ទីភ្នាក់ងារប៉ូលីសជាតិ (NPA) និងមជ្ឈមណ្ឌលសន្តិសុខសាយប័រ Cabinet នៅក្នុងប្រទេសជប៉ុនបានភ្ជាប់យុទ្ធនាការចារកម្មសាយប័រដែលមានគោលដៅលើប្រទេសខ្លួនថា ជាក្រុមហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាលចិនឈ្មោះ “MirrorFace”។
យុទ្ធនាការត្រូវបានធ្វើឡើងតាំងពីឆ្នាំ២០១៩ និងនៅតែកំពុងបន្ត ខណៈអ្នកស៊ើបអង្កេតជនជាតិជប៉ុនបានតាមដានលើដំណាក់កាលនៃការវិវឌ្ឍជាមួយនឹងភាពខុសប្លែកគ្នានៃគោលដៅ និងវិធីសាស្រ្តនៃការវាយប្រហារ។ នៅគ្រប់ករណី គោលដៅចម្បងគឺដើម្បីលួចព័ត៌មានបច្ចេកវិទ្យាជប៉ុនដ៏មានតម្លៃ និងឈានមុខ រួមទាំងប្រមូលព័ត៌មានសន្តិសុខជាតិ។
ក្រុម MirrorFace ឬគេស្គាល់ថាជា “Earth Kasha” ត្រូវបានតាមដានដោយ ESET ដែលធ្វើការវាយប្រហារលើអ្នកនយោបាយជនជាតិជប៉ុនមុនការបោះឆ្នោត ដោយប្រើប្រាស់អ៊ីម៉ែលបែបឆបោក (Phishing) ដើម្បីដាក់ពង្រាយមេរោគលួចអត្តសញ្ញាណឈ្មោះ ‘MirrorStealer’ និងការប្រើប្រាស់ BackDoor ‘LODEINFO’។
ការកំណត់គោលដៅលើរដ្ឋាភិបាល និងបច្ចេកវិទ្យា៖ យោងតាមអ្នកវិភាគ NPA លើសកម្មភាពក្រុម MirrorFace បានឱ្យដឹងថា ហេគឃ័រជនជាតិចិនបានកេងចំណេញលើកំហុសនៅក្នុងឧបករណ៍បណ្តាញណិតវើករួមមាន CVE-2023-28461 នៅក្នុង Array Networks, CVE-2023-27997 នៅក្នុង Fortinet appliances និង CVE-2023-3519 នៅក្នុង Citrix ADC/Gateway។ បន្ទាប់ពីការបំពានលើបណ្តាញណិតវើក ហេគឃ័រចម្លងមេរោគចូលទៅក្នុងកុំព្យូទ័រគោលដៅមាន LONEINFO, ANEL, NOOPDOOR និងគ្រួសារមេរោគដទៃទៀតដែលអាចច្រោះយកទិន្នន័យ និងទ្វារក្រោយផ្សេងៗដើម្បីអាចរក្សាដំណើរបានរយៈពេលវែង។ NPA បានកំណត់យុទ្ធនាការដាច់ដោយឡែកចំនួន៣ ដែលធ្វើឡើងដោយក្រុមហេគឃ័រ MirrorFace ដូចខាងក្រោម៖
– យុទ្ធនាការ A (២០១៩-២០២៣)៖ មានគោលដៅលើស្ថាប័នស្រាវជ្រាវគោលនយោបាយ អង្គភាពរដ្ឋាភិបាល អ្នកនយោបាយ និងប្រព័ន្ធផ្សព្វផ្សាយដែលមានផ្ទុកមេរោគ (Malware) ដើម្បីលួចព័ត៌មាន។
– យុទ្ធនាការ B (២០២៣)៖ កេងចំណេញលើភាពងាយរងគ្រោះនៃកម្មវិធីនៅក្នុងឧបករណ៍ដែលមានភ្ជាប់អ៊ីនធឺណិត មានគោលដៅលើលោហៈធាតុ Semiconductor របស់ប្រទេសជប៉ុន ការផលិត បច្ចេកវិទ្យាទំនាក់ទំនង និងព័ត៌មានវិទ្យា (ICT) វិស័យអប់រំ និងអាកាស។
– យុទ្ធនាការ C (២០២៤-បច្ចុប្បន្ន)៖ ប្រើអ៊ីម៉ែលឆបោកដើម្បីចូលទៅដល់វិស័យអប់រំ ស្ថាប័នស្រាវជ្រាវគោលនយោបាយ អ្នកនយោបាយ និងប្រព័ន្ធផ្សព្វផ្សាយដែលមានមេរោគ។
