ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខរកឃើញការវាយប្រហារលើចង្វាក់ផ្គត់ផ្គង់មួយដែលមានបំណងជ្រៀតចូលអង្គការនានាក្នុងប្រទេសកូរ៉េខាងត្បូងដោយប្រើ Trojan (RAT) ពីចម្ងាយដើម្បីលួចពត៌មានដ៏មានតម្លៃ។ ការវាយប្រហារនេះត្រូវគេរកឃើញជាលើកដំបូងក្នុងខែកក្កដា ហើយការអនុវត្តធ្វើតាមរយៈការ ប្រើប្រាស់ម៉ាស៊ីនផ្តល់ដំណោះស្រាយបញ្ជាពីចម្ងាយ។ គោលដៅចុងក្រោយគឺ ដើម្បីចម្លងតាមទ្វារក្រោយដោយប្រើមេរោគ 9002 RAT ។
អ្នកវាយប្រហារលួចវិញ្ញាបនបត្រឌីជីថល និងប្រើវាដើម្បីបង្កប់មេរោគរបស់ពួកគេ។ ពួកគេ កែប្រែម៉ាស៊ីនដែលអាបដេតដើម្បីចែកចាយតែឯកសារមេរោគទៅកាន់អង្គភាពដែលប្រើ អាសយដ្ឋាន IP ច្បាស់លាស់។ លើម៉ាស៊ីនដែលមានមេរោគ 9002 RAT នឹងតម្លើងមេរោគ បន្ថែម ដូចជាលើសេវាអ៊ីនធើណេត (IIS) 6 WebDav (ការបំពាន CVE-2017-7269) និងលេខសំងាត់ទិន្នន័យមូលដ្ឋានរបស់ SQL ។
Trend Micro ជាក្រុមហ៊ុនសន្តិសុខដែលរកឃើញថា ឧបករណ៍មួយចំនួនបង្ហាញពីរបៀបដែលអ្នកវាយប្រហារបញ្ចូលទិន្នន័យក្នុង web server និង database ។ អ្នកវាយប្រហារទំនងជាលួចយកកូដចុះហត្ថលេខាលើវិញ្ញាបនប័ត្រនៅខែមេសា ហើយ ក្រោយមករៀបចំបញ្ចូលមេរោគក្នុងឯកសារថ្មី ចុះហត្ថលេខា និងដាក់វានៅលើម៉ាស៊ីនមេ (server) របស់ពួកគេ។ បន្ទាប់មកទៀត ពួកគេធ្វើការហេគលើម៉ាស៊ីនមេដែលអាប់ដេតថ្មី និងកំណត់រចនាសម្ព័ន្ធរបស់វា ដើម្បីទាញយកឯកសារ update.zip ពីម៉ាស៊ីន (server) របស់អ្នកវាយប្រហារ ប៉ុន្តែអាចធ្វើបានតែលើភ្ញៀវដែលកំពុងភ្ជាប់អាសយដ្ឋាន IP ជាក់លាក់ ប៉ុណ្ណោះ។
ជាលទ្ធផល ក្នុងហ្វាលអាប់ដេតថ្មីដែលមានមេរោគត្រូវគេបញ្ជូនទៅអតិថិជនហើយមេរោគ 9002 RAT ក៏មានដំណើរការ។ មេរោគនេះនឹងទាញយកមេរោគបន្ថែមទៀត លើម៉ាស៊ីនដែល មានបញ្ចូលមេរោគ។ Backdoor ត្រូវគេគេចងក្រងនៅថ្ងៃទី 17 ខែកក្កដាឆ្នាំ 2018 ខណៈពេលដែល configuration លើឯកសារនៅក្នុង update.zip បង្កើតឡើងនៅថ្ងៃទី 18 ខែកក្កដា នៅថ្ងៃតែមួយជាមួយថ្ងៃ ដែលដំណើរការអាប់ដេតរបស់កម្មវិធីជំនួយពីចម្ងាយចាប់ផ្តើម។ ក្រុមហ៊ុន Trend Micro និយាយថា RAT ដែលគេប្រើប្រាស់ក្នុងការវាយប្រហារនេះ ត្រូវកំណត់ថានឹងអសកម្មក្នុងខែ សីហា។
មេរោគ 9002 RAT អាចបញ្ចូនមេរោគគ្រោះថ្នាក់ជាច្រើនទៀត ដើម្បីបើកមើល និងស្វែងរកវត្ថុសកម្ម និងប្រមូលព័ត៌សកម្ម ធ្វើការចាក់សោពាក្យសម្ងាត់ពីមូលដ្ឋានទិន្នន័យ SQL, ទាញយកកំហុស IIS 6, ទាញយកពាក្យសម្ងាត់ពី browser និងប្រមូលព័ត៌មានប្រព័ន្ធ។ វាក៏អាចទាញយកឧបករណ៍ហេគ ដែលអាចរកបានជាសាធារណៈ ប្រព័ន្ធបញ្ជាពីចម្ងាយ PlugX និង Mimikatz ផ្ទាល់ខ្លួន (ដើម្បីផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់កុំព្យូទ័រ និងអត្តសញ្ញាណសម្គាល់ ដែលសកម្ម) ។
ការវាយប្រហារតាមខ្សែចង្វាក់ផ្គត់ផ្គង់មិនត្រឹមតែប៉ះពាល់ដល់អ្នកប្រើប្រាស់ និងអាជីវកម្មប៉ុណ្ណោះទេ វាថែមទាំងធ្វើប៉ះពាលដល់ទំនុកចិត្តរបស់អ្នកលក់ និងភ្ញៀវ ឬអតិថិជន។ តាមរយៈការប្រើប្រាស់កម្មវិធី Trojanising ឬការរៀបចំរចនាសម្ព័ន្ធ platforms ដែលដំណើរការកម្មវិធីទាំងនោះ ការវាយប្រហារលើខ្សែចង្វាក់ផ្គត់ផ្គង់ប៉ះពាល់ដល់សុចរិតភាព និងសុវត្ថិភាពរបស់ទំនិញ និងសេវាកម្មដែលអង្គភាពផ្គត់ផ្គង់៕
ប្រភព៖
https://www.securityweek.com/supply-chain-attack-hits-south-korean-firms