APT35

APT35 Description

apt35 ផែនការ ហេគឃ័រ APT35 (Advanced Persistent Threat) គឺជាក្រុម Hacker ដែលត្រូវបានគេជឿថាមានប្រភពមកពីប្រទេសអ៊ីរ៉ង់។ ក្រុម hacking នេះត្រូវបានគេស្គាល់ផងដែរនៅក្រោមឈ្មោះក្លែងក្លាយផ្សេងទៀត - ក្រុម Newscaster, Phosphorus, Charming Kitten និង Ajax Security Team ។ ក្រុម hacking APT35 ជាធម្មតាមានជាប់ពាក់ព័ន្ធទាំងនៅក្នុងយុទ្ធនាការដែលជំរុញដោយនយោបាយ ក៏ដូចជាក្រុមដែលលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុផងដែរ។ ក្រុម hacking APT35 មានទំនោរផ្តោតការខិតខំប្រឹងប្រែងរបស់ពួកគេប្រឆាំងនឹងតួអង្គដែលពាក់ព័ន្ធនឹងសកម្មភាពសិទ្ធិមនុស្ស អង្គការប្រព័ន្ធផ្សព្វផ្សាយផ្សេងៗ និងផ្នែកសិក្សាជាចម្បង។ យុទ្ធនាការភាគច្រើនត្រូវបានអនុវត្តនៅសហរដ្ឋអាមេរិក អ៊ីស្រាអែល អ៊ីរ៉ង់ និងចក្រភពអង់គ្លេស។

យុទ្ធនាការ APT35 ដ៏ពេញនិយម

ប្រតិបត្តិការ APT35 ដ៏ល្បីបំផុតមួយគឺប្រតិបត្តិការប្រឆាំងនឹង HBO ដែលបានកើតឡើងក្នុងឆ្នាំ 2017 ។ នៅក្នុងនោះ APT35 បានលេចធ្លាយទិន្នន័យលើសពី 1TB ដែលមានព័ត៌មានលំអិត និងការបង្ហាញផ្ទាល់ខ្លួនរបស់បុគ្គលិក ដែលមិនទាន់ត្រូវបានចាក់ផ្សាយជាផ្លូវការនៅឡើយ។ យុទ្ធនាការ APT35 ដ៏អាក្រក់មួយទៀត ដែលដាក់ពួកវានៅលើផែនទី គឺជាយុទ្ធនាការដែលពាក់ព័ន្ធនឹងអ្នករត់ចោលជួរកងទ័ពអាកាសអាមេរិកផងដែរ។ បុគ្គលនៅក្នុងសំណួរបានជួយ APT35 ក្នុងការទទួលបានទិន្នន័យរដ្ឋាភិបាលដែលបានចាត់ថ្នាក់។ នៅឆ្នាំ 2018 ក្រុម APT35 បានបង្កើតគេហទំព័រមួយដែលមានបំណងធ្វើត្រាប់តាមក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិតរបស់អ៊ីស្រាអែលស្របច្បាប់។ ភាពខុសប្លែកគ្នាតែមួយគត់គឺថាគេហទំព័រក្លែងក្លាយមានឈ្មោះ domain ផ្លាស់ប្តូរបន្តិច។ យុទ្ធនាការនេះបានជួយ APT35 ទទួលបានព័ត៌មានលម្អិតនៃការចូលរបស់អតិថិជនមួយចំនួនរបស់ក្រុមហ៊ុន។ យុទ្ធនាការដ៏អាក្រក់ចុងក្រោយបង្អស់ដែលពាក់ព័ន្ធនឹង APT35 ត្រូវបានអនុវត្តនៅក្នុងខែធ្នូ ឆ្នាំ 2018។ នៅក្នុងប្រតិបត្តិការនេះ ក្រុម APT35 បានដំណើរការក្រោមឈ្មោះហៅក្រៅ Charming Kitten ។ ប្រតិបត្តិការ​នេះ​បាន​កំណត់​គោលដៅ​សកម្មជន​នយោបាយ​ផ្សេងៗ​ដែល​មាន​ឥទ្ធិពល​ក្នុង​ការ​ដាក់​ទណ្ឌកម្ម​សេដ្ឋកិច្ច ព្រម​ទាំង​ទណ្ឌកម្ម​យោធា​ដែល​បាន​ដាក់​លើ​អ៊ីរ៉ង់​នៅ​ពេល​នោះ។ ក្រុម APT35 មានតួនាទីជាអ្នកជំនាញជាន់ខ្ពស់ដែលពាក់ព័ន្ធក្នុងវិស័យដូចគ្នាទៅនឹងគោលដៅរបស់ពួកគេ។ អ្នកវាយប្រហារបានប្រើអ៊ីមែលបន្លំដែលមានភ្ជាប់មកជាមួយក្លែងក្លាយ ក៏ដូចជាទម្រង់ប្រព័ន្ធផ្សព្វផ្សាយសង្គមក្លែងក្លាយ។

