ក្រុមអ្នកស្រាវជ្រាវ មេរោគថ្មីប្រឆាំងនឹងរដ្ឋាភិបាល និងអង្គការឯកជនពីក្រុមចារកម្មអ៊ិនធឺរណិត APT 10 ដោយប្រើមេរោគដែលមិនស្គាល់ពីមុនមកជាមួយនឹងសកម្មភាពថ្មីមួយដែលមានលក្ខណៈពិសេស។ ដោយផ្អែកលើទិន្នន័យបង្ហាញថា អ្នកវាយប្រហារ APT 10បើកដំណើរការវាយប្រហារខុសៗគ្នា និងធ្វើការចែកចាយប្រើយុទ្ធសាស្រ្តស្រដៀងគ្នាសម្រាប់ការវាយប្រហារផ្សេងទៀត។
ក្រុមហេគ APT 10 កំណត់គោលដៅលើសកម្មភាពពាណិជ្ជកម្មរួមទាំងផ្នែកអាកាសចរណ៍ បច្ចេកវិទ្យាផ្កាយរណប និងដែនសមុទ្រស្វ័យប្រវត្តិ រោងចក្រឧស្សាហកម្ម ការផ្គត់ផ្គង់ឧបករណ៍ ឧបករណ៍មន្ទីរពិសោធន៍ ធនាគារ និងផ្នែកហិរញ្ញវត្ថុ។ នាពេលថ្មីៗនេះ ក្រុមហេគឃ័ររបស់ចិនចំនួនពីរនាក់ដែលស្ថិតនៅក្រោយ ក្រុម APT 10 hacking Group រងការចោទប្រកាន់ពីបទធ្វើអោយខូចកម្មសិទ្ធិបញ្ញា និងព័ត៌មានអាជីវកម្មសម្ងាត់របស់ភ្នាក់ងាររដ្ឋាភិបាលណាសា និងក្រុមហ៊ុនបច្ចេកវិទ្យាចំនួន ៤៥ផ្សេងទៀតនៅសហរដ្ឋអាមេរិក។ ភ្នាក់ងារគំរាមកំហែងប្រើឈ្មោះ domain ស្រដៀងនឹងក្រុមហ៊ុនបច្ចេកទេសពិតប្រាកដដើម្បីបញ្ឆោតជនរងគ្រោះ និងចាក់បញ្ចូលមេរោគលើម៉ាស៊ីនគោលដៅ។
ដំណើរការចម្លងមេរោគ APT10
នៅពេលមេរោគបញ្ចូលទៅក្នុងប្រព័ន្ធ, ពួកគេផ្តល់នូវការ payload ខុសគ្នាដោយមានជំនួយពីឯកសារខាងក្រោម៖
- jjs.exe – ប្រតិបត្តិដែលស្របច្បាប់
- jli.dll – DLL ព្យាបាទ
- msvcrt100.dll – ស្របច្បាប់ Microsoft C Runtime DLL
- svchost.bin – ឯកសារប្រព័ន្ធគោលពីរ
អ្នកស្រាវជ្រាវក៏រកឃើញ PlugX និង Quasar ផងដែរដែលមានមេរោគពីចម្ងាយពីរខុសគ្នាក្នុងចំណោមប្រភេទទាំងនេះ។ “PlugX គឺជាមេរោគដែលមានរចនាសម្ព័ន្ធជាម៉ូឌុលដែលមានមុខងារប្រតិបត្ដិការខុសៗគ្នាជាច្រើនដូចជាការបង្កើតការទំនាក់ទំនង និងការអ៊ិនគ្រីបលើបណ្តាញអន្តរកម្មឯកសារប្រតិបត្ដិការពីចម្ងាយ និងប្រតិបត្តិការច្រើនទៀត។ ” កំឡុងដំណាក់កាលដំបូងនៃដំណើរការឆ្លងអ្នកផ្ទុកចាប់ផ្តើមរបំពានលើដំណើរការស្របច្បាប់ (jjs.exe) ហើយចាក់ DLL ដែលមានគ្រោះថ្នាក់នៅក្នុងវិធីសាស្ត្រមួយត្រូវគេស្គាល់ថា DLL Side-Loading ។
ប្រតិបត្តិរបស់អ្នកផ្ទុក
