ក្រុមគំរាមកំហែងកម្រិតខ្ពស់ដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនមានឈ្មោះថា Weaver Ant បានចំណាយពេលជាង 4 ឆ្នាំនៅក្នុងបណ្តាញអ្នកផ្តល់សេវាទូរគមនាគមន៍ ដោយលាក់បាំងចរាចរណ៍ និងហេដ្ឋារចនាសម្ព័ន្ធ ដោយមានជំនួយពីឧបករណ៍ Routers Zyxel CPE។ អ្នកស្រាវជ្រាវដែលស៊ើបអង្កេតការឈ្លានពានបានរកឃើញការបំបែកខ្លួនជាច្រើនប្រភេទនៃ China Chopper Backdoor និងគេហទំព័រផ្ទាល់ខ្លួនដោយមិនមានឯកសារពីមុនហៅថា ‘INMemory’ ដែលដំណើរការបនៅក្នុងអង្គចងចាំរបស់ម៉ាស៊ីន។
យោងតាមអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនបច្ចេកវិទ្យា និងសេវាកម្មអ៊ីនធឺណិត Sygnia បានឱ្យដឹងថា តួអង្គគំរាមកំហែងបានកំណត់គោលដៅលើក្រុមហ៊ុនផ្តល់សេវាទូរគមនាគមន៍ធំមួយនៅអាស៊ី ហើយបានបង្ហាញថាមានភាពធន់នឹងការប៉ុនប៉ងដើម្បីលុបចោលព័ត៍មានជាច្រើនដង។
“Weaving” ដែលជាបណ្តាញនៅក្នុងបណ្តាញការឈ្លានពានរបស់ Weaver Ant បានប្រើប្រាស់បណ្តាញបញ្ជូនបន្តប្រតិបត្តិការ (ORB) ដែលបង្កើតជាចម្បងនៃឧបករណ៍ Routers Zyxel CPE ដើម្បីចរាចរសម្រាប់លាក់កំបាំង និងលាក់ហេដ្ឋារចនាសម្ព័ន្ធ។ តួអង្គគំរាមកំហែងបានបង្កើតមូលដ្ឋាននៅលើបណ្តាញដោយប្រើវ៉ារ្យ៉ង់ដែលបានអ៊ិនគ្រីប AES នៃសែលបណ្តាញ China Chopper ដែលអនុញ្ញាតឱ្យបញ្ជាពីចម្ងាយនៃម៉ាស៊ីនមេខណៈពេលដែលឆ្លងកាត់ការរឹតបន្តឹងជាមួយនឹង Firewall ។
នៅពេលដែលប្រតិបត្តិការបានរយៈពេលវែង Weaver Ant បានណែនាំនូវគេហទំព័របំប្លែងដែលបង្កើតដោយខ្លួនឯងកាន់តែទំនើបដែលត្រូវបានគេស្គាល់ថាជា INMemory ដោយការប្រើប្រាស់ DLL (eval.dll) សម្រាប់ ‘ការប្រតិបត្តិកូដទាន់ពេល។’ក្រុមអ្នកស្រាវជ្រាវ Sygnia បាននិយាយនៅក្នុងរបាយការណ៍ថ្ងៃនេះមួយថា វិធីសាស្ត្រចម្រាញ់ទិន្នន័យដែលប្រើក្នុងការវាយប្រហារក៏ត្រូវបានជ្រើសរើសដើម្បីបង្កើនការជូនដំណឹងតិចតួចតាមដែលអាចធ្វើទៅបាន រួមទាំងការចាប់យកចរាចរបណ្តាញដោយផ្ទាល់ និងការយកព័ត៍មានតាមរបៀបធ្វើ Port Mirroring ។
ជំនួសឱ្យការដាក់ពង្រាយបណ្តាញបំភ័ននៅក្នុងភាពឯកោ Weaver Ant បានភ្ជាប់ពួកវាជាមួយគ្នានៅក្នុងបច្ចេកទេសមួយហៅថា ‘web shell tunneling’ ដែលពីមុនត្រូវបានត្រួសត្រាយដោយតួអង្គគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុ ‘Elephant Bettle” បច្ចេកទេសនេះបញ្ជូនចរាចរណ៍ពីម៉ាស៊ីនមេមួយទៅម៉ាស៊ីនមេមួយទៀតឆ្លងកាត់ផ្នែកបណ្តាញផ្សេងគ្នា សំខាន់បង្កើតបណ្តាញបញ្ជា និងគ្រប់គ្រងពាក្យសម្ងាត់ (C2) នៅខាងក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ជនរងគ្រោះ។ ការបំភ័ននីមួយៗដើរតួជា Proxy បញ្ជូនបន្ទុកដែលបានដាក់ និងអ៊ិនគ្រីបទៅអ្នកផ្សេងទៀតសម្រាប់ការប្រតិបត្តិជាដំណាក់កាលកាន់តែជ្រៅនៅក្នុងបណ្តាញ។
