ក្រុមហេគឃ័រកូរ៉េខាងជើង Kimsuky ប្រើមេរោគឈានមុខដើម្បីឈ្លបយកការណ៍

0

ក្រុមហេគឃ័រឈានមុខ APT កូរ៉េខាងជើង ដែលគេស្គាល់ថាជា Kimsuky ត្រូវគេមើលឃើញថាកំពុងតែប្រើមេរោគឈ្មោះ RandomQuery ឈ្លបយកការណ៍និងច្រោះយកព័ត៌មាន។ថ្មីៗនេះ ក្រុមហេគឃ័រ Kimsuky កំពុងតែចែកចាយមេរោគយកការណ៍ដើម្បីវាយប្រហារ បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។ គោលដៅគឺក្រុមហ៊ុនសន្តិសុខសាយប័រ ដើម្បីតម្រង់ទៅរកសេវាព័ត៌មានក៏ដូចជាអង្គភាពគាំទ្រសកម្មជនសិទ្ធិមនុស្ស និងអ្នកចាកចេញពីប្រទេសកូរ៉េខាងជើងដែរ។ Kimsuky មានសកម្មភាពតាំងពីឆ្នាំ២០១២ មានគោលដៅស្របតាមកូរ៉េខាងជើង។

បេសកកម្មនេះពាក់ព័ន្ធនឹងការប្រើមេរោគចម្រុះ រួមមានកម្មវិធីយកការណ៍ឈ្មោះ ReconShark។ សកម្មភាពចុងក្រោយនេះធ្វើការជាក្រុមកាលពីដើមខែឧសភា ឆ្នាំ២០២៣ និងប្រើអញ្ញត្តិ RandomQuery ដែលត្រូវបង្កើតឡើងដើម្បីប្រមូលឯកសារ និងបង្ហូរទិន្នន័យចេញ។ RandomQuery សហការជាមួយនឹង FlowerPower and AppleSeed នៅក្នុងចំណោមនៃការចែកចាយរបស់ Kimsuky មានមុខងារលួចព័ត៌មាន និងបញ្ចូលមេរោគ trojan ដូចជា TutRAT and xRAT។

ការវាយប្រហារ ចាប់ផ្តើមដោយការផ្ញើសារបញ្ឆោត phishing ដើម្បីដាក់នុយទៅគោលដៅឱ្យបើកឯកសារ Microsoft Compiled HTML Help (CHM)។ គួរកត់សម្គាល់ដែរថា ជំហាន CHM files នេះត្រូវចាត់ទុកថាជាការបញ្ឆោតដោយហេគឃ័រជាតិកូរ៉េខាងជើងផ្សេងទៀតឈ្មោះ ScarCruft។ ការប្រើនូវ CMN file នាំឱ្យមានប្រតិបត្តិការ VB Script ដាក់ចេញសំណើ HTTP GET ដើម្បីបញ្ជាម៉ាស៊ីនមេឱ្យទទួលយក second-stage payload ដែលជាស្នាដៃ RandomQuery។

បន្ទាប់មក មេរោគចាប់ផ្តើមប្រមូលទិន្នន័យ system metadata ដែលកំពុងដំណើរការ ត្រូវដំឡើងកម្មវិធី និងឯកសារពី folders ផ្សេងទៀត ដែលទាំងអស់នេះត្រូវបញ្ជូនត្រលប់ទៅ C2 server។ អ្នកស្រាវជ្រាវថ្លែងថា បេសកកម្មនេះក៏បង្ហាញពីគន្លឹះនៃការបញ្ជូនមេរោគតាមរយៈ CHM file របស់ក្រុមហេគឃ័រ។ ឧប្បត្តិហេតុនេះ បង្ហាញពីទិដ្ឋភាពនៃក្រុមហេគឃ័រកូរ៉េខាងជើង ដែលមិនត្រឹមតែជាចារកម្មនយោបាយប៉ុណ្ណោះទេ ថែមទាំងជាចារកម្មផ្នែកហិរញ្ញវត្ថុដ៏គ្រោះថ្នាក់ថែមទៀត។ ជាមួយគ្នានេះដែរ Kimsuky ក៏វាយប្រហារលើ Windows Internet Information Services (IIS) servers ដើម្បីទម្លាក់ការគំរាមកំហែងដល់ Metasploit Meterpreter post-exploitation framework ដែលត្រូវប្រើមេរោគមានមូលដ្ឋានលើកម្មវិធី Go-based proxy៕

LEAVE A REPLY

Please enter your comment!
Please enter your name here