សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង អ្នកលួច AnvilEcho Infostealer

AnvilEcho Infostealer

ដោយ Mezo ក្នុង អ្នកលួច
បកប្រែទៅ៖
ភាសាខ្មែរ

តួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរបស់អ៊ីរ៉ង់ត្រូវបានផ្សារភ្ជាប់ទៅនឹងយុទ្ធនាការបន្លំលំពែងដែលសំដៅលើតួលេខជនជាតិជ្វីហ្វដ៏លេចធ្លោដែលចាប់ផ្តើមនៅចុងខែកក្កដាឆ្នាំ 2024។ គោលដៅរបស់អ្នកវាយប្រហារគឺដើម្បីដាក់ពង្រាយឧបករណ៍ប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ថ្មីមួយដែលគេស្គាល់ថា AnvilEcho ។

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់សកម្មភាពនេះថាជា TA453 ដែលជាក្រុមដែលគេស្គាល់ផងដែរនៅក្នុងសហគមន៍សន្តិសុខអ៊ីនធឺណិតតាមឈ្មោះផ្សេងៗគ្នា រួមមាន APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) និង Yellow Garuda (PwC) .

ដំបូងឡើយ អ្នកវាយប្រហារបានព្យាយាមបង្កើតទំនាក់ទំនងជាមួយគោលដៅតាមរយៈអ៊ីមែលដែលគ្មានគ្រោះថ្នាក់ ដើម្បីបង្កើតទំនាក់ទំនង ដោយមានបំណងបញ្ចុះបញ្ចូលពួកគេឱ្យចុចលើតំណគំរាមកំហែងនៅពេលក្រោយ។

Threat Actors ដាក់ពង្រាយ Malware ដែលមិនស្គាល់ពីមុន

ខ្សែសង្វាក់វាយប្រហារមានគោលបំណងដាក់ពង្រាយកញ្ចប់ឧបករណ៍មេរោគថ្មីហៅថា BlackSmith ដែលនាំឱ្យ PowerShell Trojan ដែលគេស្គាល់ថាជា AnvilEcho ។

TA453 ត្រូវបានគេជឿថាមានទំនាក់ទំនងជាមួយកងឆ្មាំបដិវត្តន៍ឥស្លាមអ៊ីរ៉ង់ (IRGC) ដែលធ្វើយុទ្ធនាការបន្លំគោលដៅ ដើម្បីបន្តគោលដៅនយោបាយ និងយោធារបស់ប្រទេស។ ទិន្នន័យស្រាវជ្រាវបង្ហាញថាប្រហែល 60% នៃគោលដៅភូមិសាស្ត្ររបស់ APT42 ត្រូវបានតម្រង់ទៅសហរដ្ឋអាមេរិក និងអ៊ីស្រាអែល ជាមួយនឹងគោលដៅបន្ថែមរួមមានអ៊ីរ៉ង់ និងចក្រភពអង់គ្លេស។

កលល្បិចវិស្វកម្មសង្គមរបស់ពួកគេគឺទាំងមិនឈប់ឈរ និងគួរឱ្យជឿជាក់។ អ្នកវាយប្រហារក្លែងបន្លំជាអង្គការ និងអ្នកសារព័ត៌មានស្របច្បាប់ ដើម្បីចូលរួមជាមួយជនរងគ្រោះដែលមានសក្តានុពល បង្កើតទំនុកចិត្តបន្តិចម្តងៗ មុននឹងចាប់ពួកគេជាមួយឯកសារដែលមានមេរោគ ឬទំព័របន្លំព័ត៌មានសម្ងាត់ក្លែងក្លាយ។

ការបន្លំពហុដំណាក់កាល និងខ្សែសង្វាក់វិស្វកម្មសង្គម

APT42 ដំបូងនឹងចូលរួមគោលដៅរបស់ពួកគេដោយប្រើយុទ្ធសាស្ត្រវិស្វកម្មសង្គម ដើម្បីរៀបចំការប្រជុំជាវីដេអូ នាំពួកគេទៅកាន់ទំព័រចុះចត ដែលពួកគេត្រូវបានជម្រុញឱ្យចូល ហើយបន្ទាប់មកបញ្ជូនទៅទំព័របន្លំ។ វិធីសាស្រ្តមួយផ្សេងទៀតពាក់ព័ន្ធនឹងការផ្ញើឯកសារភ្ជាប់ជា PDF ស្របច្បាប់ដែលជាផ្នែកមួយនៃគម្រោងវិស្វកម្មសង្គមដើម្បីកសាងទំនុកចិត្ត និងលើកទឹកចិត្តឱ្យមានអន្តរកម្មនៅលើវេទិកាដូចជា Signal, Telegram ឬ WhatsApp ។

