ហេគឃ័របានសហការជាមួយក្រុមហ៊ុនផ្តល់សេវាឧក្រឹដ្ឋកម្មសាយប័រវៀតណាមដើម្បីបន្លំការផ្សាយពាណិជ្ជកម្មនៅលើ Platforms បណ្តាញសង្គមដូចជា Facebook ក្នុងគោលដៅចែកចាយមេរោគ។អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន WithSecure បានថ្លែងថា ហេគឃ័របានប្រើការផ្សាយពាណិជ្ជកម្មឆបោកជាវុិចទ័រដើម្បីឆ្ពោះទៅរកជនរងគ្រោះជាមួយនឹងការ Scams, ការផ្សាយពាណិជ្ជកម្មមិនពិតជាដើម។ ការធ្វើអាជីវកម្មនៅពេលនេះប្រើប្រាស់បណ្តាញសម្រាប់ផ្សព្វផ្សាយពាណិជ្ជកម្ម ហើយហេគឃ័រក៏មានល្បិចឆបោកថ្មីៗដើម្បីលួចគណនីអាជីវកម្ម។ ឧក្រឹដ្ឋកម្មតាមអុីនធឺណិតវាយប្រហារលើអាជីវកម្ម Meta និងគណនី Facebook ដែលទទួលបានការពេញនិយមកាលពីឆ្នាំមុន ពីក្រុម Ducktail និង NodeStealer ដែលគេស្គាល់ថាជាអ្នកវាយប្រហារលើអាជីវកម្ម និងបុគ្គលដែលប្រើ Facebook។ នេះជាវិធីសាស្រ្តមួយក្នុងចំណោមវិធីសាស្រ្តឆបោកដែលឧក្រឹដ្ឋជនសាយប័រប្រើ ដើម្បីអាចចូលប្រើគណនីជនរងគ្រោះបានដោយគ្មានការអនុញ្ញាត។
ហេគឃ័រអាចចូលទៅជិតជនរងគ្រោះបានតាមរយៈ Platforms ផ្សេងៗដែល Rang ពី Facebook និង LinkedIn ទៅ WhatsApp និង Freelance Job Portals ដូចជា Upwork។ ក្រៅពីនោះនៅមានយន្តការចែកចាយ Search Engine Poisoning ដើម្បី Boost កម្មវិធីក្លែងក្លាយដូចជា CapCut, Notepad++, OpenAI ChatGPT, Google Bard និង Meta Threads។ ធាតុដែលសំខាន់នៅក្នុងក្រុមនេះគឺការប្រើប្រាស់ URL Shortener Services, Telegram សម្រាប់ Command-and-Control (C2) និងសេវាក្លោដស្របច្បាប់ដូចជា Trello, Discord, Dropbox, iCloud, OneDrive និង Mediafire ដើម្បី Host Payloads អាក្រក់។ ហេគឃ័រនៅក្រោយ Ducktail បញ្ឆោតទាក់ទងនឹងប្រធានបទម៉ាកយីហោ និងគម្រោងធ្វើទីផ្សារដើម្បីជ្រៀតចូលទៅកាន់បុគ្គល និងអាជីវកម្មដែលប្រើ Platform អាជីវកម្មរបស់ Meta ជាមួយនឹងការប្រើតិចនិកថ្មីទាក់ទងនឹងការងារ ឬជ្រើសរើសបុគ្គលិក។ នៅក្នុងការវាយប្រហារទាំងនេះ គោលដៅចម្បងគឺតម្រង់ទៅរកការបន្លំការ Post នៅលើ Upwork និង Freelancer តាមរយៈ Facebook Ads ឬ LinkedIn InMail ដែលមានលីងទៅកាន់ឯកសារពណ៌នាការងារដែលបង្ហោះនៅលើក្លោដ ទីបំផុតនាំទៅដល់ការដាក់ពង្រាយមេរោគ Ducktail។ អ្នកស្រាវជ្រាវនៅ Zscaler ThreatLabz បានកត់សម្គាល់ថា