ក្រុម Konni ប្រើប្រាស់ភាសារុស្ស៊ី ដើម្បីព្យាបាទតាមរយៈឯកសារប្រភេទ Word នៅក្នុងយុទ្ធនការវាយប្រហារចុងក្រោយ

0

ការវាយប្រហារថ្មីត្រូវបានសង្កេតឃើញពីការប្រើឯកសារ Microsoft Word ភាសារុស្ស៊ី ដើម្បីបញ្ជូនមេរោគប្រមូលព័ត៌មានសំខាន់ៗពីម៉ាស៊ីន Compromised Windows។សកម្មភាពត្រូវបានគេហៅឈ្មោះថា Konni ដែលត្រូវបានវាយតម្លៃថា បានចែករំលែកនូវ Overlap ជាមួយនឹង Cluster របស់កូរ៉េខាងជើងឈ្មោះ Kimsuky (aka APT43)។ អ្នកស្រាវជ្រាវនៅ Fortinet FortiGuard Labs បានថ្លែងថា យុទ្ធនាការនេះប្រើ Remote Access Trojan (RAT) ដើម្បីទាញយកព័ត៌មាន និងប្រតិបត្តិការ Commands ដើម្បីធ្វើការគ្រប់គ្រង Devices ផ្សេងៗ។ ក្រុមចារកម្មតាមអ៊ីនធឺណិតត្រូវបានកត់សម្គាល់ថា កំពុងតែវាយប្រហារលើប្រទេសរុស្ស៊ី ដោយប្រើ Modus Operandi ពាក់ព័ន្ធនឹងការប្រើប្រាស់ជាសារឆបោក (Spear-Phishing Emails) និងឯកសារអាក្រក់ ជាផ្លូវចូលសម្រាប់ធ្វើការវាយប្រហារ។

ក្រុមហ៊ុន Knowsec and ThreatMon បានចងក្រងឯកសារនាពេលថ្មីៗនេះពីការប្រើភាពងាយរងគ្រោះរបស់ WinRAR (CVE-2023-38831) ក៏ដូចជាការបំភាន់ជា Visual Basic scripts ដើម្បីទម្លាក់ Konni RAT និង Windows Batch Script សម្រាប់ប្រមួលទិន្នន័យពីម៉ាស៊ីនដែលឆ្លងមេរោគ។ ក្រុមហ៊ុន ThreatMon ក៏បានបន្តថា គោលបំណងរបស់ Konni គឺដើម្បីទាញយកទិន្នន័យ និងធ្វើចារកម្ម។ ដើម្បីអាចសម្រេចបាន ក្រុមហេគឃ័រដាក់ពង្រាយ Array របស់មេរោគ និង Tools ដើម្បីអាចគេចពីការតាមចាប់។

ក្រុមហ៊ុន Fortinet បានរកឃើញការប្រើប្រាស់ឯកសារ Macro-laced Word នៅពេលដំណើរការ (Enabled) វាមានការបង្ហាញអត្ថបទជាភាសារុស្ស៊ី ដែលនិយាយពីការវាយតម្លៃរបស់លោកខាងលិចលើវឌ្ឍភាពនៃប្រតិបត្តិការយោធាពិសេស។ Visual Basic សម្រាប់ Application (VBA) macro បានដំណើរការដាក់ចេញនូវ Interim Batch script ដែលដំណើរការដើម្បីត្រួតពិនិត្យប្រព័ន្ធ, ឆ្លងកាត់ User Account Control (UAC) និងចុងក្រោយបើកផ្លូវសម្រាប់ពង្រាយ DLL file ដែលប្រតិបត្តិការប្រមូលទិន្នន័យ និងបញ្ជូនព័ត៌មានចេញ។ អ្នកស្រាវជ្រាវនៅ Fortinet FortiGuard Labs បានបន្ថែមថា Payload រួមបញ្ចូលគ្នាជាមួយនឹង UAC bypass និង Encrypted Communication ជាមួយ C2 Server ដែលជាមូលហេតុអាចឱ្យហេគឃ័រអាចធ្វើការប្រតិបត្តិការ Privileged Commands។ ក្រុមហ៊ុន Kaspersky, Microsoft និង SentinelOne បានបង្ហាញថា ហេគឃ័រ ScarCruft (aka APT37) មានគោលដៅលើក្រុមហ៊ុនពាណិជ្ជកម្ម និងក្រុមហ៊ុនមីស៊ីល ដែលមានទីតាំងនៅក្នុងប្រទេសរុស្ស៊ី៕

https://thehackernews.com/2023/11/konni-group-using-russian-language.html

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៣ ខែវិច្ឆិកា ឆ្នាំ២០២៣

ប្រែសម្រួលដោយ៖ កញ្ញា

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

មេរោគ Android Trojan ថ្មីឈ្មោះ SoumniBIt អាចគេចពីការតាមចាប់ដោយប្រើល្បិចដ៏ឆ្លាតវៃ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ហេគឃ័ររុស្ស៊ីបានសារភាពចំពោះការវាយប្រហារលើប្រព័ន្ធផ្គត់ផ្គង់ទឹកអាមេរិក បារាំង និងប៉ូឡូញ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមចែកចាយមេរោគ Daixin ransomware អះអាងថាវាយប្រហារទៅលើសណ្ឋាគារ Omni Hotels

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Palo Alto Networks ជួសជុលទៅលើចន្លោះប្រហោង 0-Day ទៅលើ firewalls

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Google បន្ថែមប្រព័ន្ធការពារ V8 Sandbox សម្រាប់ទប់ស្កាត់ការវាយប្រហារ Browser

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រសួងសុខាភិបាលអាមេរិកព្រមានមន្ទីរពេទ្យពីក្រុមហេគឃ័រដាក់គោលដៅលើបុគ្គលិកបម្រើសេវាអតិថិជន

LEAVE A REPLY

Please enter your comment!
Please enter your name here