ហេគឃ័រជនជាតិវៀតណាម ត្រូវបានសង្កេតឃើញថា មានបំណងវាយប្រហារលើប្រជាជននៅប្រទេសអាស៊ី និងអាស៊ីអាគ្នេយ៍ ដោយប្រើមេរោគប្រមូលទិន្នន័យសំខាន់ៗ ចាប់តាំងពីខែឧសភា ឆ្នាំ២០២៣។Cisco Talos កំពុងតែតាមដាន Cluster ដែលស្ថិននៅក្រោមឈ្មោះ CoralRaider ត្រូវបានចាត់ទុកថាជាប្រភេទមេរោគផ្នែកហិរញ្ញវត្ថុ។ គោលដៅដែលក្រុមហេគឃ័រព្យាយាមធ្វើការវាយប្រហាររួមមាន ឥណ្ឌា ចិន កូរ៉េខាងត្បូង បង់ក្លាដេស ប៉ាគីស្ថាន ឥណ្ឌូនេស៊ី និងវៀតណាមផ្តាល់។
អ្នកស្រាវជ្រាវ Chetan Raghuprasad និង Joey Chen បានថ្លែងថា ក្រុមនេះផ្តោតសំខាន់លើការលួចអត្តសញ្ញាណ ទិន្នន័យហិរញ្ញវត្ថុ គណនីបណ្តាញសង្គម រួមមានគណនីអាជីវកម្ម និងការផ្សាយពាណិជ្ជកម្ម។ មេរោគ Commodity ផ្សេងទៀតក៏ត្រូវបានប្រើដោយក្រុមនេះរួមមាន ការរួមបញ្ចូលគ្នារវាងមេរោគបញ្ជាពីចម្ងាយ (Remote Access Trojans) និងមេរោគលួចព័ត៌មានដូចជា AsyncRAT, NetSupport RAT និង Rhadamanthys។
គោលដៅនៃគណនីអាជីវកម្ម និងផ្សាយពាណិជ្ជកម្ម ហេគឃ័រមានទីតាំងប្រតិបត្តិការនៅខាងក្រៅប្រទេសវៀតណាម ជាមួយនឹងគ្រួសារមេរោគលួចព័ត៌មាន Malware ដូចជា Ducktail, NodeStealer និង VietCredCare ដែលបានដាក់ពង្រាយសម្រាប់គ្រប់គ្រងគណនីដើម្បីស្វែងរកប្រាក់បន្ថែម។ Modus Operandi បញ្ចូលការប្រើប្រាស់ Telegram ដើម្បីច្រោះយកព័ត៌មានដែលបានលួចពីម៉ាស៊ីនជនរងគ្រោះ បន្ទាប់មកត្រូវបានជួញដូរនៅក្នុងទីផ្សារងងឹតដើម្បីបង្កើនប្រាក់ចំណូលខុសច្បាប់។ អ្នកស្រាវជ្រាវបានថ្លែងថា ប្រតិបត្តិករ CoralRaider មានមូលដ្ឋាននៅប្រទេសវៀតណាម ត្រូវបានពឹងលើហេគឃ័រផ្ញើសារនៅក្នុង Telegram C2 bot Channels របស់ពួកគេ និង Language Preference ក្នុងការដាក់ឈ្មោះ bots, PDB Strings បូករួមទាំង Vietnamese Words Hard-Coded នៅក្នុង Payload Binaries របស់ពួកគេ។ ខ្សែច្រវាក់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹង Windows Shortcut File (LNK) បើទោះជាមិនមានការពន្យល់ច្បាស់លាស់ពីរបៀបដែល Files ទាំងនេះត្រូវបានបែងចែកទៅកាន់គោលដៅក្តី។
ប្រសិនបើឯកសារ LNK File ត្រូវបានបើក HTML Application (HTA) File ត្រូវបានដោនឡូត និងប្រតិបត្តិការពីម៉ាស៊ីន Download Server ដែលគ្រប់គ្រងដោយហេគឃ័រ និងដល់វេនដំណើរការ Visual Basic Scripts ដែលបានបង្កប់។ Script សម្រាប់ប្រើប្រាស់ទៅតាមផ្នែករបស់វាត្រូវបានធ្វើការ ឌីគ្រីប និងប្រតិបត្តិ PowerShell Scripts ចំនួន៣ ផ្សេងទៀតជាបន្តបន្ទាប់ ដែលជាអ្នកទទួលខុសត្រូវសម្រាប់ប្រតិបត្តិការ Anti-VM និងការត្រួតពិនិត្យប្រឆាំងនឹងការវិភាគ ដែលជៀសវាង Windows User Access Control (UAC) បិទ (Disable) Windows និង Application