ការបន្លំជាមួយអ៊ីមែលសម្ភាសន៍ក្លែងក្លាយ

យុទ្ធនាការក្លែងបន្លំគោលដៅគឺជាផ្នែកមួយនៃដំណើរការ modus របស់ Charming Kitten ដោយពួក Hacker ប្រើប្រាស់អ៊ីមែលក្លែងក្លាយ និងវិស្វកម្មសង្គមជាវិធីសាស្ត្រប្រតិបត្តិ។ នៅក្នុងយុទ្ធនាការមួយក្នុងឆ្នាំ 2019 ក្រុម Charming Kitten បានក្លែងបន្លំជាអតីតអ្នកកាសែត Wall Street Journal (WSJ) ហើយបានចូលទៅជិតជនរងគ្រោះដែលមានបំណងរបស់ពួកគេជាមួយនឹងសេណារីយ៉ូសម្ភាសន៍ក្លែងក្លាយ។ ក្រុមនេះក៏ត្រូវបានគេប្រទះឃើញដោយប្រើសេណារីយ៉ូផ្សេងៗគ្នាដូចជា "ការសម្ភាសន៍របស់ CNN" និង "ការអញ្ជើញទៅកាន់ Deutsche Welle Webinar" ជាធម្មតាជុំវិញប្រធានបទនៃកិច្ចការអ៊ីរ៉ង់ និងអន្តរជាតិ។

ក្នុងករណីពិសេសមួយ អ្នកវាយប្រហារបានបង្កើតអ៊ីមែលក្លែងក្លាយជាភាសាអារ៉ាប់ ដោយប្រើអត្តសញ្ញាណរបស់ Farnaz Fassihi ដែលបច្ចុប្បន្នជាអ្នកកាសែត New York Times ដែលពីមុនធ្វើការឱ្យ The Wall Street Journal អស់រយៈពេល 17 ឆ្នាំ។ អ្វីដែលគួរឱ្យចាប់អារម្មណ៍នោះ ពួក Hacker បានបង្ហាញ Farnaz Fassihi ថាកំពុងធ្វើការឱ្យអតីតនិយោជករបស់នាងគឺ The Wall Street Journal ។