មេរោគ Ducktail លួចរក្សាទុក (save) Session Cookies ពី Browsers ជាមួយ Code ដែលអាចគ្រប់គ្រងលើគណនីអាជីវកម្ម Facebook ដែលមានតម្លៃចាប់ពី 15$-340$។ ឧប្បត្តិហេតុនេះកើតមានកាលពីខែកុម្ភៈ និងខែមីនា ឆ្នាំ២០២៣ ពាក់ព័ន្ធនឹងការប្រើប្រាស់ Shortcut និង PowerShell files ដើម្បីដោនឡូត និង Launch មេរោគ ដែលបង្ហាញពីបដិវត្តន៍របស់ហេគឃ័រ។ ក្រៅពីនេះ នៅមានការលួចព័ត៌មានពីអ្នកប្រើប្រាស់ Twitter, TikTok Business និង Google Ads ផងដែរ បន្ថែមពីលើការលួច Facebook Session Cookies ដើម្បីបង្កើតការបន្លំការផ្សាយពាណិជ្ជកម្ម និងការបង្កើនសិទ្ធិដើម្បីប្រតិបត្តិការផ្សេងៗ។ វិធីសាស្រ្តដំបូង ដើម្បីគ្រប់គ្រងលើ Compromised Account របស់ជនរងគ្រោះគឺបន្ថែមអាសយដ្ឋានអុីម៉ែលរបស់ពួកគេទៅលើគណនីនោះ ក្រោយមកប្តូរលេខសម្ងាត់ និងអាសយដ្ឋានអុីម៉ែល Facebook របស់ជនរងគ្រោះ ដើម្បីបិទ (lock) ជនរងគ្រោះមិនឱ្យចូលដំណើរការបាន។
លក្ខណៈថ្មីដែលមាននៅក្នុងមេរោគ Ducktail កាលពីខែកក្កដា ឆ្នាំ២០២៣ គឺការប្រើ RestartManager (RM) ដើម្បី Kill ដំណើរការបិទ (lock) Browser Databases បើយោងតាម WithSecure។ សមត្ថភាពនេះត្រូវបានរកឃើញនៅក្នុងមេរោគចាប់ជម្រិត ដោយសារតែឯកសារដែលត្រូវបានប្រើសម្រាប់ដំណើរការនេះមិនអាចត្រូវបានអុីនគ្រីបនោះទេ។ ជាងនេះទៀត Payload ចុងក្រោយត្រូវបានបិទបាំងដោយការប្រើកម្មវិធីិ Loader ដើម្បីឌីគ្រីប និងប្រតិបត្តិនៅពេលដំណើរការ ដែលត្រូវបានគេមើលឃើញថាមានបំណងបង្កើនភាពស្មុគស្មាញ និងគេចពីការតាមចាប់។ ក្រៅពីនោះ នៅមានវិធីសាស្រ្តផ្សេងទៀត ដើម្បីលាក់ខ្លួនគឺប្រើឈ្មោះដែលបង្កើតឡើងដោយពឹងលើ SmartAssembly, Bloating និង Compression ដើម្បីឱ្យមេរោគអាចគេចពីការតាមចាប់ (obfuscate malware)។ Zscaler បានថ្លែងថា វាប្រទះឃើញករណីដែលក្រុមហេគឃ័រចាប់ផ្តើមទាក់ទងទៅគណនី Compromised LinkedIn ដែលជាកម្មសិទ្ធិរបស់អ្នកប្រើប្រាស់ធ្វើការនៅផ្នែកទីផ្សារ ដោយសារតែពួកគេមានទំនាក់ទំនងជាមួយនឹងមនុស្សច្រើនចាប់ពី 500-1000នាក់ (follower)។ អ្នកស្រាវជ្រាវបានបន្តថា ចំនួន Connections/Followers ជួយផ្តល់ភាពត្រឹមត្រូវទៅគណនី Compromised និងសម្រួល (Facilitate) ដល់ដំណើរការ Social Engineering ដល់ហេគឃ័រ។ ត្រង់នេះក៏មានលើកឡើងពីការប្រកាសមេរោគ Ducktail ដែលប្រើអត្តសញ្ញាណ LinkedIn និង Cookies ដែលត្រូវបានលួចពីជនរងគ្រោះ ដើម្បីវាយប្រហារ តាមរយៈការ Login ទៅកាន់គណនីជនរងគ្រោះ និងទាក់ទងទៅគោលដៅផ្សេងទៀត និងពង្រីកខ្លួនបន្ថែម។
