ក្រុមហេគឃ័រជនជាតិអ៊ីរ៉ង់ Charming Kitten មានបំណងវាយប្រហារលើអ្នកជំនាញគោលនយោបាយមជ្ឈិមបូព៌ាដោយប្រើប្រាស់ BASICSTAR Backdoor ថ្មីតាមរយៈការប្រើសិក្ខាសាលាអនឡាញ (Webinar Portal) ក្លែងក្លាយ។
ហេគឃ័រ Charming Kitten ឬ APT35, CharmingCypress, Mint Sandstrom, TA453 និង Yellow Garuda ធ្លាប់មានប្រវត្តិប្រើ Social Engineering វាយប្រហារលើគោលដៅរបស់ពួកគេរួមមានអង្គការ និងអ្នកកាសែត។ ហេគឃ័រ CharmingCypress ប្រើតិចនិកដាក់ពង្រាយការឆបោក Social-Engineering ដូចជាទាក់ទងជាមួយគោលដៅតាមរយៈការសន្ទនាតាមអ៊ីម៉ែលមុននឹងផ្ញើ Content អាក្រក់ បើយោងតាមអ្នកស្រាវជ្រាវ Ankur Saii, Callum Roxan, Charlie Gardner និង Daniem។
កាលពីសប្តាហ៍មុនក្រុមហ៊ុន Microsoft បានបង្ហាញថា ហេគឃ័រមានគោលដៅលើបុគ្គលល្បី (High-Profile) ដែលបម្រើការងារនៅមជ្ឈិមបូព៌ា ដោយការដាក់ពង្រាយមេរោគដូចជា MischiefTut និង MediaPI (aka EYEGLASS) ដែលមានសមត្ថភាពប្រមូលព័ត៌មានសម្ងាត់ពីម៉ាស៊ីនដែលត្រូវបានគ្រប់គ្រងដោយការសម្របសម្រួល។
ក្រុមនេះត្រូវបានវាយតម្លៃថាមានទំនាក់ទំនងជាមួយឆ្មាំបដិវត្តន៍អ៊ីស្លាមអ៊ីរ៉ង់ (IRGC) និងមានការចែកចាយនូវ Backdoor មួយចំនួនដូចជា PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) និង NokNok កាលពីប៉ុន្មានឆ្នាំមុន ហើយបានសង្កត់ធ្ងន់លើការប្តេជ្ញាចិត្តរបស់ពួកគេចំពោះការវាយប្រហារសាយប័រ តាមរយៈការចាប់យកតិចនិក និងវិធីសាស្រ្តផ្សេងៗ។ ការវាយប្រហារត្រូវបានមើលឃើញកាលពីខែកញ្ញា និងខែតុលា ឆ្នាំ២០២៣ ដែលពាក់ព័ន្ធនឹងការប្រើប្រតិបត្តិករ Charming Kitten បន្លំជា Rasanah International Institute for Iranian Studies (IIIS) ដើម្បីចាប់ផ្តើម និងបង្កើតទំនុកចិត្តជាមួយគោលដៅ។ ការវាយប្រហារចាប់ផ្តើមដោយការប្រើប្រាស់គណនីអ៊ីម៉ែលដែលត្រូវបានគ្រប់គ្រង ហើយជាកម្មសិទ្ធិរបស់ Contact ស្របច្បាប់ និងគណនីអ៊ីម៉ែលដែលគ្រប់គ្រងដោយហេគឃ័រចម្រុះ ត្រូវបានគេហៅថា Multi-Persona Impersonation (MPI)។