Sygnia ពន្យល់នៅក្នុងរបាយការណ៍បច្ចេកទេសថា “ការភ្ជាប់បណ្តាញបំភ័នតាមរយៈការជ្រៀតចូលគឺជាវិធីសាស្រ្តដែលប្រើគេហទំព័របំភ័នជាច្រើនជា ‘Proxyservers’ ដើម្បីប្តូរទិសចរាចរ HTTP ចូលទៅកាន់ គេហទំព័របំភ័នមួយផ្សេងទៀតនៅលើម៉ាស៊ីនផ្សេងគ្នាសម្រាប់ការប្រតិបត្តិបន្ទុក” Sygnia ពន្យល់នៅក្នុងរបាយការណ៍បច្ចេកទេស។
ដោយសារតែដូចនេះ Weaver Ant អាច “ដំណើរការលើម៉ាស៊ីនមេនៅក្នុងផ្នែកបណ្តាញផ្សេងៗគ្នា” ។ ទាំងនេះភាគច្រើនជាម៉ាស៊ីនមេខាងក្នុងដែលមិនមានការតភ្ជាប់អ៊ីធឺណិត និងអាចចូលប្រើបានតាមរយៈម៉ាស៊ីនមេដែលអាចចូលទៅដល់បានតាមរយៈបណ្តាញដែលអាចបភ្ជាប់អ៊ីនធឺណេតដើរតួជាច្រកផ្លូវប្រតិបត្តិការ។
ការរកឃើញរបស់ Sygnia បង្ហាញថា Weaver Ant បានផ្លាស់ប្តូរនៅពេលក្រោយដោយប្រើការចែករំលែក SMB និងគណនីដែលមានសិទ្ធិខ្ពស់ដែលប្រើពាក្យសម្ងាត់ដូចគ្នាអស់រយៈពេលជាច្រើនឆ្នាំ ដែលជារឿយៗត្រូវបានផ្ទៀងផ្ទាត់តាមរយៈសញ្ញា NTLM ។
ទិន្នន័យដែលពួកគេបានប្រមូលក្នុងរយៈពេលជាង 4 ឆ្នាំនៃការចូលប្រើបណ្តាញរបស់ជនរងគ្រោះរួមមានឯកសារកំណត់រចនាសម្ព័ន្ធ កំណត់ហេតុការចូលប្រើ និងទិន្នន័យអត្តសញ្ញាណដើម្បីគូសផែនទីបរិស្ថាន និងប្រព័ន្ធដ៏មានតម្លៃ។ ពួកគេក៏បានបិទយន្តការកត់ត្រាដូចជា ETW (Event Tracing for Windows) patching និង AMSI bypasses (សរសេរជាន់លើមុខងារ ‘AmsiScanBuffer’ នៅក្នុងម៉ូឌុល ‘amsi.dll’) ដើម្បីរក្សាដានតូចជាង ហើយនៅតែមិនអាចរកឃើញក្នុងរយៈពេលយូរ។
Weaver Ant បង្ហាញឱ្យឃើញពីភាពប៉ិនប្រសប់របស់គេ ដែលឧបត្ថម្ភដោយរដ្ឋដែលមានសមត្ថភាពដើម្បីសម្រេចបាននូវការចូលប្រើប្រាស់រយៈពេលវែងនៅលើបណ្តាញជនរងគ្រោះសម្រាប់ប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិត។ Sygnia និយាយថា គុណលក្ខណៈរបស់វាគឺផ្អែកលើការប្រើប្រាស់ម៉ូដែល Routers Zyxel ដែលពេញនិយមនៅក្នុងតំបន់ភូមិសាស្រ្តជាក់លាក់ ការប្រើប្រាស់ backdoors ដែលពីមុនបានភ្ជាប់ទៅក្រុមគំរាមកំហែងរបស់ចិន និងប្រតិបត្តិការរបស់ Weaver Ant ក្នុងអំឡុងពេលម៉ោងធ្វើការ GMT +8 ។
តួអង្គគំរាមកំហែងនេះហាក់ដូចជាផ្តោតលើការស៊ើបការណ៍បណ្តាញ ការប្រមូលព័ត៌មានអត្តសញ្ញាណ និងការចូលប្រើប្រាស់ជាបន្តទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធទូរគមនាគមន៍ ជាជាងការលួចទិន្នន័យអ្នកប្រើប្រាស់ ឬកំណត់ត្រាហិរញ្ញវត្ថុ ដែលស្របតាមគោលដៅចារកម្មដែលឧបត្ថម្ភដោយរដ្ឋ។
ដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងកម្រិតខ្ពស់នេះ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យអនុវត្តការគ្រប់គ្រងចរាចរណ៍បណ្តាញខាងក្នុង បើកដំណើរការការចូល IIS និង PowerShell ពេញលេញ អនុវត្តគោលការណ៍សិទ្ធិតិចតួចបំផុត និងផ្លាស់ប្តូរព័ត៌មានសម្គាល់អ្នកប្រើប្រាស់ឱ្យបានញឹកញាប់។
ផងដែរ ការប្រើប្រាស់ឡើងវិញនូវសំបកគេហទំព័រដែលគេស្គាល់ផ្តល់ឱ្យអ្នកការពារនូវឱកាសមួយដើម្បីចាប់សកម្មភាពព្យាបាទមុនគេដោយប្រើឧបករណ៍ស្វែងរកស្តាទិច និងហត្ថលេខាដែលគេស្គាល់។