Notifications បន្ទាប់មកធ្វើការដោនឡូត និងដំណើរការ RotBot។ RotBot ត្រូវបានគណនាសម្រាប់ទាក់ទងជាមួយ Telegram Bot រួចទទួលយក XClient Stealer Malware និងប្រតិបត្តិនៅក្នុងអង្គចងចាំ ចុងក្រោយក៏ធ្វើការសម្របសម្រួលដើម្បីលួចនូវ Cookies ដែលជាអត្តសញ្ញាណ និងព័ត៌មានហិរញ្ញវត្ថុចេញពី Web Browsers ដូចជា Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla FireFox, Opera; Discord, Telegram Data និងការថតយករូបភាពអេក្រង់។ XClient ក៏ត្រូវបានបង្កើតឡើងសម្រាប់លួចទិន្នន័យពីគណនី Facebook, Instagram, TikTok និង YouTube របស់ជនរងគ្រោះ ដើម្បីប្រមូលព័ត៌មានលម្អិតពីវិធីសាស្រ្តនៃការបង់ប្រាក់ (Payment Methods) និងការអនុញ្ញាតសហការជាមួយ គណនីអាជីវកម្ម និងការផ្សាយពាណិជ្ជកម្មនៅលើ Facebook របស់ពួកគេ។ អ្នកស្រាវជ្រាវបានបន្តថា RotBot គឺជាអញ្ញត្តិរបស់ Quasar RAT Client ដែលហេគឃ័របានប្តូរ និងចងក្រង (Customized and Compiled) សម្រាប់យុទ្ធនាការនេះ។ [XClient] មានសមត្ថភាពលួចព័ត៌មានជាច្រើនតាមយៈ Plugin Module របស់វា និង Modules ផ្សេងៗសម្រាប់ការងាររដ្ឋបាល ការបញ្ជាពីចម្ងាយ (remote Administrative Tasks)។
ក្រុមហ៊ុន Bitdefender បានបង្ហាញលម្អិតពីយុទ្ធនាការផ្សាយពាណិជ្ជកម្មឆបោក នៅលើ Facebook នោះគឺជាការទាញយកប្រយោជន៍របស់ Buzz ដែលនៅឡោមព័ទ្ធដោយការប្រើ Generative AI Tools សម្រាប់រុញចំណាត់ថ្នាក់ (Assortment) អ្នកលួចព័ត៌មានដូចជា Rilide, Vidar, IceRAT និងមេរោគថ្មីឈ្មោះ Nova Stealer។ ចំណុចចាប់ផ្តើមនៃការវាយប្រហារគឺហេគឃ័រត្រូវគ្រប់គ្រងលើគណនី Facebook ដែលមានស្រាប់ និងកែប្រែរូបរាងរបស់វាដើម្បីត្រាប់តាម AI Tools ពី Google, OpenAI, និង Midjourney ហើយពង្រីកទៅកាន់អ្នកផ្សេងដោយដំណើរការឧបត្ថម្ភការផ្សាយពាណិជ្ជកម្មនៅលើផ្លេតហ្វម។ ការក្លែងបន្លំគេហទំព័រដូចជា Mdijourney ដែលមានអ្នក Followers ប្រមាណជា ១,២លាននាក់មុនពេលវាត្រូវបានបង្រ្កាបកាលពីដើមខែមីនា ឆ្នាំ២០២៣។
ហេគឃ័រគ្រប់គ្រងលើគេហទំព័រមានប្រភពចេញពីប្រទេសវៀតណាម អាមេរិក ឥណ្ឌូនេស៊ី អង់គ្លេស និងអូស្ត្រាលី។ យុទ្ធនាការការផ្សាយពាណិជ្ជកម្មឆបោកបានរីករាលដាលយ៉ាងទូលំទូលាយរហូតដល់ Sponsored Ad System របស់ក្រុមហ៊ុន Meta និងបានកំណត់គោលដៅលើអ្នកប្រើប្រាស់ជនជាតិអឺរ៉ុប រួមមានអាឡឺម៉ង់ ប៉ូឡូញ អ៊ីតាលី បារាំង បែលហ្សិក អេស្បាញ ណែឌីឡែន រំម៉ានី ស្វីស និងប្រទេសផ្សេងទៀត បើយោងតាមក្រុមហ៊ុនសន្តិសុខ Romanian បានបង្ហាញ៕
https://thehackernews.com/2024/04/vietnam-based-hackers-steal-financial.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែមេសា ឆ្នាំ២០២៤
