ទំនងជាពាក់ព័ន្ធនឹងហេគឃ័រចិនឈ្មោះហៅថា Mustang Panda ត្រូវបានគេសង្ស័យថា កំពុងតែវាយប្រហារលើក្រសួងការពារជាតិ និងក្រសួងការបរទេសរបស់ប្រទេសមីយ៉ាន់ម៉ា ដើម្បីដាក់ពង្រាយ Backdoor និងដើម្បីអាចប្រើប្រាស់មេរោគ Trojans បានពីចម្ងាយ។
លទ្ធផលរបស់ក្រុមប្រតិកម្មឧប្បត្តិហេតុកុំព្យូទ័រ CSIRT-CTI បាននិយាយថា ការវាយប្រហារធ្វើឡើងកាលពីខែវិច្ឆិកា ឆ្នាំ២០២៣ និងខែមករា ឆ្នាំ២០២៤ បន្ទាប់ពីមានការវាយប្រហារត្រូវបាន Upload ទៅកាន់ VirusTotal Platform។ ជាងនេះទៀត ក្រុមដដែលនេះបានបន្តថា ភាពខ្លាំងរបស់ TTPs គឺការប្រើកម្មវិធីស្របច្បាប់រួមមានទាំងប្រព័ន្ធគោលពីរ (Binary) ដែលបង្កើតឡើងដោយក្រុមហ៊ុនវិស្វកម្ម Bernecker & Rainer (B&R) និងធាតុផ្សំនៃជំនួយរបស់ Window 10 Upgrade ដើម្បី Sideload Malicious Dynamic-link Libraries (DLLs)។
ក្រុមហេគឃ័រ Mustang Panda មានសកម្មភាពតាំងពីឆ្នាំ២០១២ ត្រូវបានគេស្គាល់ថាជាសហគមន៍សន្តិសុខសាយប័រឈរក្រោមឈ្មោះ BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Staely Taurus និង TEMP.Hex។ នៅរយៈពេលប៉ុន្មានខែថ្មីៗនេះ យុទ្ធនាការត្រូវបានចែកចាយដើម្បីវាយប្រហារលើរដ្ឋាភិបាលអាស៊ីអាគ្នេយ៍ក៏ដូចជាប្រទេសហ្វីលីពីន ដើម្បីបញ្ជូននូវ Backdoor ដែលអាចប្រមូលព័ត៌មានសំខាន់ៗ។ កាលពីខែវិច្ឆិកា ឆ្នាំ២០២៣ ការចម្លងមេរោគចាប់ផ្តើមពីអ៊ីម៉ែលបញ្ឆោត (Phishing Email) ដើម្បីជួយដល់ Booby-Trapped ZIP Archive Attachment មានផ្ទុកឯកសារដែលអាចប្រតិបត្តិការស្របច្បាប់ (Legitimate Executable) (“Analysis of the Third Meeting of NDSC.exe”) ដែលចុះហត្ថលេខាដោយ B&R Industrial Automation GmbH និង a DLL file (“BrMod104.dll”)។ ការវាយប្រហារទាញយកប្រយោជន៍ពីប្រព័ន្ធគោលពីរដែលថា នឹងអាចលួចការស្វែងរក DLL ដើម្បីអាចដំណើរការនូវ (Load) DLL និងធ្វើការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) និងអាចចាប់យកនូវ Backdoor ដែលត្រូវបានហៅថា BUBLOAD ដែលដើរតួជា Custom Loader ដើម្បីទម្លាក់ PlugX។
ក្រុមដដែលបានកត់សម្គាល់ថា ហេគឃ័រមានបំណងបំភាន់ចរាចរ [C2] ខណៈពេលដែល Microsoft Update ចរាចរ ដោយការបន្ថែម ‘Host: www.asia.microsoft.com’ និង ‘User-Agent: Windows-Update-Agent’ headers ដែលឆ្លុះបញ្ចាំងពីការវាយប្រហារកាលពីខែឧសភា ឆ្នាំ២០២៣ បានបង្ហាញដោយ Lab52។ ម្យ៉ាងវិញទៀត យុទ្ធនាការលើកទីពីរ សង្កេតឃើញកាលពីដើមខែនេះថា បានប្រើប្រាស់ Optical Disc Image (“ASEAN Notes.iso”) មានផ្ទុកនូវ LNK Shortcuts ដើម្បីជំរុញដំណើរការចម្រុះនិងបានប្រើប្រាស់ Bespoke Loader ផ្សេងទៀតឈ្មោះ TONESHELL សម្រាប់ដាក់ពង្រាយ PlugX ពីម៉ាស៊ីនមេ C2 ដែលទំនងជាមិនអាចចូលដំណើរការបាននៅពេលនេះ។
គួរកត់សម្គាល់ដែរថា ការវាយប្រហារស្រដៀងគ្នានេះដែលសន្មតថា ជាស្នាដៃរបស់ក្រុម Mustang Panda ត្រូវបាន ElectricIQ រកឃើញកាលពីខែកុម្ភៈ ឆ្នាំ២០២៣ នៅក្នុងការវាយប្រហារលើស្ថាប័នរដ្ឋាភិបាល និងវិស័យសាធារណៈនៅទូទាំងអាស៊ី និងអឺរ៉ុប។ ក្រុមប្រតិកម្ម CSIRT-CTI បានបន្តថា បន្ទាប់ពីការវាយប្រហាររបស់ពួកឧទ្ទាមនៅខាងជើងប្រទេសមីយ៉ាន់ម៉ា កាលពីខែតុលា ឆ្នាំ២០២៣ ប្រទេសចិនបានសម្តែងការព្រួយបារម្ភអំពីឥទ្ធិពលរបស់វាទៅលើផ្លូវពាណិជ្ជកម្ម និងសន្តិសុខជុំវិញព្រំដែនប្រទេសចិន-មីយ៉ាន់ម៉ា។ ប្រតិបត្តិការក្រុម Taurus ត្រូវបានគេមើលឃើញថា ស្របនឹងផលប្រយោជន៍ភូមិសាស្រ្តនយោបាយរបស់រដ្ឋាភិបាលចិនរួមទាំងប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតជាច្រើនប្រឆាំងនឹងប្រទេសមីយ៉ាន់ម៉ាកាលពីអតីតកាលថែមទៀត៕
https://thehackernews.com/2024/01/china-linked-hackers-target-myanmars.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣០ ខែមករា ឆ្នាំ២០២៤
