អង្គការនៅក្នុងប្រទេសមជ្ឈឹមបូព៌ា អាព្រិក និងអាមេរិកបានក្លាយជាគោលដៅនៃការវាយប្រហាររបស់ក្រុមហេគឃ័រដែលមិនស្គាល់អត្តសញ្ញាណ ដើម្បីចែកចាយ Backdoor ឈ្មោះ Agent Racoon។អ្នកស្រាវជ្រាវនៅ Palo Alto Networks Unit 42 បានថ្លែងថា គ្រួសារមេរោគនេះត្រូវបានកត់ត្រាពីការ ប្រើ .NET Framework និង Domain Name Service (DNS) Protocol ដើម្បីបង្កើត Covert Channel និងផ្តល់មុខងារ Backdoor ផ្សេងគ្នា។ ក្រុមគោលដៅរួមមានវិស័យអប់រំ អចលនទ្រព្យ, Retail, Non-Profits, Telegram និងស្ថាប័នរដ្ឋាភិបាល។
សកម្មភាពនៃការវាយប្រហារមិនត្រូវបានចែកចាយទៅកាន់ហេគឃ័រដែលគេស្គាល់នោះទេ បើទោះជាវាត្រូវបានវាយតម្លៃថា ជាហេគឃ័ររដ្ឋយ៉ាងណាក្តី គេអាចនិយាយបែបនេះដោយសារតែបច្ចេកទេសនៃការវាយប្រហារ ការគេចវេស និងការការពាររបស់វា។ ក្រុមហ៊ុនសន្តិសុខសាយប័រកំពុងតែតាមដានក្រុម Moniker CL-STA-0002។ វាមិនច្បាស់ពីរបៀបដែលស្ថាប័ននេះត្រូវបានវាយប្រហារ និងពេលវេលាដែលត្រូវបានវាយប្រហារនោះទេ។ ហេគឃ័របានប្រើ Tools ជំនាន់ Mimikatz ឬ Mimilite សម្រាប់ដាក់ពង្រាយក៏ដូចជា Tools ថ្មីឈ្មោះ Ntospy ដោយប្រើ DLL Module ដើម្បីអនុវត្ត Network Provider សម្រាប់លួចអត្តសញ្ញាណរបស់ Server ពីចម្ងាយ។ ខណៈដែលហេគឃ័រប្រើ Ntospy ឆ្លងកាត់អង្គការដែលរងផលប៉ះពាល់នោះ Mimilite Tool និងមេរោគ Agent Racoon បានរកឃើញនៅក្នុងមជ្ឈដ្ឋាន (Environments) របស់អង្គការមិនស្វែងរកប្រាក់ចំណេញ (Nonprofit) និងស្ថាប័នរដ្ឋាភិបាល (Government-Related Organizations) ។
គួរកត់សម្គាល់ដែរថា ហេគឃ័រ CL-STA-0043 មានជាប់ពាក់ព័ន្ធជាមួយនឹងការប្រើ Ntospy ដែលមានគោលដៅលើអង្គការចំនួន២ ហើយក៏ជាគោលដៅរបស់ហេគឃ័រ CL-STA-0002។ Agent Raccoon ប្រតិបត្តិការដោយមានកាលវិភាគ (Scheduled Tasks), អនុញ្ញាតឱ្យប្រតិបត្តិការខំមិន (Allow For Command Execution), File Uploading និង File Downloading ខណៈដែលមានការបន្លំខ្លួនជា Google Update និង Microsoft OneDrive Updater Binaries របស់ហេគឃ័រ។ Agent Racoon ត្រូវបានបង្ហាញថាត្រូវបាន Uploaded កាលពីខែកក្កដា ឆ្នាំ២០២២។
អ្នកស្រាវជ្រាវនៅ Unit 42 ក៏បានបង្ហាញពីភាពជោគជ័យនៃការច្រោះយកទិន្នន័យពី Microsoft Exchange Server environment តាមរយៈការលួចបន្លំ Emails matching different search criteria។ ក្រៅពីនោះ ហេគឃ័រក៏បានប្រមូល Roaming Profile របស់ជនរងគ្រោះផងដែរ៕
https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html
ថ្ងៃទី០២ ខែធ្នូ ឆ្នាំ២០២៣
