ក្រុមហ៊ុន Microsoft បានថ្លែងថា ក្រុមហេគឃ័ររបស់កូរ៉េខាងជើងកំពុងតែវាយប្រហារទៅលើកំហុសផ្នែកសុវត្ថិភាពយ៉ាងសកម្មនៅក្នុងកម្មវិធី JetBrains TeamCity ដើម្បីអាចគ្រប់គ្រងទៅលើម៉ាស៊ីនមេ។ការវាយប្រហារលើបញ្ហា CVE-2023-42793 (CVSS score: 9.8) ត្រូវបានវាយប្រហារដោយក្រុម Diamond Sleet (aka Labyrinth Chollima) និងក្រុម Onyx Sleet (aka Andariel or Silent Chollima)។ គួរកត់សម្គាល់ដែរថា សកម្មភាពវាយប្រហារទាំងពីរក្រុម គឺជាស្នាដៃរបស់ក្រុមហេគឃ័ររបស់កូរ៉េខាងជើងដែលគេស្គាល់ថាជាក្រុម Lazarus Group។
មួយនៅក្នុងចំណោមការវាយប្រហារទាំងពីរនោះជាស្នាដៃរបស់ក្រុម Diamond Sleet ក្រុមនេះបានធ្វើការគ្រប់គ្រងទៅលើម៉ាស៊ីនមេរបស់ TeamCity ដោយជោគជ័យ ហើយក៏ត្រូវបានប្រតិបត្តិតាមការកែប្រែរបស់ក្រុមដែលគេស្គាល់ថា ForestTiger ពីហេដ្ឋារចនាសម្ព័ន្ធស្របច្បាប់មួយ ដែលត្រូវបានគ្រប់គ្រង និងរៀបចំដោយក្រុមហេគឃ័រ (Threat Actor)។ រីឯ អញ្ញត្តិទី២ នៃការវាយប្រហារដើម្បីចាប់ផ្តើមឈរជើង និងទៅចាប់យក File ជាប្រភេទ DLL ដែលបង្កប់កូដមេរោគ (DSROLE.dll aka RollSling ឬ Version.dll ឬ FeedLoad) ដែលត្រូវបាន Load ដោយបច្ចេកវិទ្យា DLL search-order hijacking ដើម្បីប្រតិបត្តិការ Payload ដំណាក់កាលបន្ទាប់ ឬបញ្ជាដំណើរការមេរោគ Trojan ពីចម្ងាយ (RAT)។
ក្រុមហ៊ុន Microsoft បានថ្លែងថា ខ្លួនបានឃើញហេគឃ័រប្រើប្រាស់ Tools និងបច្ចេកទេសទាំង២នេះ រួមបញ្ចូលគ្នាដើម្បីធ្វើការវាយប្រហារ។ នៅក្នុងការវាយប្រហាររបស់ Onyx Sleet ពួកគេបានកេងចំណេញលើបញ្ហានៅក្នុង JetBrains TeamCity ដើម្បីបង្កើតគណនីអ្នកប្រើប្រាស់ថ្មីឈ្មោះ krtbgt ក្នុងបំណងក្លែងបន្លំ Kerberos Ticket Granting Ticket។ បន្ទាប់ពីបង្កើតគណនី ហេគឃ័របន្ថែមវាទៅក្នុង Local Administrators Group តាមរយៈការប្រើប្រាស់ Net។ ហេគឃ័រក៏បានព្យាយាមដំណើរការពាក្យបញ្ជាជាច្រើនដើម្បីស្វែងរក (Discovery Commands) នូវពាក្យបញ្ជាផ្សេងៗដែលធ្លាប់ប្រើប្រាស់កន្លងមកនៅលើ Compromised System ។ ក្រោយមកទៀត ហេគឃ័រក៏ដាក់ពង្រាយ Custom Proxy Tool ឈ្មោះ HazyLoad ដើម្បីជួយបង្កើតទំនាក់ទំនងជាប់លាប់រវាង Compromised host និងរចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយហេគឃ័រ។ អ្វីដែលគួរឱ្យកត់សម្គាល់ក្រោយ Compromise របស់គណនីឈ្មោះ krtbgt ដែលគ្រប់គ្រងដោយហេគឃ័រសម្រាប់ Sign In ចូល Compromised Device តាមរយៈ Remote Desktop Protocol (RDP) និងការបញ្ចប់ TeamCity Service នោះ ត្រូវបានដាក់ដេញថ្លៃ ជៀសវាងការលួចចូលពីហេគឃ័រផ្សេងទៀត។
