រដ្ឋាភិបាលអាស៊ីអាគ្នេយ៍មិនស្គាល់ឈ្មោះបានក្លាយជាគោលដៅនៃការវាយប្រហាររបស់ក្រុមហេគឃ័រ China-nexus នៅក្នុងយុទ្ធនាការចារកម្ម ដែលមានគោលដៅនៅក្នុងតំបន់ ជាយូរមកហើយ។អ្នកស្រាវជ្រាវនៅ Palo Alto Networks Unit 42 បានថ្លែងនៅក្នុងរបាយការណ៍ថា នៅពេលសកម្មភាព នេះកើតឡើងនៅពេលដំណាលគ្នា និងវាយប្រហារលើម៉ាស៊ីនជនរងគ្រោះដូចគ្នា ប៉ុន្តែ Cluster នីមួយៗត្រូវបានកំណត់ដោយ Tools, Modus operandi និងរចនាសម្ព័ន្ធផ្សេងគ្នា។ ការវាយប្រហារមានគោលដៅលើអង្គភាពរដ្ឋាភិបាលផ្សេងគ្នាដូចជា រចនាសម្ព័ន្ធសំខាន់, ស្ថាប័នសុខាភិបាលសាធារណៈ និង Administrators និងក្រសួងហិរញ្ញវត្ថុសាធារណៈ ត្រូវបានគេសន្មតថាមាន Clusters tracked ចំនួន៣ ផ្សេងគ្នាដូចជា Stately Taurus (aka Mustang Panda), Alloy Taurus (aka Granite Typhoon) និង Gelsemium។
ហេគឃ័រ Mustang Panda ប្រើអញ្ញត្តិ TONESHELL និង ShadowPad៖ អ្នកស្រាវជ្រាវបានថ្លែងថា ហេគឃ័រដំណើរការយុទ្ធនាការចារកម្ម ដែលផ្តោតលើការប្រមូល ក៏ដូចជាការលួចឯកសារ និងព័ត៌មានសំខាន់ៗ និងអាចសម្ងំលាក់ខ្លួនបានយូរ។ សកម្មភាពពង្រីកពីត្រីមាសទី២ នៃឆ្នាំ២០២១ ទៅដល់ត្រីមាសទី៣ នៃឆ្នាំ២០២៣ ប្រើ Tools ដើម្បីឈ្លបយកការណ៍, លួចព័ត៌អត្តសញ្ញាណ, Maintain access និងធ្វើសកម្មភាពក្រោយ Compromise។ កម្មវិធីមួយចំនួនដែលហេគឃ័រប្រើដើម្បីចូលទៅដល់ Compromise រួមមាន LadonGo open-source scanning framework, AdFind, Minikatz, Impacket, China Chopper web shells, Cobalt Strike, ShadowPad និងទ្វារក្រោយជំនាន់ថ្មី TONESHELL។ មេរោគនេះប្រើ Shellcode នៃ DLL-based components ដើម្បីសម្ងំនៅ Endpoint, បង្កើតការទំនាក់ទំនង Command-and-control ជាមួយម៉ាសុីនមេ និងលួចព័ត៌មានចេញ រួមទាំងប្រតិបត្តិការ Command, file system interaction, keylogging និងថតអេក្រង់។ អ្នកស្រាវជ្រាវបានបន្ថែមថា អំឡុងពេលប្រតិបត្តិការ ហេគឃ័រគ្រប់គ្រងលើមជ្ឈដ្ឋានជនរងគ្រោះសន្សឹមៗ ដែលផ្តោតលើ Maintaining control សម្រាប់ប្រតិបត្តិការយៈពេលវែង។ គោលបំណងរបស់ហេគឃ័រគឺបន្តប្រមូល និងច្រោះយកឯកសារ និង Intelligence សម្ងាត់។
ហេគឃ័រ Alloy Taurus មានបំណងលាក់ខ្លួនដោយគ្មាននរណាដឹងរយៈពេលយូរ៖ ការឈ្លានពានរបស់ Alloy Taurus កើតមានតាំងពីដើមឆ្នាំ២០២២ និងបន្តដល់ឆ្នាំ២០២៣ តាមរយៈការប្រើបច្ចេកទេសមិនធម្មតា និងអាចឆ្លងកាត់ផលិតផលសុវត្ថិភាព និងឈ្លបយកការណ៍ អស់ពេលជាយូរ។ ការវាយប្រហារ កើតឡើងតាមរយៈការប្រើកំហុស សុវត្ថិភាពនៅក្នុង Microsoft Exchange Server ដើម្បីដាក់ពង្រាយ Web Shells បន្ទាប់មកធ្វើការបញ្ជូន Payloads បន្ថែម ដែលមាន .NET backdoors Zapoa និង ReShell ដើម្បីបញ្ជាពីចម្ងាយតាមចិត្ត និងប្រមូលទិន្នន័យសំខាន់។ Zapao ក៏ទាញយក System information, run shellcode, enumerate running processes, load more .NET assembly files ដើម្បីបង្កើនសមត្ថភាព និង Timestamp files និង Artifacts ជាមួយកាលបរិច្ឆេទផ្គត់ផ្គង់ (supplied date) ដែលគេហៅថា Timestomping។
