ហេគឃ័រប៉ាគីស្ថាន SideCopy ត្រូវបានគេមើលឃើញថា នាពេលថ្មីៗនេះបានប្រើប្រាស់ភាពងាយរងគ្រោះរបស់ WinRAR ក្នុងគោលដៅដើម្បីការវាយប្រហារលើអង្គភាពរដ្ឋាភិបាលឥណ្ឌា ដើម្បីបញ្ជូនមេរោគបញ្ជាពីចម្ងាយ (Remote access trojans) ដូចជា AllaKore RAT, Ares RAT, និង DRat។
ក្រុមហ៊ុនសន្តិសុខ SEQRITE បានពណ៌នាពីយុទ្ធនាការនៅលើ Multi-platform ថាមានការវាយប្រហារក៏ដូចជាការបង្កើតឡើងដើម្បីជ្រៀតចូលទៅក្នុងប្រព័ន្ធលីនុច ជាមួយនឹង Compatible Version របស់ Ares RAT។ ក្រុមហេគឃ័រ SideCopy ដំណើរការតាំងពីឆ្នាំ២០១៩ ល្បីថាវាយប្រហារលើស្ថាប័ននៅប្រទេសឥណ្ឌា និងអាហ្វានីស្ថាន។ វាត្រូវបានសង្ស័យថាជាផ្នែកមួយនៃក្រុមហេគឃ័រ Transparent Tribe (aka APT36)។ អ្នកស្រាវជ្រាវនៅ SEQRITE បានថ្លែងថា ទាំងក្រុម SideCopy និង APT36 បានធ្វើការចែករំលែក (Share) រចនាសម្ព័ន្ធ និងកូដដើម្បីវាយប្រហារលើប្រទេសឥណ្ឌា។ កាលពីដើមខែឧសភានេះ ក្រុមហេគឃ័រនេះបានជាប់ពាក់ព័ន្ធនឹងយុទ្ធនាការឆបោក ដែលកេងចំណេញដោយការលួងលោមអង្គការអភិវឌ្ឍ និងស្រាវជ្រាវការពាររបស់ប្រទេសឥណ្ឌា (Defence Research and Development Organization (DRDO)) ឱ្យបញ្ជូនមេរោគលួចព័ត៌មាន។ តាំងពីពេលនោះមក ក្រុមហេគឃ័រ SideCopy ជាប់ពាក់ព័ន្ធនឹងយុទ្ធនាការវាយប្រហារលើផ្នែកការពាររបស់ប្រទេសឥណ្ឌា តាមរយៈការប្រើ ZIP Archive Attachments ដើម្បីផ្សាយមេរោគ Action RAT និង .NET-based Trojan ដែល Support 18 Different Commands របស់លីនុច។ យុទ្ធនាការថ្មីត្រូវបានរកឃើញដោយក្រុមហ៊ុន SEQRITE មានខ្សែច្រវាក់វាយប្រហារ២ផ្សេងគ្នាគឺមានគោលដៅលើប្រព័ន្ធប្រតិបត្តិការលីនុច និងWindows។
អតីតប្រព័ន្ធគោល២ Golang-based ELF ដែលបានបើកផ្លូវសម្រាប់ជំនាន់លីនុច Ares RAT មានសមត្ថភាពរាប់ឯកសារ (Enumerating Files) ថតអេក្រង់ និងដោនឡូតនិងអាប់ឡូតឯកសារ ជាដើម។ យុទ្ធនាការទី២គឺ ការកេងចំណេញលើភាពងាយរងគ្រោះ CVE-2023-38831 ដែលជាបញ្ហាផ្នែកសុវត្ថិភាពនៅក្នុង WinRAR Archiving Tool ដើម្បីជំរុញប្រតិបត្តិការកូដអាក្រក់ ដែលនាំទៅកាន់ការដាក់ពង្រាយមេរោគ AllaKore RAT, Ares RAT, និងមេរោគ Trojans ចំនួន២ផ្សេងទៀតគឺ DRat និង Key RAT។
អ្នកស្រាវជ្រាវបានបន្ថែមថា មេរោគ AllaKore RAT មានមុខងារលួច System Information, Keylogging, ការថតមុខអេក្រង់ និង ការ Upload & Download ឯកសារ និងអាចបញ្ជាលើម៉ាស៊ីនរបស់ជនរងគ្រោះឱ្យផ្ញើ Commands និង Upload ទិន្នន័យដែលបានលួចទៅកាន់ C2 ថែមទៀត។ រីឯ មេរោគ DRat មានសមត្ថភាពញែក (Parsing) 13 Commands ចេញពី C2 Server ដើម្បីប្រមូលទិន្នន័យប្រព័ន្ធ (System Data) ដោនឡូតនិងប្រតិបត្តិការ Payloads បន្ថែម និងដំណើរការ File Operations ផ្សេងៗទៀត។
គោលដៅលើប្រព័ន្ធលីនុចគឺមិនជួនគ្នាពេកនោះទេ វាទំនងជាត្រូវបានលើកទឹកចិត្តដោយសារតែការសម្រេចចិត្តរបស់រដ្ឋាភិបាលឥណ្ឌា ដែលឈប់ប្រើ Microsoft Windows ហើយងាកទៅប្រើប្រព័ន្ធលីនុចMaya OS នៅក្នុងស្ថាប័នរដ្ឋាភិបាល និងផ្នែកការពារជំនួសវិញ។ អ្នកស្រាវជ្រាវក៏បានបន្តថា ក្រុមហេគឃ័រ SideCopy បានពង្រីកខ្លួនដោយចាប់យកភាពងាយរងគ្រោះ Zero-Day ដើម្បីវាយប្រហារលើស្ថាប័នការពាររបស់ប្រទេសឥណ្ឌា ជាមួយនឹងការប្រើមេរោគ Remote Access Trojans។ ជាងនេះទៀត ក្រុម APT36 ក៏កំពុងតែពង្រីកខ្លួនលើប្រព័ន្ធលីនុច ដោយការចែករំលែកឧបករណ៍បញ្ជាលីនុចរបស់ខ្លួនជាមួយក្រុម SideCopy ដែលត្រូវបានគេមើលឃើញថា បានដាក់ពង្រាយ Open-Source Python RAT ឈ្មោះ Ares៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៧ ខែវិច្ឆិកា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