ការវាយប្រហារថ្មីៗបំផុតបានចាប់ផ្តើមនៅថ្ងៃទី 22 ខែកក្កដា ឆ្នាំ 2024 ដោយអ្នកគំរាមកំហែងបានឈានដល់អាសយដ្ឋានអ៊ីមែលជាច្រើនដែលទាក់ទងនឹងតួលេខជនជាតិជ្វីហ្វដែលមិនបញ្ចេញឈ្មោះ។ ពួកគេបានធ្វើជានាយកស្រាវជ្រាវនៃវិទ្យាស្ថានសិក្សាសង្រ្គាម (ISW) ហើយបានអញ្ជើញគោលដៅឱ្យចូលរួមជាភ្ញៀវនៅលើផតឃែស្ថមួយ។

ជាការឆ្លើយតបទៅនឹងការសាកសួររបស់គោលដៅ TA453 ត្រូវបានគេរាយការណ៍ថាបានផ្ញើ DocSend URL ដែលការពារដោយពាក្យសម្ងាត់ ដែលនាំទៅដល់ឯកសារអត្ថបទដែលមានតំណភ្ជាប់ទៅកាន់ផតខាស់ដែលរៀបចំដោយ ISW ស្របច្បាប់។ អ៊ីមែលក្លែងបន្លំត្រូវបានផ្ញើចេញពីដែន គេហទំព័រ Understandthewar.org ដែលជាការប៉ុនប៉ងធ្វើត្រាប់តាមគេហទំព័រ ISW ពិតប្រាកដ (understandingwar.org)។

អ្នកស្រាវជ្រាវជឿថាយុទ្ធសាស្ត្ររបស់ TA453 គឺធ្វើឱ្យគោលដៅនៃការចុចលើតំណភ្ជាប់ និងបញ្ចូលពាក្យសម្ងាត់ ដែលធ្វើឱ្យពួកគេទំនងជាធ្លាក់ចុះសម្រាប់ការចែកចាយមេរោគនាពេលអនាគត។ នៅក្នុងសារជាបន្តបន្ទាប់ តួអង្គគំរាមកំហែងបានផ្ញើ Google Drive URL ដែលបង្ហោះ ZIP archive ('Podcast Plan-2024.zip') ដែលមានឯកសារផ្លូវកាត់ Windows (LNK) ដែលត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយប្រអប់ឧបករណ៍ BlackSmith ។

AnvilEcho គឺជាការគំរាមកំហែងនៃការប្រមូលផលទិន្នន័យដ៏មានឥទ្ធិពល

AnvilEcho ដែលត្រូវបានចែកចាយតាមរយៈប្រអប់ឧបករណ៍ BlackSmith ត្រូវបានចាត់ទុកថាជាអ្នកស្នងតំណែងបន្តពី PowerShell implants ពីមុនដូចជា CharmPower, GorjolEcho, POWERSTAR និង PowerLess ។ BlackSmith ក៏​ត្រូវ​បាន​រចនា​ឡើង​ដើម្បី​បង្ហាញ​ឯកសារ​ទាក់​ទាញ​ជា​ការ​រំខាន។

គួរកត់សម្គាល់ថាឈ្មោះ 'BlackSmith' ពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសមាសធាតុលួចរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលកំណត់ដោយអ្នកជំនាញ infosec កាលពីដើមឆ្នាំនេះ។ សមាសភាគនេះត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការចែកចាយ BASICSTAR ដោយកំណត់គោលដៅបុគ្គលដែលមានកេរ្តិ៍ឈ្មោះខ្ពស់ពាក់ព័ន្ធនឹងកិច្ចការមជ្ឈិមបូព៌ា។

AnvilEcho គឺជា PowerShell trojan ដ៏ទំនើបដែលមានមុខងារទូលំទូលាយ ដែលផ្តោតជាចម្បងលើការប្រមូលព័ត៌មានស៊ើបការណ៍ និងការជំរិតទិន្នន័យ។ មុខងារសំខាន់ៗរបស់វារួមមានការឈ្លបយកការណ៍ប្រព័ន្ធ ការថតអេក្រង់ ការទាញយកឯកសារពីចម្ងាយ និងការបង្ហោះទិន្នន័យរសើបតាមរយៈ FTP និង Dropbox ។

