ក្រុមហេគឃ័រដែលគេមិនស្គាល់ពីមុនត្រូវបានគេហៅថា “Unfading Sea Haze” បានវាយប្រហារលើអង្គភាពយោធា និងរដ្ឋាភិបាលនៅតំបន់សមុទ្រចិនខាងត្បូង (South China Sea) តាំងពីឆ្នាំ២០១៨ ដែលទើបតែរកឃើញនាពេលថ្មីៗនេះ។
អ្នកស្រាវជ្រាវ Bitdefender បានរកឃើញក្រុមគំរាមកំហែងរាយការណ៍ពីប្រតិបត្តិការរបស់ខ្លួនស្រដៀងគ្នាទៅនឹងចំណាប់អារម្មណ៍របស់ទីតាំងភូមិសាស្រ្តនយោបាយរបស់ចិន ដែលផ្តោតលើការប្រមូលព័ត៌មាន និងចារកម្ម។ ជាផ្នែកមួយនៃក្រុមហេគឃ័រដែលទទួលបានការគាំទ្រពីរដ្ឋាភិបាលចិន “Unfading Sea Haze” បង្ហាញពីប្រតិបត្តិការរបស់ខ្លួន TTP និងវិធីសាស្រ្តដូចគ្នានឹងក្រុមផ្សេងទៀតដែលមានឈ្មោះថា APT41។
ការបំពាន Msbuild ដោយប្រើមេរោគ Fileless Malware៖ ក្រុមហេគឃ័រ Unfading Sea Haze ចាប់ផ្តើមប្រើប្រាស់អ៊ីម៉ែលបញ្ឆោត (Spear-Phishing) ដោយនាំយក ZIP Archives អាក្រក់ដែលមានផ្ទុក LNK Files បន្លំដូចជាឯកសារ។ កាលពីខែមីនា ឆ្នាំ២០២៤ វិធីសាស្រ្តឆបោកចុងក្រោយដែលធ្លាប់ប្រើនៅក្នុងការវាយប្រហារទាំងនេះពាក់ព័ន្ធនឹងប្រធានបទនយោបាយអាមេរិក ខណៈពេលដែល Zips បន្លំឈ្មោះដូចជាអ្នកដំឡើង ឬអ្នកធ្វើបច្ចុប្បន្នភាព Window Defender។ ឯកសារ LNK Files ទាំងនេះមានផ្ទុក Powershell Command ច្របូកច្របល់ ដែលនឹងឆែករកវត្តមានរបស់ ESET Executable, Ekrn និង *.Exe ហើយប្រសិនបើមានមេរោគឈប់វាយប្រហារ។ ប្រសិនបើប្រតិបត្តិការមិនអាចរកឃើញឯកសារទាំងនេះទេនោះ Powershell Script នឹងប្រើល្បិចដើម្បីដាក់ចេញនូវដំណើរការមេរោគ Fileless Malware ដោយផ្ទាល់ចូលទៅក្នុងអង្គចងចាំ ដោយប្រើ Msbuild.Exe Command-Line Compiler ស្របច្បាប់របស់ក្រុមហ៊ុន Microsoft។
ក្រុមហ៊ុន Bitdefender បានពន្យល់ថា នៅក្នុងការវាយប្រហារនេះ ឧក្រឹដ្ឋជនចាប់ផ្តើមដំណើរការ MSBuild ថ្មីជាមួយនឹងបច្ចេកវិទ្យាបន្លំ (twist)៖ ពួកគេបញ្ជាក់ពី Working directory ដែលមានទីតាំងនៅក្នុង Remote SMB Server (like \154.90.34.83\exchange\info in the above example)។ ដោយការកំណត់ (setting) Working Directory ទៅកាន់ទីតាំង Remote Location, MSBuild នឹងស្វែងរក Project file ដែលអាចបញ្ជាម៉ាសុីនមេពីចម្ងាយ។ ប្រសិនបើ Project File ត្រូវបានរកឃើញ MSBuild នឹងប្រតិបត្តិកូដដែលមានផ្ទុកនៅក្នុងអង្គចងចាំទាំងស្រុង ដោយមិនបន្សល់ទុកដាននៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។
កូដនោះប្រតិបត្តិការដោយ MSBuild ដែលជាកម្មវិធី Backdoor ឈ្មោះ “SerialPktdoor” រួមទាំងការផ្តល់ឱ្យហេគឃ័រអាចគ្រប់គ្រងបានពីចម្ងាយលើប្រព័ន្ធដែលបានវាយប្រហារយកមកគ្រប់គ្រង។ ការវាយប្រហារក៏ធ្វើទៅតាមកិច្ចការដែលបានគ្រោងទុក (scheduled Tasks) ហើយដំណើរការឯកសារឱ្យដោនឡូត និងដំឡើង DLLs អាក្រក់ និងប្រើការបន្លំគណនីគ្រប់គ្រងក្នុងតំបន់ (Local Administrator) ដើម្បីរក្សាស្ថិរភាព។ ជាពិសេស ហេគឃ័រកំណត់លេខសម្ងាត់ឡើងវិញ (Reset) សម្រាប់គណនីគ្រប់គ្រងក្នុងតំបន់ ដែលត្រូវបានបិទ (Disabled) ដោយស្វ័យប្រវត្តិ (Default) នៅក្នុង Windows និងបើកដំណើរការវាឡើងវិញ។ បន្ទាប់មក គណនីត្រូវបានលាក់ (Hidden) ពី Login Screen តាមរយៈការកែប្រែការចុះឈ្មោះ (Registry Modifications)។ រឿងនេះផ្តល់ឱ្យហេគឃ័រជាមួយនឹងគណនី Admin លាក់ដែលអាចត្រូវបានប្រើសម្រាប់ការវាយប្រហារនៅពេលក្រោយ។ ក្រុមហ៊ុន Bitdefender បញ្ជាក់ថាវិធីសាស្រ្តដ៏អស្ចារ្យនៃការប្រើឧបករណ៍គ្រប់គ្រង និងត្រួតពិនិត្យពីចម្ងាយបែបពាណិជ្ជកម្ម (Commercial Remote Monitoring and Management (RMM) Tools) ដូច Itarian RMM នៅក្នុងខ្សែច្រវាក់នៃការវាយប្រហារ ត្រូវបានប្រើសម្រាប់បង្កើនទីតាំងនៅលើបណ្តាញណិតវើកដែលត្រូវបានគ្រប់គ្រងរួចហើយ។
