ក្រុមអ្នកស្រាវជ្រាវ CERT-UA រកឃើញ និងដោះស្រាយការវាយប្រហារសាយប័រមួយនៅលើប្រព័ន្ធព័ត៌មានរបស់រដ្ឋាភិបាលអ៊ុយក្រែន។តាមរយៈការស៊ើបអង្កេត ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា អាសយដ្ឋានអ៊ីម៉េលរបស់នាយកដ្ឋានទទួលការទំនាក់ទំនងនៅថ្ងៃទី18 ខែមេសា ឆ្នាំ2023 និងថ្ងៃទី20 ខែមេសា ឆ្នាំ2023 មានប្រភពចេញពីគណនីអ៊ីម៉េលពិតប្រាកដរបស់ស្ថានទូតប្រទេសតាជីគីស្ថាននៅក្នុងប្រទេសអ៊ុយក្រែន។
ក្រោមការសង្ស័យថាជាលទ្ធផលនៃការសម្របសម្រួលរបស់ស្ថានទូត អ៊ីម៉េលទាំងនេះមានឯកសារភ្ជាប់ជាទម្រង់ហ្វាលឯកសារដែលមានម៉ាក្រូនៅក្នុងចំពោះករណីដំបូង ខណៈពេលដែលមានភ្ជាប់ឯកសារដូចគ្នានៅក្នុងឧប្បត្តិហេតុក្រោយ។នៅពេលហ្វាលឯកសារត្រូវទាញយក ហើយប្រព័ន្ធម៉ាក្រូរបស់វាត្រូវដំណើរការ វាបង្កើត និងបើកហ្វាល DOCX ដែលហៅថា SvcRestartTaskLogon ជាមួយនឹងម៉ាក្រូមួយដែលបង្កើតឯកសារមួយផ្សេងទៀតជាមួយម៉ាក្រូ WsSwapAssessmentTask។
នៅក្នុងនោះមានទាំងហ្វាល SoftwareProtectionPlatform ផងដែរ ដែលគេស្គាល់ថាជា HATVIBE ដែលអាចផ្ទុក និងប្រតិបត្តិហ្វាលឯកសារបន្ថែមទៀត។ ក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតបច្ចេកទេស គេកត់ចូលក្នុងកំណត់ត្រាថា នៅថ្ងៃទី25 ខែមេសា ឆ្នាំ2023 កម្មវិធីបន្ថែមត្រូវបង្កើតនៅលើកុំព្យូទ័រអាចត្រូវសម្របសម្រួលដោយ HATVIBE ក្រោមកាលៈទេសៈមិនច្បាស់លាស់។ កម្មវិធីបង្កើតបន្ថែមនោះមានដូចជា LOGPIE keylogger និងCHERRYSPY backdoor។ មេរោគ STILLARCH ត្រូវប្រើប្រាស់សម្រាប់ការស្វែងរក និងទាញយកឯកសារ ក្នុងនោះមានទាំងទិន្ន័យចេញពី LOGPIE keylogger ដែលនៅកន្ទុយហ្វាលមានពាក្យ .~tmp និង .doc។
ការវិភាគបន្ថែមលើហេដ្ឋារចនាសម្ព័ន្ធ និងទិន្នន័យដែលពាក់ព័ន្ធបង្ហាញឱ្យឃើញថា គោលដៅរបស់ក្រុមវាយប្រហារមានអង្គការមកពីប្រទេសផ្សេងៗដែលចូលរួមក្នុងសកម្មភាពចារកម្មក្រោមឈ្មោះកូដ UAC-0063 ដែលត្រូវតាមដានតាំងពីឆ្នាំ2021មក។ដើម្បីកាត់បន្ថយវិសាលភាពភាពងាយរងគ្រោះ អ្នកជំនាញណែនាំឱ្យកំណត់គណនីអ្នកប្រើប្រាស់ពីការប្រតិបត្តិ mshta.exe ប្រើ Windows Script Host ដែលមានឈ្មោះថា wscript.exe,” “cscript.exe និងឧបករណ៍បកប្រែ Python ដើម្បីកាត់បន្ថយផ្ទៃវាយប្រហារដែលមានសក្តានុពល៕
ប្រភព gbhackers ចុះផ្សាយថ្ងៃទី២៤ ខែឧសភា ឆ្នាំ២០២៣
