ក្រុមហ៊ុន Microsoft បានចុះបង្ក្រាប GitHub Repositories ដែលត្រូវបានប្រើក្នុងយុទ្ធនាការផ្សាយពាណិជ្ជកម្មឆបោកដ៏ធំ និងបានប៉ះពាល់ដល់ឧបករណ៍ស្ទើរតែ ១លានគ្រឿងនៅទូទាំងសកលលោក។អ្នកវិភាគការគំរាមកំហែងរបស់ក្រុមហ៊ុនបានរកឃើញការវាយប្រហារទាំងនេះ កាលពីចុងឆ្នាំ២០២៤ បន្ទាប់ពីការសង្កេតលើឧបករណ៍ជាច្រើនដែលបានដោនឡូតមេរោគចេញពី GitHub Repos ដែលមេរោគនេះត្រូវបានប្រើនៅពេលក្រោយសម្រាប់ដាក់ពង្រាយបណ្តុំនៃ Payloads ផ្សេងទៀតនៅលើប្រព័ន្ធដែលត្រូវបានគ្រប់គ្រង។
បន្ទាប់ពីការវិភាគលើយុទ្ធនាការ អ្នកវិភាគបានរកឃើញថា ហេគឃ័របានចាក់បញ្ចូលពាណិជ្ជកម្មទៅក្នុងគេហទំព័រ Streaming ដែលត្រូវបានបន្លំដោយខុសច្បាប់ និងបាននាំជនរងគ្រោះទៅកាន់ GitHub Repositories ព្យាបាទដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ហេគឃ័រ។
Streaming Websites បានបង្កប់ឧបករណ៍បញ្ជូនបន្តទៅកាន់ការផ្សាយពាណិជ្ជកម្មព្យាបាទនៅក្នុង Movies Frames សម្រាប់បង្កើតការបង់ប្រាក់សម្រាប់ការចូលមើល ឬការបង់ប្រាក់សម្រាប់ការចុចលើផ្លេតហ្វមផ្សាយពាណិជ្ជកម្មព្យាបាទនោះ បើយោងតាមការពន្យល់របស់ក្រុមហ៊ុន Microsoft នៅថ្ងៃនេះ។ ឧបករណ៍បញ្ជូនបន្តទាំងនេះ ក្រោយមកទៀតបានបញ្ជូនចរាចរណ៍តាមរយៈឧបករណ៍បញ្ចូនបន្តព្យាបាទមួយ ឬពីរផ្សេងទៀត ចុងក្រោយ នាំជនរងគ្រោះទៅកាន់គេហទំព័រដទៃទៀតដូចជាគេហទំព័រមេរោគ ឬគេហទំព័រឆបោកថាគាំទ្រផ្នែកបច្ចេកវិទ្យា ដែលបន្ទាប់មកនាំទៅកាន់ GitHub។ វីដេអូផ្សាយពាណិជ្ជកម្មឆបោកបាននាំអ្នកប្រើប្រាស់ទៅកាន់ GibHub Repos ដែលបានចម្លងមេរោគ Malware ហើយត្រូវបានបង្កើតឡើងសម្រាប់ស្វែងរកប្រព័ន្ធដំណើរការ ប្រមូលព័ត៌មានលម្អិតរបស់ប្រព័ន្ធ (ឧ. ទំហំអង្គចងចាំ លម្អិតពី Graphic, Screen Resolution, ប្រព័ន្ធប្រតិបត្តិការ (OS) និង User Paths) ព្រមទាំងបានច្រោះយកទិន្នន័យដែលបានប្រមូល នៅពេលពង្រាយ Payloads ដំណាក់កាលទី២ បន្ថែមទៀត។ ជំហានទី៣ PowerShell Script Payload បន្ទាប់មក ដោនឡូតមេរោគ NetSupport Remote Access Trojan (RAT) ពី Command-and-Control Server និងបង្កើតវត្តមានជាប់លាប់នៅក្នុងការចុះឈ្មោះសម្រាប់ RAT។ នៅពេលប្រតិបត្តិការ មេរោគក៏អាចដាក់ពង្រាយមេរោគលួចព័ត៌មាន Lumma និងភ្នាក់ងារលួចព័ត៌មាន Open-Source Doenerium សម្រាប់ទាញយកទិន្នន័យអ្នកប្រើប្រាស់ និងអត្តសញ្ញាណ Browser។
