កណ្តុរ AtlasCross

យុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំមួយកំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់ដែលនិយាយភាសាចិនយ៉ាងសកម្មតាមរយៈដែនដែលមានកំហុសវាយអក្សរដែលធ្វើត្រាប់តាមម៉ាកកម្មវិធីដែលគួរឱ្យទុកចិត្ត។ គេហទំព័របោកប្រាស់ទាំងនេះត្រូវបានរចនាឡើងដើម្បីចែកចាយមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលពីមុនមិនមានឯកសារ ដែលគេស្គាល់ថាជា AtlasCross RAT។ យុទ្ធនាការនេះទាញយកអត្ថប្រយោជន៍ពីទំនុកចិត្តរបស់អ្នកប្រើប្រាស់នៅក្នុងកម្មវិធីដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ រួមទាំងកម្មវិធី VPN វេទិកាផ្ញើសារដែលបានអ៊ិនគ្រីប ឧបករណ៍សន្និសីទវីដេអូ កម្មវិធីតាមដានរូបិយប័ណ្ណគ្រីបតូ និងកម្មវិធីពាណិជ្ជកម្មអេឡិចត្រូនិក។

ហេដ្ឋារចនាសម្ព័ន្ធនេះរួមមានដែនព្យាបាទចំនួន ១១ ដែលបានបញ្ជាក់ដោយក្លែងបន្លំសេវាកម្មល្បីៗដូចជា Surfshark VPN, Signal, Telegram, Zoom និង Microsoft Teams។ ការក្លែងបន្លំជាយុទ្ធសាស្ត្រនេះបង្កើនលទ្ធភាពនៃការឆ្លងមេរោគដោយជោគជ័យដោយការកេងប្រវ័ញ្ចភាពស្គាល់ម៉ាក។

ប្រវត្តិរូបអ្នកបង្កការគំរាមកំហែង៖ ក្រុម Silver Fox Collective

យុទ្ធនាការនេះត្រូវបានសន្មតថាជារបស់ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតចិនដ៏មានសក្ដានុពលមួយក្រុម ដែលគេស្គាល់ថា Silver Fox។ ក្រុមនេះដំណើរការក្រោមឈ្មោះក្លែងក្លាយច្រើន រួមមាន SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 និង Void Arachne។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខចាត់ទុកក្រុមនេះថាជាការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏សកម្មបំផុតមួយក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ ជាពិសេសដោយសារតែការកំណត់គោលដៅជាបន្តបន្ទាប់របស់ខ្លួនទៅលើបុគ្គលិកគ្រប់គ្រង និងហិរញ្ញវត្ថុនៅក្នុងអង្គការនានា។

ក្រុមហ៊ុន Silver Fox ប្រើប្រាស់វ៉ិចទ័រឆ្លងមេរោគចម្រុះដូចជាវេទិកាផ្ញើសារ អ៊ីមែលបន្លំ និងគេហទំព័រចែកចាយកម្មវិធីក្លែងក្លាយ។ គោលបំណងរបស់ក្រុមនេះរួមមានការគ្រប់គ្រងប្រព័ន្ធពីចម្ងាយ ការលួចយកទិន្នន័យសម្ងាត់ និងការក្លែងបន្លំហិរញ្ញវត្ថុ។

ការវិវត្តន៍នៃមេរោគ៖ ពី Gh0st RAT ដល់ AtlasCross

ការលេចចេញនូវ AtlasCross RAT គឺជាការរីកចម្រើនគួរឱ្យកត់សម្គាល់នៅក្នុងឧបករណ៍មេរោគរបស់ Silver Fox។ ប្រតិបត្តិការមុនៗពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវ៉ារ្យ៉ង់ដែលទទួលបានពី Gh0st RAT រួមទាំង ValleyRAT (ត្រូវបានគេស្គាល់ផងដែរថាជា Winos 4.0), Gh0stCringe និង HoldingHands RAT (Gh0stBins)។ AtlasCross តំណាងឱ្យការវិវត្តន៍ដ៏ទំនើបជាងមុន ដោយរួមបញ្ចូលយន្តការលួចលាក់ ការប្រតិបត្តិ និងការតស៊ូដែលប្រសើរឡើង។