យុទ្ធនាការបន្លំរបស់ TA453 តម្រឹមយ៉ាងខ្ជាប់ខ្ជួនជាមួយនឹងអាទិភាពស៊ើបការណ៍សម្ងាត់របស់ IRGC ។ ការដាក់ពង្រាយមេរោគពិសេសនេះ សំដៅទៅលើតួរលេខជនជាតិជ្វីហ្វដ៏លេចធ្លោមួយរូប ហាក់ដូចជាជាផ្នែកមួយនៃកិច្ចខិតខំប្រឹងប្រែងតាមអ៊ីនធឺណិតដ៏ទូលំទូលាយរបស់អ៊ីរ៉ង់ប្រឆាំងនឹងផលប្រយោជន៍របស់អ៊ីស្រាអែល។ TA453 នៅតែជាការគំរាមកំហែងជាប់លាប់ ដោយផ្តោតលើអ្នកនយោបាយ អ្នកការពារសិទ្ធិមនុស្ស អ្នកប្រឆាំង និងអ្នកសិក្សា។

និន្នាការ

Towragapp.live

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការរក្សាសុវត្ថិភាពនៅលើអ៊ីនធឺណិតគឺសំខាន់ជាងពេលណាទាំងអស់។ ជាមួយនឹងគេហទំព័រ កម្មវិធី និងសេវាកម្មរាប់មិនអស់ដែលប្រជែងគ្នាសម្រាប់ការយកចិត្តទុកដាក់របស់អ្នក...

វិទ្យុអ៊ីនធឺណិត

កម្មវិធីដែលមិនចង់បានសក្តានុពល, Adware, ចោរប្លន់កម្មវិធីរុករក
នៅក្នុងពិភពដែលមានទំនាក់ទំនងគ្នាកាន់តែខ្លាំងឡើង សុវត្ថិភាពនៃឧបករណ៍របស់អ្នកគឺសំខាន់ជាងពេលណាទាំងអស់។ ការគំរាមកំហែងតាមអ៊ីនធឺណិតកំពុងវិវឌ្ឍ ហើយកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUPs)...

មើលច្រើនបំផុត

'Geek Squad' អ៊ីម៉ែលបោកប្រាស់

ការបន្លំ, សារឥតបានការ
37,922
Geek Squad ដែលជាអ្នកផ្តល់ជំនួយផ្នែកបច្ចេកវិទ្យាដ៏ពេញនិយម បានក្លាយជាជនរងគ្រោះនៃការបោកប្រាស់ដែលហៅថា Geek Squad Email Scam ។ ការបោកប្រាស់ផ្នែកបច្ចេកវិទ្យានេះប្រើប្រាស់អ៊ីមែលក្លែងក្លាយដែលបញ្ឆោតមនុស្សឱ្យផ្តល់ព័ត៌មានផ្ទាល់ខ្លួនរបស់ពួកគេ ដូចជាព័ត៌មានលម្អិតអំពីប័ណ្ណឥណទាន អាសយដ្ឋានអ៊ីមែល និងសូម្បីតែលេខសន្តិសុខសង្គម។ នៅក្នុងអត្ថបទនេះ យើងនឹងពិភាក្សាអំពីការបោកប្រាស់ខ្លួនឯង ថាតើវាមើលទៅដូចម្ដេច...

'iPhone របស់អ្នកត្រូវបាន Hack' លេចឡើង

Adware
30,273
ដោយសារបច្ចេកវិទ្យាត្រូវបានដាក់បញ្ចូលទៅក្នុងជីវិតប្រចាំថ្ងៃរបស់យើងយ៉ាងខ្លាំង ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងស្វែងរកវិធីថ្មីដើម្បីទាញយកភាពងាយរងគ្រោះសម្រាប់ចេតនាព្យាបាទរបស់ពួកគេ។...

'ប្រសិនបើអ្នកមានអាយុ 18 ឆ្នាំ ប៉ះអនុញ្ញាត'

សារព្រមានក្លែងក្លាយ
29,615
'ប្រសិនបើអ្នកមានអាយុ 18 ឆ្នាំ ប៉ះអនុញ្ញាត' ការលេចឡើងគឺជាប្រភេទនៃការផ្សាយពាណិជ្ជកម្មលេចឡើងដែលលេចឡើងនៅលើអេក្រង់របស់អ្នកប្រើនៅពេលរុករកអ៊ីនធឺណិត។ ការលេចឡើងទាំងនេះអាចបង្កការភ្ញាក់ផ្អើលយ៉ាងខ្លាំងដល់អ្នកប្រើប្រាស់ ដោយសារពួកគេជំរុញឱ្យពួកគេចុចលើប៊ូតុង "អនុញ្ញាត" ដើម្បីបន្តប្រើប្រាស់គេហទំព័រដែលពួកគេកំពុងប្រើបច្ចុប្បន្ន។ ការលេចឡើងទាំងនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងកម្មវិធីដែលមិនចង់បានដូចជា Adware...
កំពុង​ផ្ទុក...