ជាច្រើនឆ្នាំមកហើយ ក្រុម Lazarus បានបង្កើតឡើងជាក្រុមវាយប្រហារកម្រិតខ្ពស់ (APT) ដែលគួរឱ្យខ្លាច និងស្មុគស្មាញ បច្ចុប្បន្នក្រុមនេះកំពុងតែរៀបចំធ្វើឧក្រឹដ្ឋកម្មហិរញ្ញវត្ថុ និងចារកម្ម តាមរយៈការលួចបន្លំ Cryptocurrency និងវាយប្រហារតាមខ្សែច្រវាក់ផ្គត់ផ្គង់។ ទីប្រឹក្សាសន្តិសុខជាតិអាមេរិកលោក Anne Neuberger បានថ្លែងថា យើងជឿជាក់ថាការវាយប្រហាររបស់កូរ៉េខាងជើងជុំវិញរចនាសម្ព័ន្ធ Cryptocurrency នៅទូទាំងពិភពលោករួមមានប្រទេស សិង្ហបូរី វៀតណាម និងហុងកុង គឺជាប្រភពនៃប្រាក់ចំណូលសម្រាប់ផ្គត់ផ្គង់កម្មវិធីមីស៊ីលរបស់ពួកគេ និងការបាញ់បង្ហោះមីស៊ីលជាច្រើនគ្រាប់ ដែលយើងបានមើលឃើញកាលពីឆ្នាំមុននេះ។
ការវិវឌ្ឍរបស់ AhnLab Security Emergency Response Center (ASEC) បានលម្អិតថា ក្រុម Lazarus ប្រើប្រាស់គ្រួសារមេរោគជាច្រើន (Malware Families) ដូចជា Volgmer និង Scout ដើម្បីជា Backdoors សម្រាប់គ្រប់គ្រងលើ System ដែលបានឆ្លងមេរោគ។ ក្រុមហ៊ុនសន្តិសុខកូរ៉េខាងត្បូងក៏បានលើកឡើងថា ក្រុម Lazarus គឺជាក្រុមមួយដែលមានគ្រោះថ្នាក់ចំពោះសកលលោក ដោយសារតែក្រុមនេះបានប្រើវ៉ិចទ័រចម្រុះដូចជា Spear-phishing និងការវាយប្រហារលើខ្សែច្រវាក់ផ្គង់ផ្គង់ ដើម្បីភ្ជាប់បណ្តាញទៅយុទ្ធនាការផ្សេងឈ្មោះ Operation Dream Magic។ ពាក់ព័ន្ធនឹងការវាយប្រហារ Watering hole ដែលត្រូវបានប្រើតំណរភ្ជាប់ (Links) បញ្ឆោត ដែលផ្តោតទៅលើអត្ថបទរបស់គេហទំព័រសារព័ត៌មានមិនជាក់លាក់ ប្រើជាអាវុធបង្កបញ្ហានៅក្នុង INISAFE និង MagicLine products ដើម្បីចម្លងមេរោគផងដែរ។ ក្រៅពីនេះ ASEC ក៏បានចែករំលែកការគំរាមកំហែងផ្សេងទៀតឈ្មោះ Kimsuky (aka APT43) ក្នុងការវាយប្រហារបែប Spear-Phishing ដោយប្រើមេរោគ BabyShark ដើម្បីដំឡើង Motley Slate នៃ Remote Desktop Tools និង VNC Software (i.e., TightVNC and TinyNuke) ដើម្បីបញ្ជាលើប្រព័ន្ធជនរងគ្រោះ និងប្រមូលយកព័ត៌មាន៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែតុលា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
