អ្នកស្រាវជ្រាវសន្តិសុខសាយប័របានរកឃើញទ្វារក្រោយ (backdoor) ឈ្មោះ Deadglyph ដែលត្រូវបានដាក់ពង្រាយដោយក្រុមហេគឃ័រ Stealth Falcon។បើយោងតាម ESET បានថ្លែងថា ទ្វារក្រោយ Deadglyph ត្រូវបានបង្កើតឡើងជាមួយនឹងសមត្ថភាពមិនធម្មតានៃសមាសភាពផ្សំជាមួយ native x64 binary និង .NET assembly។ ការរួមបញ្ចូលគ្នាប្លែក ដោយសារមេរោគប្រើភាសាកម្មវិធីតែមួយគត់សម្រាប់ Components របស់វា។ ភាពខុសប្លែកនេះបង្ហាញពីការវិវឌ្ឍដាច់ដោយឡែកនៃ Components ទាំង២ ខណៈពេលនៃការកេងចំណេញពី Features តែមួយនៃភាសាកម្មវិធីផ្សេងគ្នា។ វាក៏ត្រូវបានសង្ស័យថា ការប្រើប្រាស់ភាសាកម្មវិធីផ្សេងគ្នាគឺជាតិចនិក ដើម្បីគេចពីការវិភាគ ដែលធ្វើឱ្យវាអាចគេចពីការតាមចាប់ និងកំហុស (navigate និង debug)។ មិនដូចទ្វារក្រោយផ្សេងទេ Commands របស់ Deadglyph ទទួលបានពីម៉ាសុីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ នៅក្នុងទម្រង់នៃ Modules ដែលអនុញ្ញាតឱ្យវាអាចបង្កើតដំណើរការថ្មី អានឯកសារ និងប្រមូលព័ត៌មានពី Compromised systems។
ក្រុមហេគឃ័រ Stealth Falcon (aka FruityArmor) ត្រូវបានរកឃើញដោយ Citizen Lab កាលពីឆ្នាំ២០១៦ នៅក្នុងយុទ្ធនាការ Middle East វាយប្រហារលើអ្នកកាសែត សកម្មជន និងអ្នកប្រឆាំង នៅ U.A.E. ដែលប្រើ Spear-phishing បង្កប់នូវ Booby-trapped links នៅក្នុងឯកសារ Macro-laced ដើម្បីបញ្ជូនមេរោគដែលអាចប្រតិបត្តិការ Commands តាមចិត្ត។ ការស្រាវជ្រាវរបស់ Reuters កាលពីឆ្នាំ២០១៩ បានបង្ហាញពីប្រតិបត្តិការឈ្មោះ Project Raven ដែលពាក់ព័ន្ធនឹងក្រុមអតីតស៊ើបការណ៍សម្ងាត់របស់អាមេរិក ដែលត្រូវបានជ្រើសរើស ដោយក្រុមហ៊ុនអុីនធឺណិត DarkMatter ដើម្បីឈ្លបយកការណ៍លើគោលដៅដែលរិះគន់របបរាជានិយមអារ៉ាប់។
ទាំង Stealth Falcon និង Project Raven ត្រូវបានគេជឿជាក់ថាគឺជាក្រុមតែ១ បើយោងតាមតិចនិក និងគោលដៅនៃការវាយប្រហារ។ ក្រុមនេះបានកេងចំណេញលើ zero-day នៅក្នុង Windows ដូចជា CVE-2018-8611 និង CVE-2019-0797 បើយោងតាមការបញ្ជាក់ពី Mandiant កាលពីខែមេសា ឆ្នាំ២០២០។ ជាងនេះទៀត ក្រុមនេះប្រើ zero-days ច្រើនជាងក្រុមដទៃទៀត តាំងពីឆ្នាំ២០១៦ ដល់ឆ្នាំ២០១៩។
ESET បានលម្អិតថា ហេគឃ័រប្រើទ្វារក្រោយ Win32/StealthFalcon ត្រូវបានរកឃើញនៅលើ Windows Background Intelligent Transfer Service (BITS) សម្រាប់ទំនាក់ទំនង Command-and-control (C2) និងដើម្បីគ្រប់គ្រងលើ Endpoint ទាំងស្រុង។ ទ្វារក្រោយ Deadglyph គឺជាជំនាន់ចុងក្រោយបំផុតរបស់ក្រុម Stealth Falcon បើយោងតាមការវិភាគរបស់ក្រុមហ៊ុន Slovak cybersecurity ចំពោះការវាយប្រហារលើអង្គភាពរដ្ឋាភិបាលមជ្ឈឹមបូព៌ា (Middle East)។ វិធីសាស្រ្តដែលហេគឃ័រប្រើគឺដើម្បីដាក់បញ្ចូលមេរោគ (implant) តែនៅពេលនេះ នៅមិនទាន់ដឹងពីបច្ចេកទេសវាយប្រហារច្បាស់នៅឡើយទេ ប៉ុន្តែគេដឹងត្រឹមថា Component ចាប់ផ្តើមដំណើរការដំបូងនោះគឺប្រើ Shellcode loader ដែលទាញយក និងផ្ទុក Shellcode ពី Windows Registry ដែលក្រោយមកបើកដំណើរការ Deadglyph’s native x64 module។ក្រុមហ៊ុនបានថ្លែងថា Deadglyph មានយន្តការប្រឆាំងនឹងការរកឃើញជាច្រើនរួមទាំង ការត្រួតពិនិត្យ ជាបន្តបន្ទាប់នៃប្រព័ន្ធដំណើរការ និងអនុវត្ត Randomized network patterns។ ជាងនេះទៀត ទ្វារក្រោយនេះ មានសមត្ថភាពលុបខ្លួនវាចោល (uninstall) ដើម្បីគេចពីការរកឃើញថែមទៀត៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៣ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
