ក្រុមហេគ APT ចិនឈ្មោះ “Mustang Panda” ត្រូវបានប្រទះឃើញថា បានធ្វើការកេងចំណេញលើឧបករណ៍ Microsoft Application Virtualization Injector ដែលជា LOLBIN សម្រាប់ចាក់បញ្ចូល Payloads ព្យាបាទចូលទៅក្នុងដំណើរការស្របច្បាប់ ដើម្បីគេចពីការតាមចាប់របស់កម្មវិធីកម្ចាត់មេរោគ។
តិចនិកនេះត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវការគំរាមកំហែងនៅក្រុមហ៊ុន Trend Micro ដែលតាមដានក្រុមគំរាមកំហែងដូចជា Earth Preta និងរាយការណ៍ថា ពួកគេបានបញ្ជាក់ពីជនរងគ្រោះមិនតិចជាង ២០០នាក់ទេតាំងពីឆ្នាំ២០២២មក។ ទំហំគោលដៅរបស់ក្រុម Mustang Panda បើយោងតាមការមើលឃើញរបស់ក្រុមហ៊ុន Trend Micro បានឱ្យដឹងថា ក្រុមនេះមានគោលដៅលើអង្គភាពរដ្ឋាភិបាលនៅតំបន់អាស៊ីប៉ាស៊ីហ្វិក ខណៈវិធីសាស្រ្តនៃការវាយប្រហារបឋមគឺជាអ៊ីម៉ែលឆបោក (spear-phishing) ដែលលេចចេញពីភ្នាក់ងាររដ្ឋាភិបាល អង្គការ ស្ថាប័នទីប្រឹក្សា និងការអនុវត្តច្បាប់។
ក្រុមហេគឃ័រដែលត្រូវបានមើលឃើញនៅក្នុងការវាយប្រហារមានគោលដៅលើរដ្ឋាភិបាលនៅទូទាំងសកលលោកដោយប្រើ Google Drive សម្រាប់ចែកចាយមេរោគ Backdoor ការគេចខ្លួនចេញពីការតាមចាប់ និងខ្សែច្រវាក់វាយប្រហារផ្អែកលើមេរោគ (Worm)។ អ៊ីម៉ែលដែលបានប្រទះឃើញដោយក្រុមហ៊ុន Trend Micro នោះមានផ្ទុកឯកសារភ្ជាប់ព្យាបាទដែលមាន Dropper file (IRSetup.exe) ដែលជាអ្នកដំឡើង Setup Facility។ ប្រសិនបើជនរងគ្រោះបើកឯកសារនោះ វានឹងទម្លាក់ឯកសារចម្រុះចូលទៅក្នុង C:\ProgramData\sesssion ដែលរួមមានឯកសារស្របច្បាប់ សមាសធាតុមេរោគ និង PDF ក្លែងបន្លំសម្រាប់ជាការបង្វែរចំណាប់អារម្មណ៍។
ការគេចចេញពីកម្មវិធីកម្ចាត់មេរោគ៖ នៅពេលកម្មវិធីកម្ចាត់មេរោគ ESET បានរកឃើញ (ekrn.exe or egui.exe) នៅលើម៉ាស៊ីនដែលបានវាយប្រហារយកទៅគ្រប់គ្រងនោះ ក្រុម Mustang Panda ដាក់ពង្រាយយន្តការរត់គេចដែលបានកេងចំណេញមុនពេលដំឡើងនៅលើ Window 10 និងជំនាន់ក្រោយ។ ការកេងចំណេញចាប់ផ្តើមជាមួយនឹង Microsoft Application Virtualization Injector (MAVInject.exe) ដែលជា Tool របស់ Windows System ស្របច្បាប់ដែលអនុញ្ញាតឱ្យប្រព័ន្ធដំណើរការចាក់បញ្ចូលកូដទៅក្នុងដំណើរការ (running process)។ វាត្រូវបានប្រើដោយ Application Virtualization (App-V) របស់ Microsoft សម្រាប់ដំណើរការ Virtualized Applications ប៉ុន្តែអ្នកអភិវឌ្ឍ និងអ្នកគ្រប់គ្រងប្រព័ន្ធ (Admins) ក៏អាចប្រើវាសម្រាប់ប្រតិបត្តិ DLLs នៅក្នុងដំណើរការផ្សេងទៀត សម្រាប់ការធ្វើតេស្តសាកល្បង ឬស្វ័យប្រវត្តិកម្ម។ កាលពីឆ្នាំ២០២២ ក្រុមហ៊ុនសន្តិសុខសាយប័រ FourCore បានរាយការណ៍ថា MAVInject.exe អាចត្រូវបានកេងចំណេញជា LOLBIN និងបានព្រមានថា ប្រតិបត្តិការគួរតែត្រូវបានបិទនៅលើឧបករណ៍ដែលមិនប្រើ APP-v។
ក្រុម Mustang Panda បានកេងចំណេញលើប្រតិបត្តិការសម្រាប់ចាក់បញ្ចូល Payloads ព្យាបាទទៅក្នុង ‘waitfor.exe’ ដែលជា Tool របស់ Windows ស្របច្បាប់ដែលមានមុនការដំឡើងនៅក្នុងប្រព័ន្ធដំណើរការ Windows។ មុខងារស្របច្បាប់របស់ waitfor.exee នៅលើ Windows គឺដើម្បីដំណើរការ Synchonize នៅទូទាំងម៉ាស៊ីនចម្រុះដោយការរង់ចាំសញ្ញា ឬពាក្យបញ្ជាមុននឹងធ្វើសកម្មភាពជាក់លាក់ណាមួយ។ វាត្រូវបានប្រើប្រាស់នៅក្នុង Batch Scripting និងស្វ័យប្រវត្តិកម្មសម្រាប់ពន្យារពេលការងារ ឬធានាថាបញ្ចប់ដំណើរការជាក់លាក់មុនពេលចាប់ផ្តើមដំណើរការថ្មីផ្សេងទៀត។ ជាប្រព័ន្ធដំណើរការដែលអាចទុកចិត្ត មេរោគដែលត្រូវបានចាក់បញ្ចូលវាដំណើរការ Windows ធម្មតា ដូច្នេះ ESET និង Tool សម្រាប់កម្ចាត់មេរោគផ្សេងទៀត មិនបានកត់សម្គាល់ថាជាប្រតិបត្តិការរបស់មេរោគនោះទេ។ មេរោគចាក់បញ្ចូលទៅក្នុង waitfor.exe គឺជាជំនាន់ដែលត្រូវបានបញ្ជាក់របស់ TONESHELL backdoor ដែលមកជាមួយនឹងការលាក់នៅក្នុង DLL file (EACore.dll)។
នៅពេលដំណើរការ មេរោគបានភ្ជាប់ទៅកាន់ពាក្យបញ្ជារបស់វា និងគ្រប់គ្រងម៉ាស៊ីនមេនៅ militarytc[.]com:443 និងផ្ញើព័ត៌មានរបស់ប្រព័ន្ធ បូករួមទាំង ID របស់ជនរងគ្រោះ។ មេរោគក៏ផ្តល់ឱ្យហេគឃ័រជាមួយនឹង Shell ត្រលប់សម្រាប់ប្រតិបត្តិការពាក្យបញ្ជាពីចម្ងាយ និងប្រតិបត្តិការឯកសារដូចជាផ្លាស់ទី និងលុប (Delete)។ Trend Micro ជឿជាក់ថា អញ្ញត្តិថ្មីនេះគឺជា Mustang Panda Tool បើផ្អែកលើលក្ខណៈមុខងារ និងយន្តការឌីគ្រីបឯកសារ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែកុម្ភៈ ឆ្នាំ២០២៥
