APT34

APT34 Description

APT34 (Advanced Persistent Threat) គឺជាក្រុម hacking ដែលមានមូលដ្ឋាននៅអ៊ីរ៉ង់ ដែលត្រូវបានគេស្គាល់ផងដែរថាជា OilRig, Helix Kitten និង Greenbug ។ អ្នកជំនាញ Malware ជឿថាក្រុមលួចចូល APT34 ត្រូវបានឧបត្ថម្ភដោយរដ្ឋាភិបាលអ៊ីរ៉ង់ ហើយត្រូវបានប្រើដើម្បីបន្តផលប្រយោជន៍អ៊ីរ៉ង់ជាសកល។ ក្រុម hacking APT34 ត្រូវបានគេប្រទះឃើញជាលើកដំបូងនៅក្នុងឆ្នាំ 2014។ ក្រុម hacking ដែលឧបត្ថម្ភដោយរដ្ឋនេះមានទំនោរទៅរកសាជីវកម្ម និងស្ថាប័នបរទេសនៅក្នុងឧស្សាហកម្មថាមពល ហិរញ្ញវត្ថុ គីមី និងការពារជាតិ។

ប្រតិបត្តិការនៅមជ្ឈិមបូព៌ា

សកម្មភាពរបស់ APT34 ត្រូវបានប្រមូលផ្តុំនៅក្នុងតំបន់នៃមជ្ឈិមបូព៌ាជាចម្បង។ ជាញឹកញាប់ ក្រុមអ្នកលួចចូលនឹងកេងប្រវ័ញ្ចការកេងប្រវ័ញ្ចដែលគេស្គាល់នៅក្នុងកម្មវិធីដែលហួសសម័យ។ ទោះជាយ៉ាងណាក៏ដោយ APT34 ចូលចិត្តផ្សព្វផ្សាយការគំរាមកំហែងរបស់ពួកគេដោយប្រើបច្ចេកទេសវិស្វកម្មសង្គម។ ក្រុមនេះត្រូវបានគេស្គាល់ដោយសារការប្រើប្រាស់បច្ចេកទេសកម្រឃើញរបស់ពួកគេ - ឧទាហរណ៍ ការប្រើប្រាស់ពិធីការ DNS ដើម្បីបង្កើតបណ្តាញទំនាក់ទំនងរវាងម៉ាស៊ីនដែលឆ្លងមេរោគ និងម៉ាស៊ីនមេគ្រប់គ្រង។ ពួកគេក៏ពឹងផ្អែកលើឧបករណ៍លួចចូលដែលបង្កើតដោយខ្លួនឯងជាទៀងទាត់ ជំនួសឱ្យការជ្រើសរើសប្រើប្រាស់ឧបករណ៍សាធារណៈ។

ទ្វារខាងក្រោយ Tonedeaf

នៅក្នុងយុទ្ធនាការចុងក្រោយបង្អស់របស់ខ្លួន APT34 កំណត់គោលដៅបុគ្គលិកក្នុងវិស័យថាមពល ក៏ដូចជាបុគ្គលដែលធ្វើការនៅក្នុងរដ្ឋាភិបាលបរទេស។ APT34 បាន​បង្កើត​បណ្តាញ​សង្គម​ក្លែងក្លាយ ហើយ​បន្ទាប់​មក​បាន​ដាក់​ខ្លួន​ជា​តំណាង​នៃ​សាកលវិទ្យាល័យ Cambridge ដែល​កំពុង​ស្វែងរក​បុគ្គលិក។ ពួកគេថែមទាំងបានទៅឆ្ងាយរហូតដល់ការបង្កើតទម្រង់ LinkedIn ក្លែងក្លាយ ដែលមានន័យដើម្បីបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់កុំព្យូទ័រអំពីភាពស្របច្បាប់នៃការផ្តល់ជូនការងារ។ APT34 នឹងផ្ញើសារទៅកាន់ជនរងគ្រោះដែលជាគោលដៅដែលនឹងមានឯកសារហៅថា 'ERFT-Details.xls' ដែលផ្ទុកមេរោគ។ មេរោគដែលត្រូវបានទម្លាក់ត្រូវបានគេហៅថា Tonedeaf backdoor ហើយនៅពេលប្រតិបត្តិនឹងភ្ជាប់ទៅអ្នកវាយប្រហារ C&C (Command & Control) server ភ្លាមៗ។ នេះត្រូវបានសម្រេចតាមរយៈ POST និងសំណើ HTTP GET។ មេរោគ Tonedeaf អាច៖

  • ផ្ទុកឯកសារឡើង។
  • ទាញយកឯកសារ។
  • ប្រមូលព័ត៌មានអំពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
  • ប្រតិបត្តិពាក្យបញ្ជាសែល។

ក្រៅពីសមត្ថភាពចម្បងរបស់វា Tonedeaf backdoor បម្រើជាច្រកផ្លូវសម្រាប់ APT34 ដើម្បីដាំមេរោគបន្ថែមលើម៉ាស៊ីនដែលឆ្លងមេរោគ។

ក្រុមនេះពិតជាមិនសប្បាយចិត្តជាមួយនឹងការគ្រប់គ្រងលើប្រព័ន្ធតែមួយរបស់អង្គការដែលសម្របសម្រួលនោះទេ។ ពួកគេត្រូវបានគេមើលឃើញថាប្រើប្រាស់ឧបករណ៍ប្រមូលពាក្យសម្ងាត់ដើម្បីចូលប្រើព័ត៌មានសម្ងាត់ចូលជាប្រចាំ ហើយបន្ទាប់មកព្យាយាមប្រើប្រាស់វាដើម្បីជ្រៀតចូលប្រព័ន្ធផ្សេងទៀតដែលបានរកឃើញនៅលើបណ្តាញក្រុមហ៊ុនដូចគ្នា។

APT34 មានទំនោរប្រើឧបករណ៍លួចចូលដែលពួកគេបានបង្កើតជាចម្បង ប៉ុន្តែពេលខ្លះពួកគេនឹងប្រើប្រាស់ឧបករណ៍ដែលមានជាសាធារណៈនៅក្នុងយុទ្ធនាការរបស់ពួកគេផងដែរ។