បើយោងតាមការស្រាវជ្រាវ Ensilo “DLL មានគំនិតអាក្រក់ថតចម្លងឯកសារទិន្នន័យ, svchost.bin, ទៅកាន់មេម៉ូរ៉ីហើយឌីគ្រីបវា។ មាតិកាដែលឌីគ្រីបគឺកោសិកាដែលចាក់ចូលក្នុង svchost.exe និងមានផ្ទុកការផ្ទុកព្យាបាទពិតប្រាកដ។ ប្រភេទដំបូងដែលផ្តល់នូវ PlugX និង Quasar និងការ Downloadload គឺជា Quasar RAT ដែលគេកែប្រែដើម្បីដកស្រង់ពាក្យសម្ងាត់ពីម៉ាស៊ីនជនរងគ្រោះ ដោយប្រើមុខងារបន្ថែមមួយទៀតហៅថា SharpSploit ដែលវាជាបណ្ណាល័យក្រោយការធ្វើអាជីវកម្ម។ NET post- នៅក្នុង C # ។ PlugX ផ្សេងទៀតប្រមូលព័ត៌មានអំពីម៉ាស៊ីន ដែលមានមេរោគដូចជាឈ្មោះកុំព្យូទ័រ ឈ្មោះអ្នកប្រើ កំណែប្រព័ន្ធប្រតិបត្តិការ ការប្រើប្រាស់អង្គចងចាំ ចំណុចប្រទាក់បណ្តាញ និងធនធាន។
ក្រុមអ្នកស្រាវជ្រាវរកឃើញអ្នកវាយប្រហារ APT10 ដោយប្រើម៉ាស៊ីនមេ C & C ដែលមានទីតាំងនៅកូរ៉េខាងត្បូង និង domain មួយចំនួនដែលគេធ្វើបច្ចុប្បន្នភាពថ្មីៗនេះ។ ដូចគ្នានេះផងដែរវិញ្ញាបនប័ត្រត្រូវគេបង្កប់នៅក្នុងគំរូ Quasar។
IOCS
Loader v1:
41542d11abf5bf4a18332e9c4f2c8d1eb5c7e5d4298749b610d86caaa1acb62c (conhost.exe downloader jli.dll)
29b0454db88b634656a3fc7c36f318b126a83ae8fb7f73fe9ff349a8f8536c7b (conhost.exe downloader svchost.bin)
02b95ef7a33a87cc2b3b6fd47db03e711045974e1ecf631d3ba9e076e1e374e9 (PlugX jli.dll)
e0f91da52fdc61757f6a3f276ae77b01d2d1cc4b3743629c5acbd0341e5de80e (PlugX svchost.bin)
Loader v2:
f13536685206a94a8d3938266f100bb2dffa740a202283c7ea35c58e6dbbb839 (PlugX jli.dll)
c8d86e9f486d23285b744279812ef9047a0908e39656c2ea4cdf3e182f80e11d (PlugX svchost.bin)
.NET Downloader (conhost.exe):
96649c5428c874f2228c77c96526ff3f472bc2425476ad1d882a8b55faa40bf5
Quasar RAT:
0644e561225ab696a97ba9a77583dcaab4c26ef0379078c65f9ade684406eded
Domains:
update[.]kaspresksy[.]com
download[.]kaspresksy[.]com
api[.]kaspresksy[.]com
ffca[.]caibi379[.]com
update[.]microsofts[.]org
ppit[.]microsofts[.]org
cahe[.]microsofts[.]org
IP Addresses:
27.102.128.157
27.102.127.80
27.102.127.75
27.102.66.67
27.102.115.249
ប្រភពព័ត៌មាន៖
https://gbhackers.com/chinese-apt10-hackers/
