ក្រុមហេគឃ័រកូរ៉េខាងជើង Kimsuky ត្រូវបានតាមដាននៅក្នុងការវាយប្រហារថ្មីៗថា បានប្រើ Custom-built RDP Wrapper និង Proxy Tools សម្រាប់លួចចូលដំណើរការផ្ទាល់ទៅក្នុងម៉ាស៊ីនដែលឆ្លងមេរោគ។នេះគឺជាសញ្ញានៃការផ្លាស់ប្តូរតិចនិករបស់ក្រុម Kimsuky បើយោងតាមមជ្ឈមណ្ឌលស៊ើបអង្កេត AhnLab Security (ASEC) ដែលបានរកឃើញក្នុងយុទ្ធនាការ។ ASEC ថ្លែងថា ហេគឃ័រកូរ៉េខាងជើងឥឡូវប្រើបណ្តុំចូលប្រើពីចម្ងាយតាមតម្រូវការជំនួសឱ្យការពឹងផ្អែកលើ Backdoor ដូចជា PebbleDash។
ខ្សែច្រវាក់នៃការវាយប្រហារចុងក្រោយរបស់ក្រុម Kimsuky៖ ខ្សែច្រវាក់នៃការចម្លងមេរោគចុងក្រោយចាប់ផ្តើមជាមួយនឹងអ៊ីម៉ែលបញ្ឆោត (Spear-Phishing) ដែលមានផ្ទុក Shortcut (.LNK) file មេរោគដែលបន្លំជាឯកសារ PDF ឬ Word។ អ៊ីម៉ែលមានផ្ទុកអ្នកទទួល និងឈ្មោះក្រុមហ៊ុនត្រឹមត្រូវ ដែលស្នើថា Kimsuky បានធ្វើការស៊ើបអង្កេត មុនការវាយប្រហារ។ នៅពេលបើកឯកសារ .LNK file នោះមានន័យថាជាការជំរុញ PowerSheel ឬ Mshta ឱ្យទទួលយក Payloads បន្ថែមមកពីម៉ាស៊ីនមេខាងក្រៅដូចជា៖
– PebbleDash គឺជា Kimsuky Backdoor ដែលផ្តល់នូវការគ្រប់គ្រងប្រព័ន្ធដំបូង
– Open-source RDP Wrapper Tool នោះគឺអាចឱ្យ RDP ដំណើរការជាប់លាប់ និងឆ្លងកាត់វិធានការសុវត្ថិភាព
– Proxy Tools សម្រាប់ឆ្លងកាត់ការរឹតបន្តឹងបណ្តាញណិតវើកឯកជន ដែលអនុញ្ញាតឱ្យហេគឃ័រអាចចូលប្រើប្រាស់ប្រព័ន្ធបាន បើទោះជានៅពេលការភ្ជាប់ RDP ដោយផ្ទាល់ត្រូវបានរារាំង ឬបិទក្តី។
ទំលាប់ប្រើប្រាស់ RDP Wrapper ៖ RDP Wrapper គឺជា Open-source Tool ស្របច្បាប់ដែលត្រូវបានបង្កើតឡើងសម្រាប់បើកមុខងារ Remote Desktop Protocol (RDP) នៅលើជំនាន់ Windows Versions ដែលមិនគាំទ្រវា (Support) ដូចជា Windows Home។ វាដើរតួជាស្រទាប់កណ្តាល (Middle Layer) ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់អាចបើកការភ្ជាប់ Desktop ពីចម្ងាយដោយមិនចាំបាច់មាន Modifying System Files។ ជំនាន់របស់ Kimsuky បានប្តូរមុខងារនាំចេញ (Export) សម្រាប់ឆ្លងកាត់ការការពារមេរោគ និងទំនងជាមានភាពខុសប្លែកសម្រាប់គេចពីការតាមចាប់ដោយផ្អែកលើហត្ថលេខា (Signature-based)។
អត្ថប្រយោជន៍ចម្បងនៃការទំលាប់ប្រើប្រាស់ RDP Wrapper នេះគឺអាចគេចពីការតាមចាប់ នៅពេលការភ្ជាប់ RDP ជាទូទៅត្រូវបានចាត់ទុកថាស្របច្បាប់ ដែលអនុញ្ញាតឱ្យ Kimsuky រក្សាវត្តមានបានក្រោមការឃ្លាំមើលរយៈពេលយូរ។ ជាងនេះទៀត វាផ្តល់នូវការគ្រប់គ្រងពីចម្ងាយងាយស្រួលដោយផ្អែកលើ GUI-based បើប្រៀបជាមួយនឹង Shell Access តាមរយៈមេរោគ ហើយអាចឆ្លងកាត់ប្រព័ន្ធការពារ Firewall ឬការរឹតបន្តឹង NAT តាមរយៈការបញ្ជូនបន្តដែលអនុញ្ញាតឱ្យដំណើរការ RDP ពីខាងក្រៅបាន។ ASEC រាយការណ៍ថា នៅពេល Kimsuky ធានាវត្តមានរបស់ពួកវានៅលើបណ្តាញណិតវើករួចរាល់ ពួកវាចាប់ផ្តើមទម្លាក់ Payloads បន្ទាប់។ ទាំងនេះរួមមាន Keylogger ដែលចាប់យក Keystrokes និងរក្សាពួកវានៅក្នុង Text files នៅក្នុង System Directories ដែលជាអ្នកលួចព័ត៌មាន (forceCopy) ដែលទាញយកអត្តសញ្ញាណដែលបានរក្សាទុកនៅលើ Web Browsers និង PowerShell-base ReflectionLoader ដែលបើកដំណើរការ Payload នៅក្នុងអង្គចងចាំ។ សរុបមក Kimsuky គឺជាការគំរាមកំហែងជាប់លាប់ និងមានការវិវឌ្ឍ ថែមទាំងជាភ្នាក់ងារចារកម្មសាយប័ររីកចម្រើនបំផុតលះបង់ដើម្បីប្រមូលព័ត៌មានសម្ងាត់។ លទ្ធផលរកឃើញចុងក្រោយរបស់ ASEC បង្ហាញថា ហេគឃ័រប្តូរទៅប្រើវិធីសាស្រ្តដំណើរការពីចម្ងាយដើម្បីលួចព័ត៌មាន និងរក្សាវត្តមានឱ្យបានយូរនៅក្នុងបណ្តាញណិតវើកដែលបានខ្លួនបានវាយប្រហារយកមកគ្រប់គ្រង។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែកុម្ភៈ ឆ្នាំ២០២៥