បណ្តាញទំនាក់ទំនងនៃការវាយប្រហារមានការប្រើប្រាស់នូវ RAR Archives ដែលមានផ្ទុក LNK Files សម្រាប់ការចាប់ផ្តើមចែកចាយមេរោគ ជាមួយសារដែលបន្លំគោលដៅឱ្យចូលទៅកាន់សិក្ខាសាលាក្លែងក្លាយទាក់ទងប្រធានបទដែលអាចទាញចំណាប់អារម្មណ៍គោលដៅ។ លទ្ធផលនៃការចម្លងមេរោគត្រូវបានសង្កេតឃើញថាមានការដាក់ពង្រាយ BASICSTAR និង KORKULOADER ដែលជាស្រ្គីបសម្រាប់ការដោនឡូត PowerShell។ BASICSTAR គឺជាមេរោគ Visual Basic Script (VBS) មានសមត្ថភាពប្រមូលយកនូវ Basic System Information ដែលបញ្ជា Commands ទទួលបានពី Command-and-Control (C2) Server ដូចជាការដោនឡូត និងការបង្ហាញ PDF File ជាប្រភេទឯកសារបញ្ឆោត។ ជាងនេះទៀត ការវាយប្រហារខ្លះត្រូវបានបង្កើតឡើងជាមួយនឹងការបង្កប់នូវ Backdoor ផ្សេងៗវាអាស្រ័យលើប្រព័ន្ធដំណើរការរបស់ម៉ាស៊ីន។ ខណៈពេលដែលជនរងគ្រោះដែលប្រើប្រាស់ Windows ត្រូវបានគ្រប់គ្រងដោយក្រុមហេគឃ័រជាមួយ POWERLESS ដូចនេះជនរងគ្រោះដែលប្រើប្រាស់ Apple macOS ក៏ត្រូវបានក្លាយជាគោលដៅជាមួយការចម្លងកូដដែលមានបញ្ហា (Chain Culminating) ផងដែរ នៅក្នុង NokNok តាមយៈកម្មវិធី Functional VPN ដែលមានមេរោគ។ ហេគឃ័រនេះកំពុងតែឃ្លាំមើលគោលដៅ ដើម្បីរៀបចំការដាក់ពង្រាយមេរោគ បើយោងតាមអ្នកស្រាវជ្រាវ។ ជាងនេះទៀត ហេគឃ័រខ្លះទៀតបានដាក់ចេញនូវយុទ្ធនាការដូចគ្នានឹង CharmingCypress ដែលជាប្រតិបត្តិករគាំទ្រដល់ការងាររបស់ហេគឃ័រ។
ក្រុមហ៊ុនសន្តិសុខសាយប័រ Recorded Future បានបង្ហាញពីគោលដៅរបស់ IRGC ចំពោះបណ្តាប្រទេសលោកខាងលិច ដោយប្រើក្រុមហ៊ុននាំចេញបច្ចេកវិទ្យាសម្រាប់ការឃ្លាំមើល និងវាយប្រហារលើប្រទេសអ៊ីរ៉ាក់ ស៊ីរី និងលីបង់ (Iraq, Syria, and Lebanon)។ ទំនាក់ទំនងរវាងភ្នាក់ងារស៊ើបការណ៍សម្ងាត់ និងស្ថាប័នយោធា និងគម្រោងនៅអ៊ីរ៉ង់បានប្រើ Firewalls ដើម្បីលាក់បាំងអង្គភាពដែលឧបត្ថម្ភ។ ពួកគេរួមមាន Ayandeh Sazan Sepher Aria (ត្រូវបានសង្ស័យថាបានសហការជាមួយ Emenet Pasargad), DSP Research Institute, Sabrin Kish, Soroush Saman, Mahak Rayan Afraz និង ក្រុមហ៊ុនទូរគមនាគមន៍ និងអេឡិចត្រូនិក Parnian។ ក្រុមហ៊ុនបានថ្លែងថា «ក្រុមហ៊ុនដែលមានគម្រោងនៅអ៊ីរ៉ង់ត្រូវបានបង្កើតឡើង និងដំណើរការដោយបណ្តាញជិតស្និទ្ធ ករណីខ្លះទៀតអ្នកតំណាងឱ្យគម្រោងជាសមាជិកក្រុមប្រឹក្សាភិបាល។» បុគ្គលទាំងនោះមានទំនាក់ទំនងជាមួយ IRGC ហើយករណីខ្លះទៀតជាតំណាងអង្គភាពដែលត្រូវបានដាក់ទណ្ឌកម្មដូចជា មូលនិធិ IRGC Cooperative ៕
https://thehackernews.com/2024/02/iranian-hackers-target-middle-east.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកុម្ភៈ ឆ្នាំ២០២៤
