ក្រុម Cyberespionage ដែលមានឈ្មោះថា “Buhtrap” ប្រើកម្មវិធី Windows Zero-day កេងប្រវ័ញ្ច សម្រាប់យុទ្ធនាការថ្មីរបស់ខ្លួនដើម្បីវាយប្រហារអាជីវកម្ម និងស្ថាប័នរដ្ឋាភិបាលដែលជាគោលដៅ។ ក្រុមហេគឃរ័ Buhtrap ផ្តោតគោលដៅយ៉ាងសកម្មទៅលើស្ថាប័នហិរញ្ញវត្ថុផ្សេងៗក្នុងឆ្នាំ ២០១៥ ចាប់តាំងពីពេលនោះមកក្រុមនេះបង្កើតឧបករណ៍របស់ពួកគេជាមួយនឹងការកេងប្រវ័ញ្ច និង មេរោគថ្មីដើម្បីវាយប្រហារបណ្តាប្រទេសនៅអឺរ៉ុប និងអាស៊ី។
យុទ្ធនាការវាយប្រហារដែលត្រូវគេសង្កេតឃើញថ្មីដោយប្រើការកេងចំណេញសម្រាប់ការបង្កើន ឯកសិទ្ធិក្នុង Window local (CVE-2019-1132) ភាពងាយរងគ្រោះមាននៅក្នុងសមាសធាតុ win32k.sys ហើយភាពងាយរងគ្រោះត្រូវជួសជុលដោយក្រុមហ៊ុន Microsoft ក្នុងការធ្វើបច្ចុប្បន្ន ភាពសុវត្ថិភាពថ្មីៗនេះ។ អ្នកវាយប្រហារដែលធ្វើអាជីវកម្មភាពងាយរងគ្រោះនេះដោយជោគជ័យលើ (CVE-2019-1132) អាចនាំឱ្យប្រតិបត្តិកូដនៅក្នុង kernel mode ចុងក្រោយគ្រប់គ្រងប្រព័ន្ធដែលរង ផលប៉ះពាល់។ ឃ្លាំងថ្មីរបស់ Buhtrap មានឧបករណ៍លួចស្តាប់ផ្សេងៗគ្នាជាមួយនឹងវិធីសាស្ត្របច្ចេក ទេស និងនីតិវិធីដែលធ្វើបច្ចុប្បន្នភាព (TTPs) ដែលពួកគេកំពុងប្រើញឹកញាប់សម្រាប់យុទ្ធនាការ ផ្សេងៗ។
ដំណើរការនៃការឆ្លងមេរោគ Buhtrap Malware
ធ្វើយុទ្ធនាការចារកម្មរបស់ខ្លួនអស់រយៈពេល ៥ឆ្នាំកន្លងមកហើយ ហើយបច្ចុប្បន្ននេះគេសង្កេតឃើញ ឯកសារពាក់ព័ន្ធនឹងប្រតិបត្តិការរដ្ឋាភិបាលដែលស្រដៀងនឹងគេហទំព័រសេវាកម្មចំណាកស្រុករបស់រដ្ឋអ៊ុយក្រែនគេហទំព័រ dmsu.gov.ua ។អត្ថបទឯកសារព្យាបាទស្នើឱ្យនិយោជិកផ្តល់ព័ត៌មានទំនាក់ទំនងរបស់ពួកគេជាពិសេសអាស័យដ្ឋាន អ៊ីម៉ែលរបស់ពួកគេក៏បោកបញ្ឆោតពួកគេឱ្យចុចលើតំណភ្ជាប់។ ក្រុមអ្នកស្រាវជ្រាវមកពី ESET ដកស្រង់សម្តីថាឯកសារខាងក្រោមនេះគឺជាឯកសារដេគ័រលើកដំបូងដែលថ្មីៗនេះជួបប្រទះដែលត្រូវប្រើដោយក្រុម Buhtrap ដើម្បីកំណត់គោលដៅស្ថាប័នរដ្ឋាភិបាល។
យោងតាមការស្រាវជ្រាវរបស់ ESET “ ឯកសារនេះមានម៉ាក្រូព្យាបាទនៅពេលបើកដំណើរការទម្លាក់ កម្មវិធីតំឡើង NSIS ដែលមានភារកិច្ចរៀបចំការតំឡើងនៅខាងក្រោយ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកតំឡើង NSIS គឺខុសគ្នាខ្លាំងពីកំណែមុនៗ ដែលប្រើដោយក្រុមនេះ។ វាមានលក្ខណៈសាមញ្ញជាង ហើយត្រូវប្រើដើម្បីកំណត់ភាពស្ថិតស្ថេរ និងដាក់ចេញនូវម៉ូឌុលព្យាបាទពីរដែលបង្កប់នៅក្នុងវា។
ម៉ូឌុលទីមួយគឺជាអ្នកលួចពាក្យសម្ងាត់ដែលប្រមូលពាក្យសម្ងាត់ពីអតិថិជន អ៊ីមែល កម្មវិធីរុករក និង ឧបករណ៍ប្រើប្រាស់ផ្សេងៗទៀតនៅទីបំផុតចែកចាយវាទៅបញ្ជាការ និងគ្រប់គ្រងការត្រួតពិនិត្យ របស់អ្នកបំបែកដោយអ្នកគំរាមកំហែង។ ម៉ូឌុលទីពីរគឺជាអ្នកដំឡើង NSIS ដែលមានកម្មវិធីស្របច្បាប់ ដែលកំពុងត្រូវគេរំលោភបំពាន និងផ្ទុកផ្នែកខាងក្រោយដ៏សំខាន់ដែលធ្វើការដោយ Buhtrap។ Backdoor ចុងក្រោយជាមួយនឹងការអ៊ិនគ្រីបនៅក្នុងខ្លួនរបស់វា ជាមួយនឹង 2 backdoors ទីមួយគឺជា ប្រភេទនៃកម្មវិធីទាញយកសែលហ្វីតូច និងទីពីរគឺ Meterpreter របស់ Metasploit ដែលជាសែល បញ្ច្រាស់ដែលជួយផ្តល់ការគ្រប់គ្រងពេញលេញនៃប្រព័ន្ធសម្របសម្រួលដល់អ្នកវាយប្រហារ។ ESET សន្និដ្ឋានថា “ក្នុងករណីនេះវាមិនច្បាស់ទេថាតើសមាជិកមួយ ឬច្រើននៃក្រុមនេះ សម្រេចចិត្តផ្លាស់ប្តូរការផ្តោតអារម្មណ៍ និងសម្រាប់ហេតុផលអ្វីនោះទេ ប៉ុន្តែវាពិតជាអ្វីមួយដែលយើង ទំនងជាមើលឃើញកាន់តែច្រើនទៅមុខទៀត”។
ប្រភពព័ត៌មាន៖
https://gbhackers.com/buhtrap-hackers-group/