការណ៍បម្រុងទុករបស់ហេគឃ័រគឺលួងដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យបើកឯកសារអាក្រក់ដើម្បីបញ្ជូនមេរោគ XWorm និង Agent Tesla payloads។
ការវាយប្រហារចាប់ផ្តើមជាមួយការឆបោក ដើម្បីបញ្ជូនឯកសារ Microsoft Word បញ្ឆោតដោយប្រើភាពងាយរងគ្រោះ Follina vulnerability (CVE-2022-30190 CVSS score: 7.8) ដើម្បីទម្លាក់ស្គ្រីប PowerShell ដ៏ច្របូកច្របល់។ នៅទីនោះ ហេគឃ័រប្រើស្គ្រីប PowerShell សម្រាប់ឆ្លងកាត់ផ្ទាំងស្គេនចាប់មេរោគ (Antimalware Scan Interface (AMSI)), បិទ Microsoft Defender, អភិវឌ្ឍមេរោគ (establish persistence) និងដាក់ចេញឯកសារ .NET binary ដែលមានផ្ទុកមេរោគ XWorm។
អ្វីដែលគួរឱ្យចាប់អារម្មណ៍នោះគឺអញ្ញត្តិ១នៅក្នុងស្រ្គីប PowerShell មានឈ្មោះថា “$CHOTAbheem” ដែលសំដៅលើ Chhota Bheem ជាទូរទស្សន៍ជីវចលបែបកំប្លែងជនជាតិឥណ្ឌា។ អ្នកស្រាវជ្រាវប្រាប់ថា ផ្អែកលើការតាមដានវាដូចជាបុគ្គល ឬក្រុមវាយប្រហារជនជាតិឥណ្ឌា ឬមជ្ឈឹមបូព៌ា បើទោះជាព័ត៌មានចុងក្រោយនៅមិនទាន់បញ្ជាក់នៅឡើយក្តី។ មេរោគ XWorm ជាប្រភេទមេរោគ malware ទំនិញ (commodity) ដែលផ្សាយដើម្បីលក់នៅលើ forum និងមានលក្ខណៈពិសេសអាចទាញយកព័ត៌មានសម្ងាត់ពីម៉ាសុីនឆ្លងមេរោគ។
មេរោគនេះក៏អាចដំណើរការជា clipper, DDoS និងប្រតិបត្តិការមេរោគចាប់ជម្រិត, ពង្រីកការចម្លងតាមរយៈ USB និងទម្លាក់មេរោគ malware បន្ថែម។ នៅមិនទាន់ដឹងច្បាប់ពីក្រុមហេគឃ័រនៅឡើយទេ ទោះបីជាភ្នាក់ងារសន្តិសុខ Securonix ថ្លែងថា បច្ចេកទេសនៃការប្រហារស្រដៀងនឹងក្រុម TA558 ក្តី។ អ្នកស្រាវជ្រាវលើកឡើងថា បើទោះជាសារបញ្ឆោតប្រើឯកសារ Microsoft Office តាំងពីក្រុមហ៊ុនសម្រេចចិត្តបិទម៉ាក្រូដោយស្វ័យប្រវត្តិ (default) ក្តី។ នៅថ្ងៃនេះ យើងឃើញថាវានៅតែចាំបាច់ណាស់ថា យើងគួរតែប្រុងប្រយ័ត្នចំពោះឯកសារអាក្រក់ បើទោះជាគ្មានដំណើរការ VBscript ពីម៉ាក្រូក៏ដោយ៕
