ការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ប៉ះពាល់ដល់ក្រុមហ៊ុនជាច្រើននៅក្នុងប្រទេសកូរ៉េខាងត្បូង

0

ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខរកឃើញការវាយប្រហារលើចង្វាក់ផ្គត់ផ្គង់មួយដែលមានបំណងជ្រៀតចូលអង្គការនានាក្នុងប្រទេសកូរ៉េខាងត្បូងដោយប្រើ Trojan (RAT) ពីចម្ងាយដើម្បី​លួច​ពត៌​មានដ៏មានតម្លៃ។ ការវាយប្រហារនេះត្រូវគេរកឃើញជាលើកដំបូងក្នុងខែកក្កដា ហើយការអនុវត្តធ្វើតាមរយៈការ ប្រើប្រាស់ម៉ាស៊ីនផ្តល់ដំណោះស្រាយបញ្ជាពីចម្ងាយ។ គោលដៅចុងក្រោយគឺ ដើម្បីចម្លងតាមទ្វារក្រោយដោយប្រើមេរោគ 9002 RAT ។

អ្នកវាយប្រហារលួចវិញ្ញាបនបត្រឌីជីថល និងប្រើវាដើម្បីបង្កប់មេរោគរបស់ពួកគេ។ ពួកគេ កែប្រែម៉ាស៊ីនដែលអាបដេតដើម្បីចែកចាយតែឯកសារមេរោគទៅកាន់អង្គភាពដែលប្រើ អាសយដ្ឋាន IP ច្បាស់លាស់។ លើម៉ាស៊ីនដែលមានមេរោគ 9002 RAT នឹងតម្លើងមេរោគ បន្ថែម ដូចជាលើសេវាអ៊ីនធើណេត (IIS) 6 WebDav (ការបំពាន CVE-2017-7269) និងលេខសំងាត់ទិន្នន័យមូលដ្ឋានរបស់ SQL ។

Trend Micro ជាក្រុមហ៊ុនសន្តិសុខដែលរកឃើញថា ឧបករណ៍មួយចំនួន​បង្ហាញពីរបៀប​ដែលអ្នក​វាយប្រហារបញ្ចូលទិន្នន័យក្នុង web server និង database ។ អ្នកវាយប្រហារទំនងជាលួចយកកូដចុះហត្ថលេខាលើវិញ្ញាបនប័ត្រនៅខែមេសា​ ហើយ ក្រោយមករៀបចំបញ្ចូលមេរោគក្នុងឯកសារថ្មី  ចុះហត្ថលេខា និងដាក់វានៅលើម៉ាស៊ីនមេ (server)​ របស់ពួកគេ។ បន្ទាប់មកទៀត ពួកគេធ្វើការហេគលើម៉ាស៊ីនមេដែលអាប់ដេតថ្មី និងកំណត់រចនាសម្ព័ន្ធរបស់វា ដើម្បីទាញយកឯកសារ update.zip ពីម៉ាស៊ីន (server)​ របស់​អ្នក​​​វាយ​ប្រហារ ប៉ុន្តែអាចធ្វើបានតែលើភ្ញៀវដែលកំពុងភ្ជាប់អាសយដ្ឋាន IP ជាក់លាក់ ប៉ុណ្ណោះ។

ជាលទ្ធផល ក្នុងហ្វាលអាប់ដេតថ្មីដែលមានមេរោគត្រូវគេបញ្ជូនទៅអតិថិជនហើយមេរោគ 9002 RAT ក៏មានដំណើរការ។ មេរោគនេះនឹងទាញយកមេរោគបន្ថែមទៀត លើម៉ាស៊ីនដែល មានបញ្ចូលមេរោគ។ Backdoor ត្រូវគេគេចងក្រងនៅថ្ងៃទី 17 ខែកក្កដាឆ្នាំ 2018 ខណៈពេលដែល configuration លើឯកសារនៅក្នុង update.zip បង្កើតឡើងនៅថ្ងៃទី 18 ខែកក្កដា នៅថ្ងៃតែមួយជាមួយថ្ងៃ ដែលដំណើរការអាប់ដេតរបស់កម្មវិធីជំនួយពីចម្ងាយចាប់ផ្តើម។ ក្រុមហ៊ុន Trend Micro និយាយថា RAT ដែលគេប្រើប្រាស់ក្នុងការវាយប្រហារនេះ ត្រូវកំណត់ថានឹងអសកម្មក្នុងខែ សីហា។
មេរោគ 9002 RAT អាចបញ្ចូនមេរោគគ្រោះថ្នាក់ជាច្រើនទៀត ដើម្បីបើកមើល និងស្វែង​រក​វត្ថុសកម្ម និងប្រមូលព័ត៌សកម្ម   ធ្វើការចាក់សោពាក្យសម្ងាត់ពីមូលដ្ឋានទិន្នន័យ SQL, ទាញ​យកកំហុស IIS 6, ទាញយកពាក្យសម្ងាត់ពី browser  និងប្រមូលព័ត៌មានប្រព័ន្ធ។ វាក៏អាចទាញយកឧបករណ៍ហេគ ដែលអាចរកបានជាសាធារណៈ ប្រព័ន្ធបញ្ជាពីចម្ងាយ  PlugX និង Mimikatz ផ្ទាល់ខ្លួន (ដើម្បីផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់កុំព្យូទ័រ និងអត្តសញ្ញាណសម្គាល់ ដែលសកម្ម) ។

ការវាយប្រហារតាមខ្សែចង្វាក់ផ្គត់ផ្គង់មិនត្រឹមតែប៉ះពាល់ដល់អ្នកប្រើប្រាស់ និងអាជីវកម្មប៉ុណ្ណោះទេ វាថែមទាំងធ្វើប៉ះពាលដល់ទំនុកចិត្តរបស់អ្នកលក់ និងភ្ញៀវ ឬអតិថិជន។ តាមរយៈការប្រើប្រាស់កម្មវិធី Trojanising ឬការរៀបចំរចនាសម្ព័ន្ធ platforms ដែលដំណើរការកម្មវិធីទាំងនោះ ការវាយប្រហារលើខ្សែចង្វាក់ផ្គត់ផ្គង់ប៉ះពាល់ដល់សុចរិតភាព និងសុវត្ថិភាពរបស់ទំនិញ និងសេវាកម្មដែលអង្គភាពផ្គត់ផ្គង់៕

ប្រភព៖

https://www.securityweek.com/supply-chain-attack-hits-south-korean-firms

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here