SPECTRALVIPER Backdoor វាយប្រហារលើក្រុមហ៊ុនសាធារណៈវៀតណាម

ក្រុមហ៊ុនសាធារណៈវៀតណាមរងការវាយប្រហារពី SPECTRALVIPER backdoor នៅក្នុងយុទ្ធនាកំពុងកើតមាន។ Backdoor ដែលជាកំណែ x64 ដែលមិនធ្លាប់រកឃើញពីមុនមកមានសមត្ថភាពមួយចំនួនក្នុងនោះរួមមាន ការរៀបចំឯកសារ ការក្លែងបន្លំនិមិត្តសញ្ញា និងការផ្ទុក PE។

មន្ទីស្រាវជ្រាវ Elastic Security Labs ចាត់ទុកការវាយប្រហារទាំងនេះថាជា REF2754។ REF2754 គឺជាភ្នាក់ងារគម្រាមកំហែងមួយដែលមានទំនាក់ទំនងជាមួយក្រុមគំរាមកំហែងវៀតណាម APT32។ ក្រុមគំរាមកំហែង APT32 ត្រូវគេស្គាល់ផងដែរថាជាក្រុម Canvas Cyclone ក្រុម Cobalt Kitty និងក្រុម OceanLotus។ខ្សែសង្វាក់នៃការឆ្លងមេរោគចុងក្រោយបំផុតមានពាក់ព័ន្ធនឹងការប្រើប្រាស់ឧបករណ៍ SysInternals ProcDump ដើម្បីទាញយកឯកសារ DLL ដែលមិនមានចុះហត្ថលេខាដែលមានផ្ទុក DONUTLOADER។ ជាបន្តមកទៀត វាទាញយក SPECTRALVIPER និងមេរោគផ្សេងទៀត។

SPECTRALVIPER មានទាក់ទងនឹងម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយតួសម្តែងសម្រាប់ពាក្យបញ្ជា និងប្រើបច្ចេកទេសមិនច្បាស់ដើម្បីទប់ទល់នឹងការវិភាគ។ មេរោគផ្សេងទៀតដែលភ្នាក់ងារគម្រាមកំហែងធ្លាប់ប្រើរួមមាន​ មេរោគ P8LOADER និងកម្មវិធីដំណើរការ PowerShell ហៅថា POWERSEAL។ មេរោគមុនៗអាចបើកដំណើរការបន្ទុកតាមអំពើចិត្តចេញពីឯកសារ ឬពីអង្គចងចាំ ខណៈពេលដែលដំណើរការក្រោយផ្តល់ស្គ្រីប PowerShell ឬពាក្យបញ្ជា។ភ្នាក់ងារ REF2754 មានកលល្បិចស្រដៀងគ្នាជាមួយក្រុមមួយផ្សេងទៀតដែលហៅថា ភ្នាក់ងារ REF4322 ដែលគេដឹងថាកំពុងវាយប្រហារលើអង្គភាពវៀតណាមជាមួយនឹងការផ្សាំមេរោគ PHOREAL។ ការ​តភ្ជាប់​នេះ​បង្ហាញ​ពី​លទ្ធភាព​ដែល​វា​ជា​ការ​គំរាមកំហែង​ផ្នែក​រដ្ឋ​ពី​ប្រទេស​វៀតណាម។

ការគំរាមកំហែងចុងក្រោយបង្អស់

ក្រុមអ្នកស្រាវជ្រាវ Check Point Research រកឃើញយុទ្ធនាការចារកម្មតាមអ៊ីនធឺរណិតដែលវាយប្រហារលើអង្គការលីប៊ីដោយប្រើ backdoor ផ្ទាល់ខ្លួនហៅថា Stealth Soldier។ មេរោគនេះមានសមត្ថភាពឃ្លាំមើលកម្រិតខ្ពស់ ហើយគេជឿថាមានទំនាក់ទំនងជាមួយតួអង្គគំរាមកំហែង The Eye on the Nile។ មេរោគលីនុច BPFDoor ត្រូវធ្វើបច្ចុប្បន្នភាពជាមួយនឹងសមត្ថភាពលាក់ខ្លួនដែលប្រសើរឡើងជាងមុន រួមទាំងការអ៊ិនគ្រីបដ៏រឹងមាំជាងមុន និងការកែលម្អទំនាក់ទំនងសែលបញ្ច្រាស។ ម៉ាស៊ីនកំចាត់មេរោគដែលមាននៅលើវេទិកានោះមិនដាក់ទង់សម្គាល់លើកំណែចុងក្រោយបំផុតរបស់មេរោគ BPFDoor ថាជាមេរោគព្យាបាទនោះទេ។

SPECTRALVIPER អាចត្រូវចងក្រងជាកម្មវិធីដែលអាចប្រតិបត្តិ ឬ DLL ដើម្បីធ្វើតាមការនាំចេញប្រព័ន្ធគោលពីរដែលគេស្គាល់។ មេរោគនេះប្រើប្រាស់បណ្តាញទំនាក់ទំនងដែលអ៊ិនគ្រីប (HTTP និងចន្លោះប្រហោងដែលមានឈ្មោះ) ជាមួយនឹងការអ៊ិនគ្រីប AES និងការផ្លាស់ប្តូរសោ Diffie-Hellman ឬ RSA1024 ៕

ប្រភព cyware ចុះផ្សាយថ្ងៃទី១៣ ខែមិថុនា ឆ្នាំ២០២៣