ម្យ៉ាងទៀត ប្រសិនបើ Payload ដំណាក់កាលទី៣ ជាឯកសារប្រតិបត្តិនោះ វានឹងបង្កើត និងដំណើរការ CMD file នៅពេលទម្លាក់អ្នកបកប្រែ AutoIt ដែលត្រូវបានប្តូរឈ្មោះជាមួយនឹង .com extension។ ក្រោយមក សមាសធាតុ AutoIt ដាក់ចេញដំណើរការ Binary និងទម្លាក់អ្នកបកប្រែ AutoIt ជំនាន់ផ្សេងទៀតជាមួយនឹង .scr extension។ JavaScript File ក៏ត្រូវបានដាក់ពង្រាយសម្រាប់ប្រតិបត្តិ និងបង្កើតវត្តមានជាប់លាប់សម្រាប់ .scr files ផងដែរ។
នៅក្នុងដំណាក់កាលចុងក្រោយនៃការវាយប្រហារ មេរោគ AutoIt Payloads ប្រើ RegAsm ឬ PowerShell សម្រាប់បើកឯកសារ បើក Remote Browser Debugging និងទាញយកព័ត៌មានបន្ថែម។ នៅក្នុងករណីខ្លះទៀត PowerShell ក៏ត្រូវបានប្រើសម្រាប់គណនា Exclusion Paths សម្រាប់ Windows Defender ឬទម្លាក់ NetSupport Payloads បន្ថែមទៀត។ ខណៈ GitHub គឺជាផ្លេតហ្វមមូលដ្ឋានសម្រាប់បង្ហោះ Payloads ដែលត្រូវបានបញ្ជូននៅក្នុងអំឡុងពេលដំណាក់ដំបូងនៃយុទ្ធនាការ ក្រុមស៊ើបអង្កេតការគំរាមកំហែងរបស់ក្រុមហ៊ុន Microsoft ក៏បានសង្កេតឃើញ Payloads ត្រូវបានបង្ហោះនៅលើ Dropbox និង Discord។ សកម្មភាពនេះត្រូវបានតាមដានក្រោមឈ្មោះថា Storm-0408 ដែលប្រើសម្រាប់តាមដានហេគឃ័រជាច្រើនដែលទាក់ទងនឹងការបញ្ជាពីចម្ងាយ ឬមេរោគលួចព័ត៌មាន រួមទាំងសម្រាប់ជនខិលខូចប្រើការឆបោក ស្វែងរក Engine Optimization (SEO) ឬយុទ្ធនាការផ្សាយពាណិជ្ជកម្មឆបោកសម្រាប់ចែកចាយ Payloads ព្យាបាទ បើយោងតាមក្រុមហ៊ុន Microsoft។
យុទ្ធនាការនេះបានប៉ះពាល់ដល់អង្គការ និងឧស្សាហកម្មជាច្រើនរួមមានទាំងឧបករណ៍អតិថិជន និងសហគ្រាស ដែលបានលើកឡើងពីការវាយប្រហារដែលមិនលើកលែង។ របាយការណ៍របស់ក្រុមហ៊ុន Microsoft បានផ្តល់នូវព័ត៌មានបន្ថែម និងលម្អិត ដែលចាត់ទុកដំណាក់កាលជាច្រើននៃការវាយប្រហារ និង Payloads ត្រូវបានប្រើនៅក្នុងការវាយប្រហារពហុដំណាក់កាលរបស់យុទ្ធនាការផ្សាយពាណិជ្ជកម្មព្យាបាទដ៏ស្មុគស្មាញនេះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែមីនា ឆ្នាំ២០២៥