អ៊ីមែលសំណើសំភាសន៍ក្លែងក្លាយ - ប្រភព៖ blog.certfa.com

ការបកប្រែតាមអ៊ីមែល៖

សួស្តី ******** ******
ឈ្មោះរបស់ខ្ញុំគឺ Farnaz Fasihi ។ ខ្ញុំជាអ្នកកាសែតនៅកាសែត Wall Street Journal ។
ក្រុមមជ្ឈិមបូព៌ានៃ WSJ មានបំណងណែនាំបុគ្គលដែលមិនមែនជាមូលដ្ឋានដែលទទួលបានជោគជ័យនៅក្នុងប្រទេសអភិវឌ្ឍន៍។ សកម្មភាពរបស់អ្នកនៅក្នុងវិស័យស្រាវជ្រាវ និងទស្សនវិជ្ជានៃវិទ្យាសាស្ត្របាននាំឱ្យខ្ញុំណែនាំអ្នកជាជនជាតិអ៊ីរ៉ង់ដែលទទួលបានជោគជ័យ។ នាយកនៃក្រុមមជ្ឈិមបូព៌ាបានស្នើសុំឱ្យយើងរៀបចំការសម្ភាសន៍ជាមួយអ្នក និងចែករំលែកសមិទ្ធផលសំខាន់ៗមួយចំនួនរបស់អ្នកជាមួយទស្សនិកជនរបស់យើង។ បទសម្ភាសន៍នេះអាចជំរុញទឹកចិត្តយុវជននៃប្រទេសជាទីស្រឡាញ់របស់យើងឱ្យស្វែងយល់ពីទេពកោសល្យរបស់ពួកគេ និងឆ្ពោះទៅរកភាពជោគជ័យ។
មិនចាំបាច់និយាយទេ ការសម្ភាសន៍នេះគឺជាកិត្តិយសដ៏អស្ចារ្យសម្រាប់ខ្ញុំផ្ទាល់ ហើយខ្ញុំសូមជំរុញឱ្យអ្នកទទួលយកការអញ្ជើញរបស់ខ្ញុំសម្រាប់ការសម្ភាសន៍។
សំណួរត្រូវបានរៀបចំឡើងដោយវិជ្ជាជីវៈដោយក្រុមសហការីរបស់ខ្ញុំ ហើយការសម្ភាសន៍ជាលទ្ធផលនឹងត្រូវបានបោះពុម្ពផ្សាយនៅក្នុងផ្នែកសម្ភាសន៍ប្រចាំសប្តាហ៍នៃ WSJ ។ ខ្ញុំនឹងផ្ញើសំណួរ និងតម្រូវការនៃការសម្ភាសន៍ឱ្យអ្នកភ្លាមៗនៅពេលដែលអ្នកទទួលយក។
*លេខយោង៖ មិនមែនក្នុងស្រុក សំដៅលើមនុស្សដែលកើតនៅប្រទេសផ្សេង។
សូមអរគុណចំពោះសេចក្តីសប្បុរស និងការយកចិត្តទុកដាក់របស់អ្នក។
ហ្វាណាស ហ្វាស៊ីហ៊ី

តំណភ្ជាប់ទាំងអស់ដែលមាននៅក្នុងអ៊ីមែលគឺនៅក្នុងទម្រង់ URL ខ្លី ដែលត្រូវបានប្រើដោយពួក Hacker ដើម្បីណែនាំជនរងគ្រោះរបស់ពួកគេទៅកាន់អាសយដ្ឋានស្របច្បាប់ ខណៈពេលដែលប្រមូលព័ត៌មានសំខាន់ៗអំពីឧបករណ៍របស់ពួកគេ ដូចជាប្រព័ន្ធប្រតិបត្តិការ កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងអាសយដ្ឋាន IP ។ ព័ត៌មាននេះគឺត្រូវការពីពួក Hacker ក្នុងការរៀបចំសម្រាប់ការវាយប្រហារចម្បងលើគោលដៅរបស់ពួកគេ។


គំរូទំព័រ WSJ ក្លែងក្លាយបង្ហោះនៅលើគេហទំព័រ Google - ប្រភព៖ blog.certfa.com

បន្ទាប់​ពី​បង្កើត​ការ​ទុក​ចិត្ត​ទាក់​ទង​នឹង​គោល​ដៅ​ដែល​បាន​គ្រោង​ទុក ពួក Hacker នឹង​ផ្ញើ​ឱ្យ​ពួក​គេ​នូវ​តំណ​ពិសេស​មួយ ដែល​គេ​ចោទ​ថា​មាន​សំណួរ​សម្ភាសន៍។ យោងតាមគំរូដែលបានសាកល្បងដោយក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័រនៅហ្វាស៊ី (CERTFA) អ្នកវាយប្រហារកំពុងប្រើវិធីសាស្ត្រថ្មីដែលបានទទួលប្រជាប្រិយភាពយ៉ាងខ្លាំងជាមួយអ្នកបន្លំកាលពីឆ្នាំមុន ដោយបង្ហោះទំព័រនៅលើគេហទំព័រ Google ។

