Agrius APT

សកម្មភាពរបស់ក្រុមហេគឃ័រ APT (Advanced Persistent Threat) ត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍ថ្មីៗនេះ។ អ្នកស្រាវជ្រាវ infosec បានដាក់ឈ្មោះអ្នកគំរាមកំហែងថា Agrius ។ យោងតាមការរកឃើញ ក្រុម APT នេះប្រតិបត្តិការនៅមជ្ឈិមបូព៌ា និងវាយប្រហារលើគោលដៅរបស់អ៊ីស្រាអែលលើសលុប។

Agruis បានព្យាយាមបិទបាំងបំណងពិតរបស់ខ្លួនដោយរៀបចំរចនាសម្ព័ន្ធការវាយប្រហារឱ្យលេចចេញជាការរំលោភបំពានលើ ransomware ដែលត្រូវបានជំរុញដោយហិរញ្ញវត្ថុ។ ទោះយ៉ាងណាក៏ដោយ នៅក្រោមការលាក់បាំងបន្ទុកពិតប្រាកដដែលដាក់ពង្រាយដល់ជនរងគ្រោះ - ការគំរាមកំហែងមេរោគ wiper ជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីបង្កឱ្យមានការរំខានដ៏ធំដល់អង្គភាពដែលត្រូវបានសម្របសម្រួល។ ប្រភេទ wiper ប្រលោមលោកមួយដែលមានឈ្មោះថា 'Apostle' ត្រូវបានបង្កើតឡើងក្រោយមកទៅជា ransomware ពេញលេញ។ ទោះជាយ៉ាងណាក៏ដោយ ជាថ្មីម្តងទៀត អ្នកស្រាវជ្រាវជឿថា ការគំរាមកំហែងនេះនៅតែត្រូវបានប្រើប្រាស់សម្រាប់សមត្ថភាពបំផ្លិចបំផ្លាញរបស់វា និងមិនមែនសម្រាប់ចំណេញផ្នែកហិរញ្ញវត្ថុនោះទេ។

យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី (TTPs) របស់ Agrius APT គឺមានភាពខុសប្លែកគ្នាគ្រប់គ្រាន់ក្នុងការកំណត់ពួកវាដាច់ដោយឡែកពីក្រុម ATP ដែលបានបង្កើតឡើងរួចហើយទាំងអស់នៅកន្លែងកើតហេតុ។ ហើយខណៈពេលដែលមិនមានទំនាក់ទំនងជាក់ស្តែង ភស្តុតាងកាលៈទេសៈដែលត្រូវបានរកឃើញដោយ SentinelLabs ចង្អុលទៅ Agrius ដែលមានទំនាក់ទំនងជាមួយអ៊ីរ៉ង់។

ឧបករណ៍ Malware ត្រូវបានដាក់ឱ្យប្រើប្រាស់ដោយ Agrius APT

ដើម្បីរក្សាភាពអនាមិក ខណៈពេលដែលចូលរួមជាមួយកម្មវិធីដែលប្រឈមមុខនឹងសាធារណៈណាមួយដែលបានដាក់ពង្រាយនៅលើអង្គការគោលដៅ Agriuls ពឹងផ្អែកលើសេវាកម្ម VPN ដូចជា ProtonVPN ជាដើម។ នៅពេលដែលនៅក្នុងបណ្តាញរបស់ជនរងគ្រោះ តួអង្គគំរាមកំហែងដាក់ពង្រាយការបំរែបំរួលនៃសែលបណ្តាញនៃ ASPXSpy ។ មកដល់ចំណុចនេះ Agrius នៅតែពឹងផ្អែកលើឧបករណ៍ដែលមានជាសាធារណៈ ដើម្បីប្រមូលព័ត៌មានសម្ងាត់គណនី និងផ្លាស់ទីទៅក្នុងបណ្តាញរបស់ជនរងគ្រោះនៅពេលក្រោយ។

ប្រសិនបើពួក Hacker យល់ថាគោលដៅនោះស័ក្តិសម ពួកគេនឹងបង្កើនការវាយប្រហារ ហើយបន្តប្រើប្រាស់ឧបករណ៍មេរោគផ្ទាល់ខ្លួនរបស់ពួកគេ។ ទីមួយ backdoor ដែលមានឈ្មោះថា 'IPsec Helper' ដែលសរសេរក្នុង .NET នឹងត្រូវបានផ្តួចផ្តើម។ Backdoor នឹងព្យាយាមដើម្បីទទួលបានការតស៊ូដោយការចុះឈ្មោះខ្លួនវាជាសេវាកម្មមួយ។ ឧបករណ៍គម្រាមកំហែងនេះត្រូវបានប្រើសម្រាប់ការស្រង់ទិន្នន័យ និងការចែកចាយបន្ទុកដំណាក់កាលបន្ទាប់ជាចម្បង។

គោលដៅពិតនៃប្រតិបត្តិការគឺការដាក់ពង្រាយការគំរាមកំហែង wiper ។ ទីមួយគឺ 'សាវក' wiper ដែលបានរៀបរាប់ខាងលើ។ ការគម្រាមកំហែងគឺផ្អែកលើ 'IPsec Helper' ជាមុខងារចែករំលែកពីរ ប្រើវិធីសាស្ត្រស្រដៀងគ្នា ដើម្បីប្រតិបត្តិកិច្ចការ និងត្រូវបានសរសេរក្នុង .NET។ ក្រោយមក Apostle ត្រូវបានកែប្រែដោយការដកចេញនូវមុខងារ wiper ទាំងអស់ ហើយជំនួសវាដោយសមត្ថភាព ransomware ដែលភាគច្រើនទំនងជាបណ្តាលឱ្យមានការរំខានដល់កម្រិតស្រដៀងគ្នានៅលើប្រព័ន្ធដែលបំពាន ខណៈពេលដែលលាក់ចេតនារបស់ Agrius កាន់តែប្រសើរ។ កំណែ ransomware របស់ Apostle ត្រូវ​បាន​ប្រើ​ក្នុង​ការ​វាយ​ប្រហារ​ប្រឆាំង​នឹង​កន្លែង​គ្រប់គ្រង​ដោយ​ប្រទេស​មួយ​ក្នុង​ប្រទេស​អារ៉ាប់រួម។ wiper ផ្សេងទៀតដែលដាក់ដោយ APT ត្រូវបានដាក់ឈ្មោះថា DEADWOOD ។ ការគំរាមកំហែងមេរោគនេះត្រូវបានរកឃើញថាជាផ្នែកមួយនៃការលុបចោលការវាយប្រហារនៅមជ្ឈឹមបូព៌ាពីមុន។