ការវិភាគខ្សែសង្វាក់នៃការឆ្លងមេរោគ៖ ពីការល្បួងរហូតដល់ការប្រហារជីវិត

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយនឹងគេហទំព័រក្លែងបន្លំដែលបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកបណ្ណសារ ZIP។ បណ្ណសារទាំងនេះមានកម្មវិធីដំឡើងដែលដាក់ពង្រាយទាំងកម្មវិធីក្លែងបន្លំស្របច្បាប់ និងប្រព័ន្ធគោលពីរ Autodesk ដែលមានមេរោគ trojan ។ កម្មវិធីដំឡើងដែលមានមេរោគចាប់ផ្តើមកម្មវិធីផ្ទុក shellcode ដែលឌិគ្រីបការកំណត់រចនាសម្ព័ន្ធដែលបានបង្កប់ដែលទទួលបានពី Gh0st RAT ។

ដំណើរការនេះស្រង់ព័ត៌មានលម្អិតនៃ Command-and-Control (C2) ហើយទាញយក payload ដំណាក់កាលទីពីរពីដូមេន 'bifa668.com' តាមរយៈច្រក TCP 9899។ ដំណាក់កាលចុងក្រោយនាំឱ្យមានការប្រតិបត្តិក្នុងអង្គចងចាំរបស់ AtlasCross RAT ដែលកាត់បន្ថយការរកឃើញដោយឧបករណ៍សុវត្ថិភាពបែបប្រពៃណីយ៉ាងច្រើន។

ហេដ្ឋារចនាសម្ព័ន្ធព្យាបាទ៖ ដែនដែលមានអាវុធ

យុទ្ធនាការនេះបង្ហាញពីការរៀបចំហេដ្ឋារចនាសម្ព័ន្ធដែលមានការសម្របសម្រួល ដោយដែនព្យាបាទភាគច្រើនត្រូវបានចុះឈ្មោះនៅថ្ងៃទី 27 ខែតុលា ឆ្នាំ 2025 ដែលបង្ហាញពីការរៀបចំផែនការដោយចេតនា។ ដែនដែលបានបញ្ជាក់ដែលប្រើសម្រាប់ការចែកចាយមេរោគរួមមាន៖

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

ដែនទាំងនេះធ្វើត្រាប់តាមសេវាកម្មស្របច្បាប់យ៉ាងជិតស្និទ្ធ ដែលជារឿយៗរួមបញ្ចូលបំរែបំរួលវាយអក្សរដ៏ស្រទន់ ឬឧបករណ៍កំណត់អត្តសញ្ញាណតំបន់ ដើម្បីជៀសវាងការសង្ស័យ។

ការរំលោភបំពានលើទំនុកចិត្ត៖ វិញ្ញាបនបត្រចុះហត្ថលេខាលើលេខកូដដែលត្រូវបានលួច

អ្នកដំឡើងព្យាបាទទាំងអស់ដែលត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានចុះហត្ថលេខាដោយប្រើវិញ្ញាបនបត្រចុះហត្ថលេខាកូដ Extended Validation (EV) ដូចគ្នាដែលត្រូវបានលួចដែលចេញឱ្យក្រុមហ៊ុន DUC FABULOUS CO., LTD ដែលជាក្រុមហ៊ុនមានមូលដ្ឋាននៅទីក្រុងហាណូយ ប្រទេសវៀតណាម។ ការប្រើប្រាស់វិញ្ញាបនបត្រនេះឡើងវិញនៅទូទាំងយុទ្ធនាការមេរោគជាច្រើនដែលមិនទាក់ទងគ្នាបង្ហាញពីចរាចរយ៉ាងទូលំទូលាយនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ យុទ្ធសាស្ត្រនេះបង្កើនភាពស្របច្បាប់ដែលត្រូវបានយល់ឃើញនៃប្រព័ន្ធគោលពីរព្យាបាទ និងជួយជៀសវាងការការពារសុវត្ថិភាព។

