ស្ថាប័នគំរាមកំហែងកម្រិតខ្ពស់ថ្មីមួយលេចឡើងនៅលើរ៉ាដាដោយសំដៅទៅលើអង្គការនានាក្នុងវិស័យការពារ និងវិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗដែលមានមេរោគដែលគ្មានឯកសារកត់ត្រា និងមានឧបករណ៍កេងប្រវ័ញ្ចដែលខ្ចីកូដពីមេរោគ Trojan ដែលមានទំនាក់ទំនងជាមួយក្រុម Lazarus ។ ការដាក់ឈ្មោះថា “Sharpshooter” គឺជាយុទ្ធនាការវាយលុកត្រូវគេសង្កេតឃើញថាមានឥទ្ធិពលយ៉ាងហោចណាស់លើអង្គភាពចំនួន ៨៧ នៅទូទាំងពិភពលោកក្នុងរយៈពេលតែពីរខែប៉ុណ្ណោះ។
លំហូរនៃការវាយប្រហាររបស់ Sharpshooter
លំហូរនៃការវាយប្រហារចាប់ផ្ដើមឡើងដោយក្លែងធ្វើជាយុទ្ធនាការជ្រើសរើសការងារមួយភ្ជាប់ទៅនឹងឯកសារ Microsoft Word ដែលមានមេរោគក្នុងគណនី Dropbox មួយ។ ឯកសាររូមមាន ចំណងជើងការងារ និងការពិពណ៌នាពីក្រុមហ៊ុនដែលមិនស្គាល់។ ម៉ាក្រូដែលបង្កប់នៅក្នុងឯកសារទាញយកដោយ Rising Sun ជា Backdoor ដែលរួមមានប្រភពកូដដែលមាននៅក្នុងឧបករណ៍ស្រដៀងគ្នាមួយគឺ Duuzer ដែលត្រូវប្រើដោយក្រុម Lazarus របស់កូរ៉េខាងជើងនៅឆ្នាំ ២០១៥ ។
ស្គ្រីបមេរោគនៅក្នុងឯកសារ Word ក៏ទាញយកឯកសារផ្សេងទៀតដែលមានឈ្មោះថា ‘Strategic Planning Manager.doc’ ដែលត្រូវគេជឿថាជាសកម្មភាពដើម្បីលាក់ខ្លឹមសារដែលមានគ្រោះថ្នាក់ដែលបើកដោយស្វ័យប្រវត្តិបន្ទាប់ពីការទាញយក។ បើទោះបីជាភស្តុតាងផ្នែកបច្ចេកទេសចង្អុលបង្ហាញដល់ Lazarus ជាអ្នកស្រាវជ្រាវនៅ McAfee ដែលនិយាយថា “វាហាក់ដូចជាមិនច្បាស់លាស់ ដើម្បីសន្និដ្ឋានភ្លាមៗថាពួកគេទទួលខុសត្រូវចំពោះការវាយប្រហារនេះ” ។
Rising Sun backdoor មានសមត្ថភាព ១៤ប្រភេទ
គោលបំណងរបស់ Rising Sun គឺដើម្បីដំណើរការសកម្មភាពឈ្លបយកការណ៍លើម៉ាស៊ីនសម្របសម្រួល។ វាអាចបញ្ជូនទៅកាន់ command និង control (C2)លើពត៌មានម៉ាស៊ីនមេអំពីឧបករណ៍ភ្ជាប់បណ្តាញប្រព័ន្ធ ពត៌មានលម្អិតរបស់ប្រព័ន្ធ ឈ្មោះអ្នកប្រើ អាសយដ្ឋាន IP និងឈ្មោះផលិតផលប្រព័ន្ធប្រតិបត្តិការ។ សមត្ថភាពបន្ថែមដែលអាចមាននៅក្នុង implant អនុញ្ញាតឱ្យអ្នកវាយប្រហារស្វែងយល់ព័ត៌មានលម្អិតសំខាន់ៗទាំងអស់ពីម៉ាស៊ីនដែលមានមេរោគ។ សំណុំលក្ខណៈពិសេសពេញលេញមាន ១៤ commands ដែលអនុញ្ញាតឱ្យប្រតិបត្តិ commands ប្រើ Windows Command Prompt ដើម្បីទទួលព័ត៌មានលំអិតអំពី drives ផ្ទុកទិន្នន័យ ឯកសារ និងដំណើរការ ឬការសរសេរនិងការលុបឯកសារ។ វាក៏អាចត្រូវប្រើដើម្បីផ្លាស់ប្តូរលក្ខណៈឯកសារ សម្អាតដំណើរការអង្គចងចាំ អានឯកសារ បញ្ចប់ដំណើរការ និងបើកដំណើរការពីបណ្ណាល័យវីនដូ Windows library ។
ភាពស្រដៀងគ្នាចំពោះ Lazarus
ខណៈពេលកំពុងវិភាគប្រតិបត្តិការ Sharpshooter ក្រុមការងារស្រាវជ្រាវការគំរាមកំហែងកម្រិតខ្ពស់ (Advanced Threat Research) និងក្រុមការងារ (Malware Operations Group) នៅ McAfee កត់សម្គាល់ភាពស្រដៀងគ្នាយ៉ាងច្បាស់ជាមួយក្រុម Lazarus ។ ភស្តុតាងមួយក្នុងចំណោមនោះគឺឯកសារ Microsoft Word ដែលត្រូវបង្កើតឡើងជាកម្មវិធីកំណែទម្រង់ជាភាសាកូរ៉េ។ បច្ចេកវិជ្ជាមួយទៀតគឺជាបច្ចេកទេសទាក់ទងនឹងសកម្មភាពរបស់ពួក Hacker កូរ៉េខាងជើង។ លើសពីនេះទៀត អ្នកជំនាញបញ្ជាក់ថា “ប្រតិបត្តិការនេះគឺស្រដៀងទៅនឹងប្រតិបត្តិការរបស់ Lazarus ចាប់ពីឆ្នាំ ២០១៧ ដែលផ្តោតលើវិស័យការការពារជាតិ និងថាមពលរបស់សហរដ្ឋអាមេរិក ” ដែលវិស័យទាំងពីរនេះផ្គូផ្គងជាមួយបច្ចេកទេស វិធីសាស្ត្រ និង ដំណើរការ(TTP) ។ ទាំងអស់នេះបន្ថែមទៅការពិតដែលប្រភពកូដពី Backdoor ត្រូវប្រើដោយពួក Hacker កាលពី ៣ឆ្នាំមុនដែលត្រូវរកឃើញនៅក្នុង Rising Sun ។
យ៉ាងណាក៏ដោយ ពួកអ្នកស្រាវជ្រាវជៀសវាងការសន្មតដែលទំនុកចិត្តខ្ពស់ដោយខ្លាចថាភស្តុតាងអាចត្រូវរៀបចំទុកជាមុនដោយអ្នកវាយប្រហារដើម្បីលាក់ដានរបស់ពួកគេ៕
ប្រភព៖
