ហេគឃ័ររដ្ឋរុស្ស៊ីដែលមានឈ្មោះថា APT28 ត្រូវបានមើលឃើញថាមានជាប់ពាក់ព័ន្ធនឹងយុទ្ធនាការឆបោក ដែលបានដាក់ពង្រាយឯកសារបន្លំជារដ្ឋាភិបាល និងអង្គការមិនមែនរដ្ឋាភិបាល (NGOs) នៅសហភាពអឺរ៉ុប South Causasus អាស៊ីកណ្តាល អាមេរិកខាងជើង និងខាងត្បូង។
IBM X-Force បានថ្លែងថា ការឆបោករួមមានការរួមបញ្ចូលគ្នារវាងឯកសារផ្ទៃក្នុង និងសាធារណៈ ក៏ដូចជាឯកសារដែលបង្កើតឡើងដោយហេគឃ័រពាក់ព័ន្ធនឹងផ្នែកហិរញ្ញវត្ថុ ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ការចូលរួមប្រតិបត្តិការ (Executive Engagement) សន្តិសុខសាយប័រ សន្តិសុខដែនសមុទ្រ សុខាភិបាល អាជីវកម្ម និងផលិតកម្មឧស្សាហកម្មការពារជាតិ (Defense Industrial Production)។ ក្រុមហ៊ុនបច្ចេកវិទ្យាកំពុងតែតាមដានសកម្មភាពក្រុម Moniker ITG05 ដែលគេស្គាល់ថាជាក្រុម Blue Althena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (អតីត Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 និង UAC-028។
ក្រុមហេគឃ័រត្រូវបានគេសង្កេតឃើញថាបានប្រើការបញ្ឆោតពាក់ព័ន្ធនឹងសង្រ្គាមរវាងអ៊ីស្រាអែល និងក្រុមហាម៉ាស សម្រាប់បញ្ជូនតាមរយៈ Backdoor ឈ្មោះ HeadLace។ ក្រុម APT28 ក៏បានកំណត់គោលដៅលើអង្គភាពរដ្ឋាភិបាលអ៊ុយក្រែន និងប៉ូឡូញ ផងដែរ តាមរយៈការប្រើសារសម្រាប់ដាក់ពង្រាយមេរោគលួចព័ត៌មាន MASEPIE, OCEANMAP និង STEELHOOK។ យុទ្ធនាការផ្សេងទៀតបានរៀបរាប់ពីការកេងចំណេញលើបញ្ហាសុវត្ថិភាពនៅក្នុង Microsoft Outlook (CVE-2023-23397, CVSS score: 9.8) ដើម្បីអាចធ្វើការចាប់យកនូវ NT LAN Manager (NTLM) v2 hashes សម្រាប់បង្កើនសមត្ថភាព និងហេគឃ័រអាចកេងចំណេញទៅលើភាពទន់ខ្សោយផ្សេងទៀត ដើម្បីគេចពី NTLMv2 hashes និងសម្រាប់ប្រើក្នុងការវាយប្រហារបន្ត (Relay Attacks)។
IBM X-Force បានមើលឃើញថា យុទ្ធនាការចុងក្រោយនៅចន្លោះចុងខែវិច្ឆិកា ឆ្នាំ២០២៣ និងខែកុម្ភៈ ឆ្នាំ២០២៤ បានធ្វើការកេងចំណេញទៅលើ “search-ms:” URI protocol handler នៅក្នុង Microsoft Windows ដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យដោនឡូតមេរោគដែលបានបង្ហោះនៅលើ WebDAV Servers ដែលគ្រប់គ្រងដោយហេគឃ័រ។ មានភស្តុតាងបង្ហាញថា ទាំង WebDAV server ក៏ដូចជា MASEPIE C2 Servers ប្រហែលជាត្រូវបានបង្ហោះនៅលើ Compromised Ubiquiti Routers ដែលជា Botnet ហើយត្រូវបានរដ្ឋាភិបាលអាមេរិកបង្រ្កាបកាលពីខែមុន។
យុទ្ធនាការឆបោកបន្លំជាអង្គភាពមកពីប្រទេសជាច្រើនដូចជា Argentina, Ukraine, Georgia, Belarus, Kazakhstan, Poland, Armenia, Azerbaijan និងអាមេរិក តាមរយៈការដាក់ឱ្យប្រើឯកសារដើមរបស់រដ្ឋាភិបាល និងមិនមែនរដ្ឋាភិបាល ក្នុងបំណងចម្លងមេរោគ។ អ្នកស្រាវជ្រាវបានរៀបរាប់ថា ITG05 បានធ្វើបច្ចុប្បន្នភាពវិធីសាស្រ្តរបស់ខ្លួន ដោយការប្រើ Hosting Provider ដោយសេរីឈ្មោះ firstcloudit.com សម្រាប់ដំណាក់កាល Payloads និងសម្រាប់បើកបន្តដំណើការប្រតិបត្តិការ។ ITG05 នៅតែមានទំនោរក្នុងការផ្លាស់ប្តូរដោយការផ្ទេរវិធីសាស្រ្តចម្លងមេរោគថ្មី និងប្រើហេដ្ឋារចនាសម្ព័ន្ធពាណិជ្ជកម្ម សម្រាប់ការវិវឌ្ឍជាបន្តបន្ទាប់នូវសមត្ថភាពមេរោគរបស់ខ្លួន៕
https://thehackernews.com/2024/03/apt28-hacker-group-targeting-europe.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែមីនា ឆ្នាំ២០២៤