សមត្ថភាពកម្រិតខ្ពស់៖ នៅខាងក្នុង AtlasCross RAT

AtlasCross RAT ណែនាំសំណុំសមត្ថភាពដ៏មានអានុភាពដែលត្រូវបានរចនាឡើងសម្រាប់ការលួចលាក់ ការតស៊ូ និងការគ្រប់គ្រង។ វារួមបញ្ចូលក្របខ័ណ្ឌ PowerChell ដែលជាម៉ាស៊ីនប្រតិបត្តិ C/C++ PowerShell ដើមដែលបង្កប់ .NET Common Language Runtime (CLR) ដោយផ្ទាល់ទៅក្នុងដំណើរការមេរោគ។

មុនពេលប្រតិបត្តិពាក្យបញ្ជា មេរោគនឹងបិទយន្តការសុវត្ថិភាពសំខាន់ៗដូចជា AMSI, ETW, Constrained Language Mode និងការកត់ត្រា ScriptBlock។ ការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យត្រូវបានអ៊ិនគ្រីបដោយប្រើ ChaCha20 ជាមួយនឹងសោចៃដន្យក្នុងមួយកញ្ចប់ដែលបង្កើតតាមរយៈការបង្កើតលេខចៃដន្យដែលមានមូលដ្ឋានលើផ្នែករឹង។

មុខងារសំខាន់ៗរួមមាន៖

• ការចាក់ DLL គោលដៅទៅក្នុង WeChat
• ការលួចចូលដំណើរការពិធីការផ្ទៃតុពីចម្ងាយ (RDP)
• ការបញ្ចប់ការតភ្ជាប់កម្រិត TCP ពីឧបករណ៍សុវត្ថិភាពចិនដូចជា 360 Safe, Huorong, Kingsoft និង QQ PC Manager
• ការរៀបចំប្រព័ន្ធឯកសារ និងការប្រតិបត្តិពាក្យបញ្ជាសែល
• ភាពជាប់លាប់តាមរយៈការបង្កើតភារកិច្ចដែលបានកំណត់ពេល

យុទ្ធសាស្ត្រប្រតិបត្តិការ៖ ការបោកប្រាស់ក្នុងទ្រង់ទ្រាយធំ

Silver Fox ប្រើប្រាស់យុទ្ធសាស្ត្រដែនច្រើនស្រទាប់ ដើម្បីរក្សាភាពជឿជាក់ និងគេចវេះការរកឃើញ។ នេះរួមបញ្ចូលទាំងការវាយអក្សរខុស ការលួចចូលដែន និងការរៀបចំ DNS ដែលជារឿយៗត្រូវបានផ្សំជាមួយនឹងអនុសញ្ញាដាក់ឈ្មោះជាក់លាក់តាមតំបន់ ដើម្បីកាត់បន្ថយការសង្ស័យរបស់អ្នកប្រើប្រាស់។ សមត្ថភាពរបស់ក្រុមក្នុងការចម្លងសេវាកម្មស្របច្បាប់ដោយគួរឱ្យជឿជាក់ ដើរតួនាទីយ៉ាងសំខាន់ក្នុងប្រសិទ្ធភាពនៃយុទ្ធនាការ។

ការពង្រីកការវាយប្រហារនៅទូទាំងអាស៊ី

ចាប់តាំងពីយ៉ាងហោចណាស់ខែធ្នូ ឆ្នាំ២០២៥ មក ក្រុមនេះបានពង្រីកប្រតិបត្តិការរបស់ខ្លួននៅទូទាំងប្រទេសជាច្រើន រួមមានប្រទេសជប៉ុន ម៉ាឡេស៊ី ហ្វីលីពីន ថៃ ឥណ្ឌូនេស៊ី សិង្ហបុរី និងឥណ្ឌា។ វិធីសាស្ត្រវាយប្រហារបានវិវត្តន៍ទៅតាមពេលវេលា ដោយផ្លាស់ប្តូរពីអ៊ីមែលបន្លំជាមួយឯកសារភ្ជាប់ PDF ដែលមានគំនិតអាក្រក់ ទៅជាការរំលោភបំពានឧបករណ៍ត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយស្របច្បាប់ ប៉ុន្តែត្រូវបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវដូចជា SyncFuture TSM។

