ក្រុមហេគឃ័រកូរ៉េខាងជើង BlueNoroff ត្រូវបានស្តីបន្ទោសពីការប្រើមេរោគ ObjCShellz ហេគលើម៉ាស៊ីន macOS

0

ក្រុមហេគឃ័ររដ្ឋកូរ៉េខាងជើង BlueNoroff បានប្រើមេរោគ macOS malware ដែលគ្មានកំណត់ត្រានៅក្នុងឯកសារកាលពីមុន ត្រូវបានគេសន្មតឈ្មោះថាមេរោគ ObjCShellZ។បន្ទប់ពិសោធន៍ Jamf Threat Labs បានបង្ហើបប្រាប់លម្អិតពីមេរោគ malware ថា វាត្រូវបានប្រើជាផ្នែកមួយនៃយុទ្ធនាការមេរោគ RustBucket ដែលទើបត្រូវបានគេរកឃើញកាលពីដើមឆ្នាំនេះ។

អ្នកស្រាវជ្រាវសុវត្ថិភាពបានថ្លែងថា យោងតាមដំណើរការនៃការវាយប្រហារកាលពីមុនរបស់ក្រុម BlueNoroff យើងសង្ស័យថា មេរោគនេះគឺជាដំណាក់កាលចុងក្រោយនៅក្នុងដំណាក់កាលចម្រុះនៃការបញ្ជូនមេរោគតាមរយៈ Social Engineering។ ក្រុមហេគឃ័រ BlueNoroff ក៏ត្រូវបានដាក់ឈ្មោះថា APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima, និង TA444 ផងដែរ ដែលជាក្រុមរងរបស់ក្រុម Lazarus Group មានជំនាញក្នុងឧក្រឹដ្ឋកម្មហិរញ្ញវត្ថុ និងមានគោលដៅលើធនាគារ និងផ្នែកគ្រីបតូ (ដែលជាមធ្យោបាយមួយដើម្បីគេចចេញពីការដាក់ទណ្ឌកម្ម និងបង្កើតប្រាក់ចំណេញខុសច្បាប់)។

ជាងនេះបន្ទប់ពិសោធន៍ Elastic Security Labs ក៏បានរកឃើញពីការប្រើប្រាស់មេរោគថ្មីរបស់ក្រុម Lazarus Group ឈ្មោះ KANDYKORN ដើម្បីវាយប្រហារលើ Blockchain Engineers ផងដែរ។ ហើយក៏មានពាក់ព័ន្ធនឹងក្រុម RustBucket ដែលប្រើមេរោគ macOS malware ជាទ្វារក្រោយ AppleScript-based backdoor ដែលត្រូវបានបង្កើតឡើងដើម្បីទទួលបាន Second-Stage Payload ពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ។ នៅក្នុងការវាយប្រហារនេះ ក្រុមគោលដៅត្រូវបានកុហកថា នឹងទទួលបាននូវការផ្តល់យោបល់ផ្នែកវិនិយោគ ឬការងារ ដោយគ្រាន់តែចាប់ផ្តើមជាមួយនឹងឯកសារបញ្ឆោត ដែលជាមធ្យោបាយបានឆ្លងមេរោគ។

ឈ្មោះមេរោគ ObjCShellz ជាឈ្មោះដែលត្រូវបានគេសរសេរនៅក្នុង Objective-C មានតួនាទីជា Remote Shell ដ៏សាមញ្ញដែលដំណើរការ Shell Commands ផ្ញើពីម៉ាស៊ីនមេដែលត្រូវបានវាយប្រហារ។ នាយកនៅបន្ទប់ពិសោធ Jamf Threat Labs បានប្រាប់ថា យើងមិនមានព័ត៌មានលម្អិតពីជនរងគ្រោះនៅឡើយទេ។ ប៉ុន្តែការវាយប្រហារដែលយើងមើលឃើញនៅក្នុងឆ្នាំនេះ និងឈ្មោះ Domain ដែលហេគឃ័របានបង្កើតនោះគឺវាត្រូវបានប្រើសម្រាប់ប្រឆាំងនឹងក្រុមហ៊ុន Crypto Currency ឬស្ថាប័នដែលធ្វើការពាក់ព័ន្ធនឹងផ្នែក Crypto Currency នេះ។ វ៉ិចទ័រដំណើរការចាប់ផ្តើមពិតប្រាកដនៅក្នុងការវាយប្រហារនោះនៅពុំទាន់ដឹងច្បាស់នៅឡើយទេ បើទោះជាវាត្រូវបានសង្ស័យថា មេរោគត្រូវបានបញ្ជូននៅពេលដែល payload ចុងក្រោយនៃការកេងចំណេញ ដំណើរការពាក្យបញ្ជានៅលើម៉ាស៊ីនដែលគេលួចចូល។

អ្នកស្រាវជ្រាវបានបន្ថែមថា បើទោះជាមេរោគនេះវាសាមញ្ញ ប៉ុន្តែវាមានតួនាទីជួយហេគឃ័រអនុវត្តគោលដៅរបស់ពួកគេ។ លទ្ធផលក៏បានបង្ហាញដែរថា ក្រុមហេគឃ័ររដ្ឋកូរ៉េខាងជើងដូចនឹងក្រុម Lazarus ដែរ គឺកំពុងតែអភិវឌ្ឍ និងរៀបចំឡើងវិញ ដើម្បី Share Tools និងតិចនិកនៅក្នុងចំណោមហេគឃ័រ, Blurring The Boundaries និងបន្តបង្កើតមេរោគសម្រាប់ប្រព័ន្ធ Linux និង macOS។ អ្នកស្រាវជ្រាវនៅ SentinelOne Security  បានពោលថា ខ្ញុំជឿជាក់ថា ហេគឃ័រនៅពីក្រោយយុទ្ធនាការ [the 3CX and JumpCloud] កំពុងតែអភិវឌ្ឍ និងចែករំលែក Toolsets ផ្សេងៗ និងមេរោគមិនអាចជៀសផុតទេ។

ភាពរីកចំរើននៃការវាយប្រហាររបស់ហេគឃ័រកូរ៉េខាងជើង ក៏បានជំរុញឱ្យប្រទេសអាមេរិក កូរ៉េខាងត្បូង និងជប៉ុន ចាប់ដៃគ្នាក្នុងការបង្កើតក្រុមប្រឹក្សាយោបល់តាមអ៊ីនធឺណិតឈានមុខត្រីភាគី (Trilateral Hight-Level Cyber Consultative Group) ដើម្បីទប់ទល់ជាបឋម។ សកម្មភាពសាយប័រដែលត្រូវបានកេងចំណេញ គឺជាប្រភពរកប្រាក់ចំណូលដ៏សំខាន់សម្រាប់ផ្គត់ផ្គត់ការអភិវឌ្ឍអាវុធរបស់កូរ៉េខាងជើង៕

ថ្ងៃទី០៧ ខែវិច្ឆិកា ឆ្នាំ២០២៣

ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here