ការគេចវេសពីប្រព័ន្ធការពារ VSCode និង Windows Sandbox៖ NPA លើកឡើងពីវិធីសាស្រ្តគេចវេសចំនួន២ របស់ក្រុម MirrorFace គឺប្រើវត្តមាននៅក្នុងបណ្តាញណិតវើកសម្រាប់បន្តរយៈពេលដោយគ្មានការជូនដំណឹងអ្វីទាំងអស់។ ការប្រើ Visual Studio Code Tunnels ដំបូងដែលត្រូវបានបង្កើតឡើងដោយ ANEL Malware នៅលើប្រព័ន្ធដែលត្រូវបានវាយប្រហារយកទៅគ្រប់គ្រង ។ Tunnels ទាំងនេះត្រូវបានប្រើសម្រាប់ទទួលពាក្យបញ្ជាដើម្បីប្រតិបត្តិការនៅលើប្រព័ន្ធដែលឆ្លងមេរោគ ដែលជាទូទៅជា PowerShell Commands។ MirrorFace បានកំពុងប្រើ VSCode tunnels តាំងពីពាក់កណ្តាលឆ្នាំ២០២៤ មកម្ល៉េះ បើតាមរបាយការណ៍។ នេះគឺជាតិចនិកដែលត្រូវបានកត់ត្រា និងត្រូវបានចែកចាយទៅឱ្យហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាលចិនដទៃទៀតមាន STORM-0866 និង Sandman APT។
វិធីសាស្រ្តជៀសវាងទី២ គឺត្រូវបានប្រើតាំងពីខែមិថុនា ឆ្នាំ២០២៣ ដែលពាក់ព័ន្ធនឹងការប្រើមុខងារការពារ Windows Sandbox សម្រាប់ប្រតិបត្តិមេរោគ LOADEINFO នៅក្នុងមជ្ឈដ្ឋានដោយឡែក ដោយឆ្លងកាត់ប្រព័ន្ធការពារមេរោគ។ Windows Sandbox គឺជាមជ្ឈដ្ឋាន Desktop និម្មិតដែលអាចបញ្ជាប្រតិបត្តិការដោយសុវត្ថិភាព និងដំណើរការកម្មវិធីដាច់ដោយឡែកពីប្រព័ន្ធប្រតិបត្តិការសំខាន់ (Host)។ ទោះជាយ៉ាងណា ប្រព័ន្ធប្រតិបត្តិការសំខាន់ (Host) រួមមាន Microsoft Defender មិនបានត្រួតពិនិត្យមើលមជ្ឈដ្ឋាននេះទេ។ រឿងនេះអនុញ្ញាតឱ្យហេគឃ័រអាចដំណើរការមេរោគ ដែលទាក់ទងជាមួយម៉ាស៊ីនមេ C2 បានពីចម្ងាយ ខណៈពែលដែលការរក្សាការចូលប្រើ Filesystem មូលដ្ឋានទៅកាន់ម៉ាស៊ីន Host តាមរយៈ Shared Folders។
យោងតាមព័ត៌មានខាងលើ NPA ណែនាំថា អ្នកគ្រប់គ្រងប្រព័ន្ធត្រួតពិនិត្យគួរតែតាមដានការលុកចូល PowerShell ដែលគួរឱ្យសង្ស័យ ការទាក់ទងដែលគ្មានការអនុញ្ញាតជាមួយ VSCode Domains និងសកម្មភាព Sandbox មិនប្រក្រតីផ្សេងៗ។ ខណៈដែលវាមិនអាចកត់ត្រាពាក្យបញ្ជាដែលបានប្រតិបត្តិក្នុង Windows Sandbox, NPA ថ្លែងថា អ្នកអាចរៀបចំគោលការណ៍ Windows នៅលើ Host សម្រាប់កែសម្រួលការបង្កើតដំណើរការ ដើម្បីតាមដាននៅពេល Windows Sandbox ត្រូវបានដាក់ឱ្យដំណើរការ និងឯកសារគោលការណ៍ត្រូវបានប្រើជាដើម។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៩ ខែមករា ឆ្នាំ២០២៥