នៅពេលដែលជនរងគ្រោះចុចប៊ូតុង 'ទាញយក' នៅលើទំព័រ Google Site ពួកគេនឹងត្រូវបានបញ្ជូនបន្តទៅទំព័រក្លែងក្លាយមួយផ្សេងទៀតដែលនឹងព្យាយាមប្រមូលព័ត៌មានបញ្ជាក់ការចូលសម្រាប់អាសយដ្ឋានអ៊ីមែលរបស់ពួកគេ និងលេខកូដផ្ទៀងផ្ទាត់កត្តាពីររបស់ពួកគេ ដោយប្រើឧបករណ៍បន្លំដូចជា Modlishka ជាដើម។

មេរោគ DownPaper របស់ APT35

ឧបករណ៍ DownPaper គឺជា Trojan ខាងក្រោយ ដែលភាគច្រើនប្រើជាបន្ទុកដំណាក់កាលដំបូង និងមានសមត្ថភាព៖

  • បង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ C&C (Command & Control) របស់អ្នកវាយប្រហារ ហើយទទួលពាក្យបញ្ជា និងបន្ទុកគ្រោះថ្នាក់ ដែលនឹងត្រូវប្រតិបត្តិលើម៉ាស៊ីនដែលជ្រៀតចូល។
  • ទទួលបានភាពស្ថិតស្ថេរដោយការជ្រៀតជ្រែកជាមួយ Windows Registry ។
  • ប្រមូលព័ត៌មានអំពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដូចជាទិន្នន័យផ្នែករឹង និងកម្មវិធី។
  • ប្រតិបត្តិពាក្យបញ្ជា CMD និង PowerShell ។

ក្រុមលួចចូល APT35 គឺជាក្រុមបុគ្គលដែលជាប់លាប់ខ្លាំង ហើយវាមិនទំនងថាពួកគេមានគម្រោងបញ្ឈប់សកម្មភាពរបស់ពួកគេគ្រប់ពេលនោះទេ។ ដោយចងចាំថាបរិយាកាសនយោបាយនៅជុំវិញប្រទេសអ៊ីរ៉ង់បាននឹងកំពុងឡើងកំដៅមួយរយៈ វាទំនងជាថាយើងនឹងបន្តស្តាប់អំពីយុទ្ធនាការរបស់ក្រុម APT35 នាពេលអនាគត។

អាប់ដេតថ្ងៃទី 10 ខែឧសភា ឆ្នាំ 2020 - APT35 ពាក់ព័ន្ធនឹងយុទ្ធនាការលួចចម្លង COVID-19

សំណុំនៃបណ្ណសារគេហទំព័រដែលមានជាសាធារណៈដែលត្រូវបានត្រួតពិនិត្យដោយអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញថាក្រុម hacking របស់អ៊ីរ៉ង់ដែលគេស្គាល់ថាជា Charming Kitten ក្នុងចំណោមឈ្មោះផ្សេងទៀតគឺនៅពីក្រោយការវាយប្រហារតាមអ៊ីនធឺណិតខែមេសាប្រឆាំងនឹងក្រុមហ៊ុនថ្នាំ Gilead Sciences Inc ដែលមានមូលដ្ឋាននៅរដ្ឋកាលីហ្វ័រញ៉ាដែលពាក់ព័ន្ធនឹងការស្រាវជ្រាវ COVID-19 ។

នៅក្នុងករណីមួយក្នុងចំណោមករណីដែលអ្នកស្រាវជ្រាវសន្តិសុខបានឆ្លងកាត់នោះ ពួក Hacker បានប្រើទំព័រចូលអ៊ីមែលក្លែងក្លាយដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីលួចពាក្យសម្ងាត់ពីនាយកប្រតិបត្តិកំពូល Gilead ដែលពាក់ព័ន្ធនឹងកិច្ចការសាជីវកម្ម និងច្បាប់។ ការវាយប្រហារនេះត្រូវបានរកឃើញនៅលើគេហទំព័រដែលប្រើដើម្បីស្កេនអាសយដ្ឋានគេហទំព័រសម្រាប់សកម្មភាពព្យាបាទ ប៉ុន្តែអ្នកស្រាវជ្រាវមិនអាចកំណត់ថាតើវាជោគជ័យឬអត់។