ក្រុមជើងខ្លាំង (Arsenal) របស់ក្រុមហេគឃ័រ Unfading Sea Haze៖ នៅពេលដំណើរការចាប់ផ្តើម ក្រុម Unfading Sea Haze ប្រើការតាមដាន Custom Keylogger ឈ្មោះ “xkeylog” ដើម្បីចាប់យកការចុច Keystrokes របស់ជនរងគ្រោះ លួចព័ត៌មានដែលជាគោលដៅរក្សាទុកនៅក្នុង Chrome, Firefox, Edge និង PowerShell Scripts ផ្សេងៗទៀត ដែលទាញយកព័ត៌មានចេញពី Browser Database។
ចាប់ពីឆ្នាំ២០២៣ ហេគឃ័របានប្តូរទៅជាអ្នកលួច (Stealthier tools) ដូចជាការកេងចំណេញរបស់ Msbuild.exe ដើម្បី Load C# Payloads ចេញពី SMB Shares ពីចម្ងាយ ក៏ដូចជាអញ្ញត្តិរបស់មេរោគ GhostRAT malware។ ក្រុមហ៊ុន Bitdefender បានឃើញការដាក់ពង្រាយរបស់មេរោគមួយចំនួនដូចជា៖
– SilentGhost: គឺជាអញ្ញតិ្តមេរោគដែលមានវ័យចំណាស់ជាងគេផ្តល់នូវមុខងារជាច្រើនតាមរយៈ Commands និង Modules ដ៏សម្បូរបែប។
– InsidiousGhost: មានការវិវត្តនៅលើមូលដ្ឋាន Go-based របស់ SilentGhost មានមុខងារ TCP Proxy, SOCKS5, និង PowerShell។
– TranslucentGhost, EtherealGhost, and FluffyGhost: គឺជាអញ្ញត្តិថ្មីជាងគេមានមុខងារ Dynamic Plugin Loading និង Lighter Footprint សម្រាប់ប្រតិបត្តិការបំពាន។
នៅក្នុងការវាយប្រហារនាពេលថ្មីៗនេះ ហេគឃ័រក៏បានប្រើ Ps2dllLoader គឺជា Tools ដែលអាច Loads .NET ឬក៏ PowerShell Code នៅក្នុងអង្គចងចាំ។ “SharpJSHandler” គឺជា Web Shell ដែលស្តាប់តាម HTTP Requests និងប្រតិបត្តិការ Encoded JavaScript Code។ អ្វីដែលគួរឱ្យចាប់អារម្មណ៍នោះគឺ Custom Tool ត្រួតពិនិត្យលើ Plugged USB និង Windows Portable Devices (WPD) រៀងរាល់១០វិនាទី និងផ្ញើលម្អិតរបស់ឧបករណ៍ (Device Details) និងឯកសារជាក់លាក់ទៅកាន់ហេគឃ័រ។ ដើម្បីទាញយកទិន្នន័យចេញពីប្រព័ន្ធដែលត្រូវបានវាយប្រហារ ក្រុម Unfading Sea Haze ប្រើ Custom Tool ឈ្មោះ “DustyExfilTool” សម្រាប់ដំណើរការទាញយកទិន្នន័យដោយសុវត្ថិភាពតាមរយៈ TLS ជាជាង TCP។ នៅក្នុងការវាយប្រហារ។ នាពេលថ្មីៗនេះបង្ហាញថា ហេគឃ័របានផ្លាស់ប្តូរទៅប្រើឧបករណ៍ផ្សេង (Curl Utility) និង FTP Protocol សម្រាប់បញ្ជូនទិន្នន័យ ហើយឥឡូវក៏មានប្រើអត្តសញ្ញាណ (Dynamically Generated Credentials) ដែលត្រូវបានផ្លាស់ប្តូរជាញឹកញាប់។ ក្រុម Unfading Sea Haze បង្ហាញពីការលួច ភាពធន់ និងសមត្ថភាពបន្សាំខ្លួន ជំរុញការវាយប្រហារបែប Fileless វិធីសាស្រ្តវាយប្រហារឈានមុខ និងការបង្កើតមេរោគ Modular។ ដើម្បីបញ្ឈប់ការវាយប្រហារ អង្គភាពទាំងអស់ត្រូវតែចាប់យកយុទ្ធសាស្រ្តសុវត្ថិភាពចម្រុះ ដែលពាក់ព័ន្ធនឹងការគ្រប់គ្រង Patch ការបន្សាំ MFA ការបែងចែកបណ្តាញណិតវើក ការត្រួតពិនិត្យចរាចរ (Traffic Monitoring) ការដាក់ពង្រាយរបស់ State-of-the-art Detection និងផលិតផលឆ្លើយតប៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែឧសភា ឆ្នាំ២០២៤