មេរោគ Ducktail ត្រូវបានគេនិយាយថាគឺជាស្នាដៃរបស់ហេគឃ័រវៀតណាម ដែលកំពុងតែជំរុញ Shared Tooling និងតិចនិក ដើម្បីវាយប្រហារ។ នេះរួមទាំង Ducktail Copycat ឈ្មោះ Duckport ដែលមានដំណើរការតាំងពីខែមីនា ឆ្នាំ២០២៣ និងលួចព័ត៌មាន Platforms របស់ Meta និង Business Account។ គួរកត់សម្គាល់ដែរថា យុទ្ធនាការដែល Zscaler កំពុងតែតាមដូចជា Ducktail គឺជា Duckport បើយោងតាម WithSecure ត្រូវបានបែងចែកដោយម្ចាស់ហេគឃ័រផ្សេងគ្នានៅក្នុង Telegram Channels ដែលប្រើ C2, Source Code Implementation ការពិតគឺថា Strains ទាំង២ មិនដែលផ្តាច់ខ្លួនចេញពីគ្នាទេ។ ខណៈដែល Ducktail បានជំរុញគុណភាពនៃការប្រើគេហទំព័របន្លំ គឺជាផ្នែកមួយនៃ Social Engineering ដែលវាបានក្លាយជាតិចនិកទូទៅសម្រាប់ DuckPort ជំនួសឱ្យការផ្តល់ជូននូវការដោនឡូតលីងទៅកាន់ File Hosting Service ដូចជា Dropbox (ដែលអាចនឹងមានការសង្ស័យ) មេរោគ Duckport ផ្ញើលីង Branded Sites ទៅកាន់ជនរងគ្រោះ ដែលពាក់ព័ន្ធនឹងម៉ាក/ក្រុមហ៊ុនក្លែងក្លាយ បន្ទាប់មកពួកគេដោនឡូត Archive អាក្រក់ពី File Hosting Services (ដូចជា Dropbox)។ មេរោគ Duckport ខណៈពេលដែលពឹងលើមេរោគ Ducktail វាក៏ផ្តល់ជាមួយនូវលក្ខណៈពិសេសដូចជាការពង្រីកព័ត៌មានដែលលួចបាន និងសមត្ថភាពលួចគណនី និងថតអេក្រង់ ឬកេងចំណេញលើ Note-taking Services អនឡាញដែលជាផ្នែកមួយនៃ C2 Chain ជាពិសេសជំនួស Telegram ជា Channel ដើម្បីបោះ Commands ទៅកាន់ម៉ាសុីនជនរងគ្រោះ។ Centric Element របស់ហេគឃ័រវៀតណាមមានជំនាញក្នុងការបន្លំ (Overlap), Infrastructure, ស្នើសុំជនរងគ្រោះឱ្យទាក់ទងជាមួយហេគឃ័រ, Shared Tooling and TTPs ឆ្លងកាត់ក្រុមហេគឃ័រទាំងនេះ ឬ Fractured និង Service-oriented Vietnamese Cybercriminal Ecosystem (akin to ransomware-as-a-service model) Centered ជំុវិញ Social Media Platforms ដូចជា Facebook បើយោងតាមក្រុមហ៊ុន WithSecure៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
