ក្រុមចារកម្មសាយប័រយោធារុស្ស៊ី Sandworm កំពុងតែមានគោលដៅលើអ្នកប្រើ Windows នៅក្នុងប្រទេសអ៊ុយក្រែន ដោយប្រើមេរោគ Trojanized Microsoft Key Management Service (KMS) Activators និងបច្ចុប្បន្នភាព Windows ក្លែងបន្លំ។
ការវាយប្រហារទាំងនេះបានចាប់ផ្តើមកាលពីចុងឆ្នាំ២០២៣ និងបច្ចុប្បន្នទាក់ទងនឹងក្រុមហេគឃ័រ Sandworm បើផ្អែកលើរចនាសម្ព័ន្ធដូចគ្នា តិចនិកប្រហាក់ប្រហែលគ្នា បច្ចេកទេស និងនីតិវិធី (TTPs) និងជាញឹកញាប់ប្រើគណនី ProtonMail សម្រាប់ចុះឈ្មោះ Domains និងប្រើប្រាស់នៅក្នុងការវាយប្រហារ បើយោងតាមអ្នកវិភាគការគំរាមកំហែង ElectricIQ។ ហេគឃ័រក៏បានប្រើ BACKORDER loader សម្រាប់ដាក់ពង្រាយមេរោគ DarkCrystal RAT (DcRAT) malware (ធ្លាប់ប្រើនៅក្នុងការវាយប្រហារ Sandworm ពីមុន) និងនិម្មិតសញ្ញាបំបាត់កំហុសដែលសំដៅលើមជ្ឈដ្ឋានបង្កើតជាភាសារុស្ស៊ី ព្រមទាំងការពង្រីកទំនុកចិត្តរបស់អ្នកស្រាវជ្រាវដែលថា ពួកហេគឃ័រយោធារុស្ស៊ីមានជាប់ពាក់ព័ន្ធក្នុងរឿងនេះ។
ElectricIQ បានកំណត់យុទ្ធនាការចែកចាយមេរោគចំនួន៧ បានចងភ្ជាប់នឹងសកម្មភាពអាក្រក់ដូចគ្នា ដែលម្នាក់ៗប្រើការលួងលោម និង TTPs ស្រដៀងគ្នា។ នាពេលថ្មីៗនេះ កាលពីថ្ងៃទី១២ ខែមករា ឆ្នាំ២០២៥ អ្នកវិភាគបានសង្កេតឃើញការវាយប្រហារប៉ះពាល់ដល់ជនរងគ្រោះដោយសារការបញ្ជាមេរោគ DcRAT Trojan ពីចម្ងាយនៅក្នុងការវាយប្រហារច្រោះយកទិន្នន័យ ដោយប្រើប្រាស់ Domain ដែលមានឈ្មោះស្រដៀងគ្នា (Typo-squatted domain)។ នៅពេលបានដាក់ពង្រាយមេរោគលើឧបករណ៍របស់ជនរងគ្រោះ Tool នឹងដំណើរការ KMS ក្លែងក្លាយបង្ហាញជាផ្ទាំង Windows ក្លែងក្លាយ ដំឡើង Loader មេរោគ និងបិទប្រព័ន្ធការពារ Windows នៅលើ Background មុនពេលបញ្ជូន RAT Payload មេរោគចុងក្រោយ។
គោលដៅចុងក្រោយនៃការវាយប្រហារគឺដើម្បីប្រមូលយកព័ត៌មានសម្ងាត់ពីកុំព្យូទ័រដែលឆ្លងមេរោគ និងផ្ញើព័ត៌មានទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ។ មេរោគលួច Keystrokes, Browser Cookies, Browser History, ថតទុកអត្តសញ្ញាណ អត្តសញ្ញាណ FTP ព័ត៌មានប្រព័ន្ធ និងថតអេក្រង់ទុក។ ការប្រើ Sandworm នៃកម្មវិធីសកម្ម Windows ព្យាបាទទំនងជាត្រូវបានជំរុញដោយផ្ទៃនៃការវាយប្រហារដ៏ធំ ដែលបានបើកការប្រើប្រាស់យ៉ាងខ្លាំងនៃកម្មវិធីលួចចម្លងនៅក្នុងប្រទេសអ៊ុយក្រែន ដែលបានប៉ះពាល់ដល់រដ្ឋាភិបាលផងដែរ។
ElectricIQ បានថ្លែងថា អ្នកប្រើជាច្រើនរួមមានអាជីវកម្ម និងអង្គភាពសំខាន់ៗ បានងាកទៅប្រើកម្មវិធីលួចចម្លងពីប្រភពដែលមិនទុកចិត្ត ដែលផ្តល់ឱ្យហេគឃ័រដូចជា Sandworm (APT44) នូវឱកាសបង្កប់មេរោគនៅក្នុងកម្មវិធីយ៉ាងទូលំទូលាយ។ តិចនិកនេះអនុញ្ញាតឱ្យមានចារកម្មទ្រង់ទ្រាយធំ ការលួចទិន្នន័យ និងការសម្របសម្រួលបណ្តាញ ដែលគំរាមកំហែងដោយផ្ទាល់ដល់សន្តិសុខជាតិរបស់អ៊ុយក្រែន ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ និងភាពធន់នៃវិស័យឯកជន។ Sandworm (ឬក៏ Tracked as UAC-0113, APT44 និង Seashell Blizzard) គឺជាក្រុមហេគសកម្មតាំងពីឆ្នាំ២០០៩ និងជាផ្នែកមួយនៃកងយោធា Military Unit 74455 របស់នាយកដ្ឋានស៊ើបអង្កេតដ៏សំខាន (GRU) នៃសេវាស៊ើបអង្កេតយោធារបស់រុស្ស៊ី ដែលបានផ្តោតលើការវាយប្រហាររំខាន និងបំផ្លាញអ៊ុយក្រែន។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែកុម្ភៈ ឆ្នាំ២០២៥