អ្នកស្រាវជ្រាវបានបន្តថា ហេគឃ័រនៅពីគ្រោយ Cluster នេះប្រើវិធីសាស្រ្តចាស់ទុំ ដែលប្រើការឈ្លានពាន Multiwave និងកេងចំណេញលើបញ្ហានៅក្នុង Exchange Servers ជាវុិចទ័រជ្រៀតចូលសំខាន់របស់ពួកគេ។ នៅក្នុងករណីខ្លះ Alloy Taurus ក៏ត្រូវបានគេមើលឃើញថា ជាចោរលួចអត្តសញ្ញាណ ដើម្បីសម្រួលដល់ការផ្លាស់ទី ដោយប្រើ Remote Administration tool AnyDesk ដែលមានវត្តមាននៅក្នុងមជ្ឈដ្ឋានដែលបានជ្រៀតចូលស្រាប់នោះ។ កម្មវិធីដែលដំឡើងដោយហេគឃ័ររួមមាន Cobalt Strike, Quasar RAT, HDoor (គឺជាទ្វារក្រោយដែលប្រើដោយក្រុមហេគឃ័រជនជាតិចិន ដូចជា Nailon និង Goblin Panda), អញ្ញតិ្ត Gh0st RAT ដែលគេស្គាល់ថាជា Gh0stCringe និង Winnti ដែលមានសមត្ថភាព Implant នៃការបញ្ជាពីចម្ងាយទៅលើម៉ាសុីនដែលឆ្លងមេរោគ។
ក្រុមហេគឃ័រ Gelsemium វាយប្រហារលើភាពងាយរងគ្រោះរបស់ IIS Servers៖ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា Unique Cluster នេះមានសកម្មភាពរយៈពេល ៦ខែ នៅចន្លោះឆ្នាំ២០២២ និងឆ្នាំ២០២៣។ វារួមបញ្ចូលគ្នារវាង Tools ដ៏កម្រ និងតិចនិក ដែលហេគឃ័រប្រើដើម្បីបង្កើតទីតាំងសម្ងាត់ និងប្រមូល Intelligence ពី IIS servers សំខាន់ៗ ដែលជារបស់ស្ថាប័នរដ្ឋាភិបាលនៅអាស៊ីអាគ្នេយ៍។ ខ្សែច្រវាក់នៃការវាយប្រហារផ្តោតលើភាពងាយរងគ្រោះ Web servers ដើម្បីដំឡើង Web shells និងចែកចាយទ្វារក្រោយដូចជា OwlProxy និង SessionManager ដែលស្រដៀងនឹងការប្រើ Tools ផ្សេង ដូចជា Cobalt Strike, Meterpreter, Earthworm និង SpoolFool សម្រាប់ការកេងចំណេញពេលក្រោយ, បញ្ជូន Command-and-control traffic និងបង្កើនសិទ្ធិ។ OwlProxy គឺជា HTTP proxy និងមានមុខងារជាទ្វារក្រោយ ដែលត្រូវបានរកឃើញកាលពីខែមេសា ឆ្នាំ២០២០។ Kaspersky បានលម្អិតកាលពីខែកក្កដា ថា SessionManager គឺជាទ្វារក្រោយ ដែលត្រូវបានបង្កើតឡើងសម្រាប់ញែក Cookie field នៅក្នុង Inbound HTTP ស្នើសុំ ដើម្បីទាញយកពាក្យបញ្ជា ដែលចេញពីហេគឃ័រ។ អ្នកស្រាវជ្រាវបានលើកឡើងថា ហេគឃ័រទទួលដំណើរការតាមរយៈការប្រើ Web shells បន្ទាប់ពីការដំឡើង Proxy malware និង IIS backdoor។ នៅពេលដែលហេគឃ័រមិនអាចដំឡើងមេរោគបាន ពួកគេព្យាយាមប្រើ Tools ថ្មីៗ ដែលបង្ហាញពីសមត្ថភាពសម្របខ្លួនរបស់ពួកគេ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៥ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
