កាលពីពេលថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវ Tam Cymru លាតត្រដាងពីលំនាំគួរឱ្យកត់សម្គាល់ និងភាពមិនប្រក្រតី ចេញពីការត្រួតពិនិត្យជាបន្តរបស់ពួកគេលើការបញ្ជា និងរចនាសម្ព័ន្ធគ្រប់គ្រងរបស់ QakBot ។អ្នកស្រាវជ្រាវចែករំលែកការយល់ដឹងកម្រិតខ្ពស់ទៅលើការរកឃើញ ដោយបង្ហាញតំរុយលើនិន្នាការដែលកំពុងបង្ហាញឡើង និងសកម្មភាពមិនធម្មតាទាក់ទងនឹង QakBot។
ជាធម្មតា ច្រកគ្រប់គ្រងជាក់លាក់មួយត្រូវប្រើប្រាស់សម្រាប់ការទំនាក់ទំនង ហើយអន្តរកម្មទាំងនេះមានទំនោរនឹងបន្តវត្តមានក្នុងរយៈពេលយូរនៅក្នុងករណីភាគច្រើន។ ការប្រើប្រាស់ច្រកគ្រប់គ្រងគឺដើម្បីធានានូវការទំនាក់ទំនងជាប់លាប់និងយូរអង្វែង។តាមរយៈការកំណត់អត្តសញ្ញាណស្រទាប់គ្រប់គ្រងកម្រិត 2 (T2) ដោយជោគជ័យ អ្នកស្រាវជ្រាវទទួលសមត្ថភាពក្នុងការកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេដែលប្រឈមមុខនិងម៉ាស៊ីនគ្រប់គ្រងគ្រោះសកម្ម (C2) តាមរយៈការវិភាគនៃការតភ្ជាប់ដែលបង្កើតឡើងជាមួយស្រទាប់ T2។
អាសយដ្ឋាន IP របស់រុស្ស៊ីត្រូវប្រើប្រាស់ជាទូទៅនៅក្នុងបណ្តាញមេរោគ botnet កម្រិតខ្ពស់ ព្រោះ IP ទាំងនោះផ្តល់ការការពារប្រឆាំងនឹងភ្នាក់ងារអនុវត្តច្បាប់ និងអ្នកស្រាវជ្រាវដែលមិនមែនជារបស់ប្រទេសរុស្ស៊ី។ ខណៈពេល IP ទាំងនេះបង្កើតភាពផ្ទុយគ្នាជាកន្លែងដែលការតភ្ជាប់កើតឡើងដដែលៗចេញពី IPs ប្រភពចម្រុះទៅកាន់ចន្លោះ IP របស់ប្រទេសរុស្ស៊ី វាហាក់បីដូចជាគួរឱ្យសង្ស័យ ឬគួរឱ្យចាប់អារម្មណ៍។
អ្នកជំនាញវិភាគទិន្នន័យនៃការកំណត់រចនាសម្ព័ន្ធ C2 របស់យុទ្ធនាការ QakBot នៅខែមេសា ឆ្នាំ2023 ហើយបញ្ជាក់ថា ម៉ាស៊ីនមេ T2 របស់រុស្សី មិនទាន់មានការកែប្រែណាមួយឡើយ។ ចរាចរចរន្តពីម៉ាស៊ីនមេ C2 បង្ហាញលំនាំមួយចំនួន ដូចដែលវាត្រូវរកឃើញនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលទាក់ទងនឹងយុទ្ធនាការទាំងពីររួមមាន Obama campaigns និង BB campaigns។ ការត្រួតគ្នាដ៏គួរឱ្យចាប់អារម្មណ៍នេះបង្ហាញពីការតភ្ជាប់សក្តានុពលរវាងយុទ្ធនាការទាំងពីរដែលមានជាប់ទាក់ទងនឹងការប្រើប្រាស់របស់យុទ្ធនាការនៃម៉ាស៊ីនមេទាំងនេះ។ IP របស់យុទ្ធនាការ Obama រួមមាន 59.153.96.4, 73.22.121.210, 119.82.121.251, 189.151.95.176 និង 197.94.95.20។ IP របស់យុទ្ធនាការ BB រួមមាន 174.171.130.96។