ក្រុមហេគឃ័រដែលកំពុងពេញនិយម
គំនូសតាងក្រុមហេគឃ័រ APT ដែលកំពុងពេញនិយម - ប្រភព៖ Securitystack.co

អ្នកវិភាគម្នាក់ក្នុងចំណោមអ្នកវិភាគដែលស្រាវជ្រាវការវាយប្រហារនេះគឺលោក Ohad Zaidenberg មកពីក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិត ClearSky របស់អ៊ីស្រាអែល។ គាត់បានអត្ថាធិប្បាយថា ការវាយប្រហារខែមេសាប្រឆាំងនឹង Gilead គឺជាកិច្ចខិតខំប្រឹងប្រែងមួយដើម្បីសម្របសម្រួលគណនីអ៊ីមែលសាជីវកម្មជាមួយនឹងសារដែលក្លែងបន្លំអ្នកសារព័ត៌មាន។ អ្នកវិភាគផ្សេងទៀត ដែលមិនត្រូវបានអនុញ្ញាតឱ្យធ្វើអត្ថាធិប្បាយជាសាធារណៈ ចាប់តាំងពីពេលនោះមក បានបញ្ជាក់ថា ការវាយប្រហារបានប្រើប្រាស់ដែន និងម៉ាស៊ីនមេ ដែលពីមុនត្រូវបានប្រើប្រាស់ដោយក្រុម hacking អ៊ីរ៉ង់ ដែលគេស្គាល់ថា Charming Kitten។

បេសកកម្មការទូតរបស់អ៊ីរ៉ង់ប្រចាំអង្គការសហប្រជាជាតិបានបដិសេធមិន ជាប់ពាក់ព័ន្ធក្នុងការវាយប្រហារបែបនេះ ទេ ដោយអ្នកនាំពាក្យ Alireza Miryousefi បានបញ្ជាក់ថា "រដ្ឋាភិបាលអ៊ីរ៉ង់មិនចូលរួមក្នុងសង្គ្រាមអ៊ីនធឺណិតទេ" ដោយបន្ថែមថា "សកម្មភាពតាមអ៊ីនធឺណិតដែលអ៊ីរ៉ង់ចូលរួមគឺការពារសុទ្ធសាធ និងដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារបន្ថែមទៀតលើ ហេដ្ឋារចនាសម្ព័ន្ធអ៊ីរ៉ង់”។

ប្រទេស​ជា​អ្នក​ប្រយុទ្ធ​ប្រឆាំង​នឹង​គ្នា។
ប្រទេស​ដែល​បាន​កំណត់​គោលដៅ​ក្នុង​យុទ្ធនាការ​តាម​អ៊ីនធឺណិត​របស់​អ៊ីរ៉ង់​ថ្មីៗ​នេះ - ប្រភព៖ Stratfor.com

Gilead បានអនុវត្តតាមគោលការណ៍របស់ក្រុមហ៊ុនលើការពិភាក្សាអំពីបញ្ហាសន្តិសុខតាមអ៊ីនធឺណិត ហើយបានបដិសេធមិនធ្វើអត្ថាធិប្បាយទេ។ ក្រុមហ៊ុនបានទទួលការចាប់អារម្មណ៍យ៉ាងខ្លាំងនាពេលថ្មីៗនេះ ដោយសារក្រុមហ៊ុននេះជាអ្នកផលិតថ្នាំប្រឆាំងមេរោគ Remdesivir ដែលបច្ចុប្បន្នជាការព្យាបាលតែមួយគត់ដែលត្រូវបានបញ្ជាក់ដើម្បីជួយអ្នកជំងឺដែលឆ្លង COVID-19។ Gilead ក៏ជាក្រុមហ៊ុនមួយក្នុងចំណោមក្រុមហ៊ុនដែលនាំមុខគេក្នុងការស្រាវជ្រាវ និងបង្កើតការព្យាបាលសម្រាប់ជំងឺដ៏កាចសាហាវនេះ ដែលធ្វើឱ្យវាក្លាយជាគោលដៅចម្បងសម្រាប់កិច្ចខិតខំប្រឹងប្រែងប្រមូលផ្តុំបញ្ញា។