យុទ្ធនាការជាបន្តបន្ទាប់ក៏បានដាក់ពង្រាយកម្មវិធីលួចព័ត៌មានដែលមានមូលដ្ឋានលើ Python ដែលក្លែងបន្លំជាកម្មវិធី WhatsApp ផងដែរ។ សកម្មភាពមុននេះក្នុងខែមករា ឆ្នាំ២០២៦ ពាក់ព័ន្ធនឹងការល្បួងដែលមានប្រធានបទពន្ធដារដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ឥណ្ឌាជាមួយមេរោគ Blackmoon។

ឃ្លាំងអាវុធដែលអាចបត់បែនបាន៖ ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលអាចសម្របខ្លួនបាន

Silver Fox បង្ហាញពីកម្រិតខ្ពស់នៃភាពបត់បែនប្រតិបត្តិការដោយការរួមបញ្ចូលគ្នានូវមេរោគ និងបច្ចេកទេសជាច្រើន។ ការប្រើប្រាស់ ValleyRAT រួមជាមួយឧបករណ៍ RMM និងកម្មវិធីលួចដែលមានមូលដ្ឋានលើ Python ផ្ទាល់ខ្លួនអាចឱ្យមានការសម្របខ្លួនយ៉ាងឆាប់រហ័សនៃខ្សែសង្វាក់ឆ្លង។ ភាពបត់បែននេះគាំទ្រទាំងយុទ្ធនាការឱកាសនិយមទ្រង់ទ្រាយធំ និងការវាយប្រហារជាយុទ្ធសាស្ត្រដែលមានគោលដៅច្រើនជាងមុន។

ក្រុមនេះដំណើរការគំរូផ្លូវពីរ ដោយធ្វើឱ្យមានតុល្យភាពរវាងការវាយប្រហារយ៉ាងទូលំទូលាយជាមួយនឹងប្រតិបត្តិការដ៏ទំនើបជាងមុន ដែលត្រូវបានរចនាឡើងសម្រាប់ការចូលប្រើប្រព័ន្ធរយៈពេលវែង និងការជ្រៀតចូលបណ្តាញកាន់តែស៊ីជម្រៅ។

ភាពជាក់លាក់នៃការបន្លំដោយប្រើល្បិច Spear-Phishing៖ ការកំណត់គោលដៅទៅលើជនរងគ្រោះនៃសាជីវកម្ម

បន្ថែមពីលើយុទ្ធនាការទូលំទូលាយ Silver Fox ធ្វើការវាយប្រហារដោយប្រើល្បិចបោកប្រាស់ដែលមានគោលដៅទៅលើឧស្សាហកម្មជាក់លាក់ ជាពិសេសក្រុមហ៊ុនផលិតជប៉ុន។ ការវាយប្រហារទាំងនេះប្រើល្បិចទាក់ទាញដ៏គួរឱ្យជឿជាក់ខ្ពស់ទាក់ទងនឹងការអនុលោមតាមពន្ធ ការកែតម្រូវប្រាក់ខែ ការផ្លាស់ប្តូរការងារ និងផែនការកាន់កាប់ភាគហ៊ុនរបស់បុគ្គលិក។

នៅពេលដែលបានដាក់ពង្រាយ ValleyRAT អនុញ្ញាតឱ្យអ្នកវាយប្រហារ៖

• ទទួលបានការគ្រប់គ្រងពីចម្ងាយពេញលេញនៃប្រព័ន្ធដែលឆ្លងមេរោគ
• ទិន្នន័យហិរញ្ញវត្ថុ និងទិន្នន័យរសើបរបស់ Harvest
• តាមដានសកម្មភាពអ្នកប្រើប្រាស់ក្នុងពេលវេលាជាក់ស្តែង
• រក្សាភាពស្ថិតស្ថេរនៅក្នុងបណ្តាញ

កម្រិតនៃការចូលប្រើនេះអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងបង្កើនការវាយប្រហារ លួចយកព័ត៌មានសម្ងាត់ និងរៀបចំសម្រាប់ដំណាក់កាលកេងប្រវ័ញ្ចបន្ថែមទៀតនៅក្នុងបរិយាកាសដែលរងការសម្របសម្រួល។