ចាប់តាំងពីថ្ងៃទី1 ខែមីនា ដល់ថ្ងៃទី8 ខែឧសភា ឆ្នាំ2023 លំហូរចរាចរដែលមានប្រភពចេញពីម៉ាស៊ីនមេ C2 សកម្មដែលរៀបរាប់ខាងលើត្រូវវិភាគ។ បន្ទាប់មកលំហូរទាំងនេះត្រូវចាត់ថ្នាក់ដោយផ្អែកលើការកំណត់រចនាសម្ព័ន្ធសម្ព័ន្ធដែលពួកគេត្រូវរកឃើញ។សរុបមក ពុំមានការបំបែកច្បាស់លាស់ណាមួយត្រូវគេសង្កេតឃើញក្នុងចំណោមសាខាដែលផ្អែកលើហេដ្ឋារចនាសម្ព័ន្ធខាងលើដែលត្រូវប្រើប្រាស់ដោយម៉ាស៊ីនមេ C2 របស់ពួកគេសម្រាប់ការទំនាក់ទំនង។ ក្នុងរយៈពេលពីរថ្ងៃ ម៉ាស៊ីនមេ C2 ជាក់លាក់មួយដែលត្រូវផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការ BB នៅតែសកម្ម។ វាទាក់ទងជាចម្បងជាមួយ RU3 ប៉ុន្តែវាមានការតភ្ជាប់មួយទៅ RU2 នៅថ្ងៃដំបូង។ RU2 និង RU3 បង្ហាញពីគំរូស្រដៀងគ្នានៅក្នុងអាកប្បកិរិយារបស់ពួកគេ ដែលបង្ហាញពីកម្រិតនៃភាពស៊ីសង្វាក់គ្នារវាងពួកវា។ ម៉្យាងវិញទៀត RU1 ងាកចេញពីនិន្នាការនេះ និងធ្វើតាមគំរូប្លែកពីគេ។
កាលពីខែមីនា មានការផ្លាស់ប្តូរនៅក្នុងសកម្មភាពម៉ាស៊ីនមេ C2 ជាមួយនឹងការកើនឡើងនៃ IPs របស់ប្រទេសឥណ្ឌា និងសហរដ្ឋអាមេរិក។ លើសពីនេះមានការថយចុះនៃម៉ាស៊ីនមេ C2 សកម្មនៅគ្រប់ទីតាំងផ្សេងៗគ្នា ហើយ RU2 និង RU3 ទទួលចរាចរពីអាមេរិក និងម៉ាស៊ីនមេ C2 អាមេរិកខាងជើងផ្សេងទៀតដែលមិនមានវត្តមានរបស់ RU1។ កាលពីខែកុម្ភៈ ម្ចាស់host CZ ប្រាស្រ័យទាក់ទងជាមួយ T2s ទាំងបី ខណៈដែលថ្មីៗនេះ hostអាហ្រ្វិកខាងត្បូង (ZA) ចាប់ផ្តើមភ្ជាប់ជាមួយ T2s ទាំងបី។
អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺរណិតផ្តល់អនុសាស្ត្រមួយចំនួនដូចខាងក្រោម៖
-អ្នកប្រើប្រាស់ត្រូវប្រាកដថាប្រើ IOCs ដែលមានក្នុងបញ្ជីដើម្បីរកមើលការឆ្លងមេរោគ QakBot បច្ចុប្បន្ន និងការពារការវាយប្រហារនាពេលអនាគត
-កំណត់អត្តសញ្ញាណម៉ាស៊ីនមេ T2 ប្រទេសរុស្សីដោយសាកសួររកបញ្ចី IOC និងការត្រងសម្រាប់ការតភ្ជាប់ទៅខាងក្រៅទៅកាន់ TCP/443 ពីចម្ងាយដោយប្រើ Pure Signal Recon និង Scout ។
-ត្រូវប្រាកដថាបង្វិលការតភ្ជាប់ចូលទៅកាន់ម៉ាស៊ីនមេ T2 របស់ប្រទេសរុស្ស៊ី ដើម្បីបង្ហាញហេដ្ឋារចនាសម្ព័ន្ធ QakBot C2 ដែលកំពុងវិវត្ត៕
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយថ្ងៃទី១៨ ខែឧសភា ឆ្នាំ២០២៣
