ក្រុមហ៊ុន Microsoft ព្រមានថាក្រុមហេគឃ័រ APT28 រុស្ស៊ីបានកេងចំណេញលើភាពងាយរងគ្រោះ Windows Print Spooler ដើម្បីបង្កើនសិទ្ធិ លួចអត្តសញ្ញាណ និងទិន្នន័យ ដោយប្រើប្រាស់ Tool សម្រាប់ហេគឈ្មោះថា GooseEgg។
ក្រុម APT28 កំពុងតែប្រើប្រាស់ Tool ដើម្បីកេងចំណេញទៅលើភាពងាយរងគ្រោះ CVE-2022-38028 តាំងពីពាក់កណ្តាលឆ្នាំ២០២០ និងប្រហែលជាដើមខែមេសា ឆ្នាំ២០១៩។ ក្រុមហ៊ុន Redmond បានដោះស្រាយភាពងាយរងគ្រោះទាំងនោះ ដែលបានរាយការណ៍ដោយទីភ្នាក់ងារសន្តិសុខជាតិអាមេរិក នៅក្នុង Microsoft October 2022 Patch Tuesday ប៉ុន្តែត្រូវបានដាស់តឿនថាត្រូវបានកេងចំណេញនៅក្នុងការណែនាំរបស់វា។
ហេគឃ័រផ្នែកយោធា ជាផ្នែកមួយនៃក្រុមហេគឃ័រ Military Unit 26165 របស់ Russia’s Main Intelligence Directorate of the General Staff (GRU) បានប្រើមេរោគ GooseEgg សម្រាប់ដាក់ពង្រាយនូវមេរោគប្រភេទជា Payload អាក្រក់ដើម្បីបន្ថែម និងដំណើរការ Commands ផ្សេងៗជាមួយនឹងការបង្កើនសិទ្ធិ SYSTEM-level Privileges។ ក្រុមហ៊ុន Microsoft បានរកឃើញហេគឃ័រទម្លាក់ Tool ក្រោយពេលលួចវាយប្រហារ (Post-Compromise Tool) ជា Windows Batch Script ឈ្មោះ “execute.bat” ឬ “doit.bat” ដែលដាក់ចេញដំណើរការមេរោគ GooseEgg និងបង្កើតវត្តមានជាប់លាប់នៅក្នុងប្រព័ន្ធប្រតិបត្តិការដែលបានគ្រប់គ្រងដោយមានការបន្ថែមនូវ Scheduled Task ដេលដំណើរការជា “servtask.bat” ដែលជា Batch Script ក្នុងដំណាក់កាលទីពីរដើម្បី Write ចូលក្នុងឌីស។ ហេគឃ័រក៏បានប្រើមេរោគ GooseEgg សម្រាប់ទម្លាក់ DLL file អាក្រក់ដែលបានលាក់ទុក (នៅក្នុងករណីខ្លះឈ្មោះ “wayzgoose23.dll”) នៅក្នុងទម្រង់ជាសេវា PrintSpooler ជាមួយនឹងសិទ្ធិអនុញ្ញាត SYSTEM Permissions។ DLL នេះគឺជាអ្នកដាក់ចេញនូវដំណើរការ App ដែលអាចប្រតិបត្តិការ Payloads ផ្សេងជាមួយនឹងសិទ្ធិកម្រិត SYSTEM ដើម្បីអនុញ្ញាតឱ្យហេគឃ័រអាចដាក់ពង្រាយ Backdoors ផ្លាស់ទីតាមរយៈបណ្តាញណិតវើករបស់ជនរងគ្រោះ រួមទាំងការបញ្ជាកូដពីចម្ងាយលើប្រព័ន្ធដែលបានលេចធ្លាយ។
ក្រុមហ៊ុន Microsoft ក៏បានពន្យល់ថា ក្រុមហ៊ុនបានសង្កេតឃើញ Forest Blizzard កំពុងប្រើប្រាស់មេរោគ GooseEgg ជាផ្នែកមួយនៃសកម្មភាព Post-Compromise ប្រឆាំងទៅនឹងគោលដៅរួមមានប្រទេសអ៊ុយក្រែន អឺរ៉ុបខាងលិច និងរដ្ឋាភិបាលអាមេរិកខាងជើង អង្គភាពមិនមែនរដ្ឋាភិបាល វិស័យអប់រំ និងវិស័យដឹកជញ្ជូនផងដែរ។ នៅពេលដែលកម្មវិធីមេរោគ GooseEgg មានសមត្ថភាពបង្កើតកម្មវិធីផ្សេងទៀតដែលផ្តោតទៅលើ Command Line ជាមួយនឹងការបង្កើនសិទ្ធិ ហើយអាចអនុញ្ញាតឱ្យហេគឃ័រធ្វើការបញ្ជាលើគោលដៅបានដូចជា ការដំណើរការកូដពីចម្ងាយ ការដំឡើង Backdoor និងការផ្លាស់ទីតាមរយៈការគ្រប់គ្រងនៅលើប្រព័ន្ធ Networks។
ក្រលេកមកមើលក្រុមហេគឃ័រ APT28 ជាក្រុមហេគឃ័រដែលគាំទ្រដោយរុស្ស៊ី ទទួលខុសត្រូវវាយប្រហារលើជនល្បីៗ តាំងពីពាក់កណ្តាលឆ្នាំ២០០០។ ជាក់ស្តែង កាលពីឆ្នាំមុន សេវា Intelligence អាមេរិក និងអង់គ្លេសបានព្រមានពីការកេងចំណេញរបស់ក្រុម APT28 លើបញ្ហា Cisco Router Zero-Day ដើម្បីដាក់ពង្រាយមេរោគ Jaguar Tooth Malware ដែលមានសមត្ថភាពអាចប្រមូលរាល់ព័ត៌មានសម្ងាត់ពីគោលដៅនៅអាមេរិក និងអឺរ៉ុប។ ជាងនេះទៀត នាពេលថ្មីៗនេះកាលពីខែកុម្ភៈ ទីភ្នាក់ងារ FBI, NSA និងដៃគូអន្តរជាតិបានព្រមានថាហេគឃ័រ APT28 បានប្រើមេរោគហេគ Ubiquiti Edge Routers សម្រាប់គេចពីការតាមចាប់នៅក្នុងការវាយប្រហារ។ ក្រុមនេះក៏ពាក់ព័ន្ធនឹងការលេចធ្លាយរបស់ German Federal Parliament (Deutscher Bundestag) និងបានហេគគណៈកម្មាធិការយុទ្ធនាការសភាប្រជាធិបតេយ្យ (DCCC) និងគណៈកម្មាធិការជាតិប្រជាធិបតេយ្យ (DNC) ក្នុងការដឹកនាំការបោះឆ្នោតនាយករដ្ឋមន្រ្តីអាមេរិក ឆ្នាំ២០១៦។
ពីរឆ្នាំក្រោយ អាមេរិកបានចោទសមាជិកក្រុមហេគឃ័រ APT28 មានពាក់ព័ន្ធនៅក្នុងករណីវាយប្រហារ DNC និង DCCC ខណៈពេលដែលក្រុមប្រឹក្សាសហភាពអឺរ៉ុប ក៏បានដាក់ទណ្ឌកម្មលើសមាជិកក្រុម APT28 កាលពីខែតុលា ឆ្នាំ២០២២ ពីបទហេគសភាសហព័ន្ធអាឡឺម៉ង់៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែមេសា ឆ្នាំ២០២៤
