US-CERT ចេញនូវសេចក្តីជូនដំណឹងរួមគ្នាដែលចេញពីស្ថាប័នសន្តិសុខសាធារណៈ DHS និងប៉ូលិស FBI ដែលធ្វើការព្រមានអំពីមេរោគ Malware ថ្មីចំនួន 2 ដែលប្រើប្រាស់ដោយក្រុម APT hacking group របស់កូរ៉េខាងជើង ហើយក្រុមនេះមានឈ្មោះហៅថា Hidden Cobra នោះ។
Hidden Cobra ត្រូវគេស្គាល់ឈ្មោះជា Lazarus Group និង Guardians of Peace ត្រូវគេជឿជាក់ថាស្ថិតនៅពីក្រោយដោយរដ្ឋាភិបាលនៃប្រទេសកូរ៉េខាងជើង ហើយក្រុមនេះក៏ចាប់ផ្តើមការវាយប្រហារប្រឆាំងនឹងស្ថាប័នសារព័ត៌មាន អាកាសចរណ៍ ធនាគារ និងវិស័យហេដ្ឋារចនាសម្ព័ន្ធជាច្រើនទៀត។ ក្រុមនេះក៏ជាប់ទាក់ទងជាមួយនឹងការចែកចាយមេរោគ WannaCry ransomware កាលពីឆ្នាំមុននេះដែលវាយប្រហារទៅលើអាជីវកម្ម និងមន្ទីរពេទ្យជាច្រើនកន្លែងថែមទៀត។ វាក៏មានការថាបានហេគទៅលើ 2014 Sony Pictures និងការវាយប្រហារទៅលើធនាគារ SWIFT Banking នៅក្នុងឆ្នាំ 2016 ផងដែរ។
ពេលនេះ ស្ថាប័នសន្តិសុខសាធារណៈ DHS និងប៉ូលិស FBI ធ្វើការរកឃើញនូវមេរោគ Malware ថ្មីចំនួនពីរបន្ថែមទៀតដែលក្រុម Hidden Cobra ប្រើប្រាស់តាំងពីឆ្នាំ 2009 ដែលមានគោលដៅវាយប្រហារទៅលើក្រុមហ៊ុនជាច្រើននៅក្នុងស្ថាប័នសារព័ត៌មាន អាកាសចរណ៍ ធនាគារ និងវិស័យហេដ្ឋារចនាសម្ព័ន្ធជាច្រើនទៀតនៅជុំវិញពិភពលោកផងដែរ។
មេរោគដែលក្រុម Hidden Cobra កំពុងប្រើប្រាស់នេះមានឈ្មោះថា Remote Access Trojan (RAT) ដែលត្រូវគេស្គាល់ឈ្មោះថាជា Joanap និងមេរោគ Server Message Block (SMB) worm ដែលគេហៅឈ្មោះថា Brambul ។
Joanap— មេរោគសម្រាប់បញ្ជាពីចម្ងាយ (Remote Access Trojan)
តាមការបញ្ជាក់របស់ US-CERT នោះ មេរោគ RAT” Joanap នេះគឺជាមេរោគដែលមានពីរជំហានចាប់ផ្តើមនៅលើ peer-to-peer communications និងគ្រប់គ្រងទៅលើ botnets ក្នុងការប្រតិបត្តិការទៅលើមេរោគនេះ។ មេរោគនេះឆ្លងទៅលើប្រព័ន្ធតាមរយៈ File មួយដែលចែកចាយដោយមេរោគ Malware ផ្សេងទៀត។ Joanap ទទួលបានពាក្យបញ្ជាចេញពី remote command and control server ដែលគ្រប់គ្រងដោយក្រុម Hidden Cobra ដែលពួកគេមានលទ្ធភាពក្នុងការលួចទិន្នន័យ ការតម្លើង និងដំណើរការនូវមេរោគ Malware និងការតម្លើងនូវ proxy communications នៅលើ Windows ដែលមានបញ្ហានេះផងដែរ។
នៅក្នុងការវិភាគទៅលើរចនាសម្ព័ន្ធនៃមេរោគ Joanap នេះ រដ្ឋាភិបាលរបស់សហរដ្ឋអាមេរិករកឃើញនូវមេរោគនេះនៅលើបណ្តាញ Network ចំនួន 18 នៅលើ 17 ប្រទេសដែលក្នុងនោះក៏មានប្រទេស Brazil, China, Spain, Taiwan, Sweden, India និង Iran ផងដែរ។
Brambul—មេរោគ SMB Worm
Brambul គឺជាប្រភេទមេរោគ brute-force authentication worm ដែលមានសមត្ថភាពខ្លាំងក្លាដូចទៅនឹងមេរោគ WannaCry ransomware សម្រាប់ធ្វើការវាយប្រហារទៅលើ Server Message Block (SMB) protocol ដើម្បីចែកចាយខ្លួនវាទៅក្នុងប្រព័ន្ធផ្សេងទៀត។ មេរោគនេះឆ្លងនៅលើ Windows 32-bit SMB worm ហើយមានមុខងារក្នុងការភ្ជាប់ library file ឬ portable executable file តម្លើងនៅលើ Networks របស់ជនរងគ្រោះនោះ។
ស្ថាប័នសន្តិសុខសាធារណៈ DHS ណែនាំអោយអ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងធ្វើការការពារទៅលើបណ្តាញ Networks នៅលើកុំព្យូទ័រ ការតម្លើងធ្វើបច្ចុប្បន្នភាពទៅលើប្រព័ន្ធ OS និង Software ការដំណើរការកម្មវិធីកម្ចាត់មេរោគ ការបិទ SMB និងការហាមតម្លើង Files និង Software ពីប្រភពមិនស្គាល់នោះ។
កាលពីឆ្នាំមុននេះ ស្ថាប័នសន្តិសុខសាធារណៈ DHS និងប៉ូលិស FBI បញ្ចេញនូវមេរោគ Delta Charlie— ដែលជា DDoS tool របស់ប្រទេសកូរ៉េខាងជើងក្នុងការចែកចាយការវាយប្រហារ denial-of-service (DDoS) ទៅលើគោលដៅរបស់ខ្លួននោះ។ មេរោគជាច្រើនទៀតរបស់ក្រុម Hidden Cobra មានដុចជា Destover, Wild Positron ឬ Duuzer និង Hangman ដែលមានសមត្ថភាពខ្លាំងដូចទៅនឹង DDoS botnets, keyloggers, remote access tools (RATs) និង wiper malware ៕
ប្រភព៖
https://thehackernews.com/2018/05/north-korean-hacker-hidden-cobra.html