មេរោគ BADAUDIO
ការប្រុងប្រយ័ត្នសុវត្ថិភាពតាមអ៊ីនធឺណិតនៅតែជាកត្តាចាំបាច់ ខណៈដែលអ្នកគំរាមកំហែងបន្តកែលម្អយុទ្ធសាស្ត្រ និងយុទ្ធសាស្ត្ររបស់ពួកគេ។ ក្រុមដែលភ្ជាប់ជាមួយប្រទេសចិនដែលគេស្គាល់ថាជា APT24 បានដាក់ពង្រាយមេរោគដែលមិនមានឯកសារពីមុនហៅថា BADAUDIO ដើម្បីរក្សាការចូលប្រើប្រាស់រយៈពេលយូរទៅកាន់បណ្តាញគោលដៅ។ សកម្មភាពនេះគឺជាផ្នែកមួយនៃយុទ្ធនាការដែលបានអូសបន្លាយជិត 3 ឆ្នាំ ដោយបង្ហាញពីវិធីសាស្រ្តទំនើប និងសម្របខ្លួនដែលប្រើប្រាស់ដោយការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APTs)។
តារាងមាតិកា
ពីការវាយប្រហារទូលំទូលាយទៅប្រតិបត្តិការគោលដៅ
ដំបូង APT24 ពឹងផ្អែកលើការសម្របសម្រួលគេហទំព័រជាយុទ្ធសាស្ត្រយ៉ាងទូលំទូលាយដើម្បីឆ្លងគេហទំព័រស្របច្បាប់។ យូរ ៗ ទៅក្រុមនេះបានផ្លាស់ប្តូរការផ្តោតអារម្មណ៍ឆ្ពោះទៅរកគោលដៅច្បាស់លាស់ជាងមុន ជាពិសេសអង្គការនៅតៃវ៉ាន់។ វិធីសាស្រ្តសំខាន់ៗរួមមាន:
- ការវាយប្រហារតាមខ្សែសង្វាក់ផ្គត់ផ្គង់ ដូចជាការសម្របសម្រួលម្តងហើយម្តងទៀតរបស់ក្រុមហ៊ុនទីផ្សារឌីជីថលក្នុងតំបន់ដើម្បីចែកចាយស្គ្រីបព្យាបាទ។
- យុទ្ធនាការ Spear-phishing កំណត់គោលដៅបុគ្គល ឬស្ថាប័នជាក់លាក់។
APT24 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Pitty Tiger បានផ្តោតជាប្រវត្តិសាស្ត្រលើវិស័យនានារួមទាំងរដ្ឋាភិបាល ការថែទាំសុខភាព សំណង់ និងវិស្វកម្ម ការជីកយករ៉ែ អង្គការមិនរកប្រាក់ចំណេញ និងទូរគមនាគមន៍នៅសហរដ្ឋអាមេរិក និងតៃវ៉ាន់។ ភ័ស្តុតាងបង្ហាញថាក្រុមនេះបានធ្វើសកម្មភាពតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2008 ដោយប្រើប្រាស់អ៊ីមែលបន្លំដែលមានឯកសារ Microsoft Office ព្យាបាទ ដែលទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះដូចជា CVE-2012-0158 និង CVE-2014-1761 ។
Malware Arsenal: ពី RATs ទៅ BADAUDIO
APT24 បានដាក់ពង្រាយក្រុមមេរោគជាច្រើនប្រភេទ៖
- CT RAT
- M RAT (Goldsun-B) វ៉ារ្យ៉ង់នៃកម្មវិធីទាញយក Enfal/Lurid
- Paladin RAT និង Leo RAT វ៉ារ្យ៉ង់នៃ Gh0st RAT
- Taidoor (Roudan) ខាងក្រោយ
BADAUDIO ដែលទើបនឹងសង្កេតឃើញមានភាពលេចធ្លោសម្រាប់ភាពទំនើបរបស់វា។ សរសេរក្នុង C ++ វាមានភាពច្របូកច្របល់ខ្លាំង ហើយប្រើប្រាស់ការគ្រប់គ្រងលំហូររាបស្មើ ដើម្បីទប់ទល់នឹងវិស្វកម្មបញ្ច្រាស។ វាដើរតួនាទីជាអ្នកទាញយកដំណាក់កាលដំបូង ដែលមានសមត្ថភាពទាញយក ឌិគ្រីប និងដំណើរការបន្ទុកដែលបានអ៊ិនគ្រីប AES ពីម៉ាស៊ីនមេ Command-and-Control (C2) ដែលមានកូដរឹង។
BADAUDIO ជាធម្មតាដំណើរការជា DLL ព្យាបាទ ដោយប្រើប្រាស់ DLL Search Order Hijacking សម្រាប់ការប្រតិបត្តិតាមរយៈកម្មវិធីស្របច្បាប់។ វ៉ារ្យ៉ង់ថ្មីៗត្រូវបានផ្តល់ជូនជាបណ្ណសារដែលបានអ៊ិនគ្រីបដែលមាន DLLs រួមជាមួយឯកសារ VBS, BAT និង LNK ។
យុទ្ធនាការ BADAUDIO៖ បច្ចេកទេស និងការអនុវត្ត
យុទ្ធនាការ BADAUDIO ដែលកំពុងដំណើរការតាំងពីខែវិច្ឆិកា ឆ្នាំ 2022 បានពឹងផ្អែកលើវ៉ិចទ័រចូលដំណើរការដំបូងជាច្រើន៖
- រន្ធទឹក។
- ការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់
- Spear-phishing emails
ចាប់ពីឆ្នាំ 2022 ដល់ដើមឆ្នាំ 2025 APT24 បានសម្របសម្រួលគេហទំព័រស្របច្បាប់ជាង 20 ដោយចាក់បញ្ចូល JavaScript ដែល៖
- មិនរាប់បញ្ចូលអ្នកទស្សនាពី macOS, iOS និង Android ។
- បានបង្កើតស្នាមម្រាមដៃកម្មវិធីរុករកតែមួយគត់ដោយប្រើ FingerprintJS ។
- បានបង្ហាញការលេចឡើងដែលជំរុញឱ្យអ្នកប្រើប្រាស់ទាញយក BADAUDIO ក្លែងធ្វើជាអាប់ដេត Google Chrome ។
នៅខែកក្កដា ឆ្នាំ 2024 ក្រុមនេះបានបង្កើនជាមួយនឹងការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់តាមរយៈក្រុមហ៊ុនទីផ្សារឌីជីថលក្នុងតំបន់មួយនៅតៃវ៉ាន់ ដោយចាក់បញ្ចូល JavaScript អាក្រក់ទៅក្នុងបណ្ណាល័យដែលចែកចាយយ៉ាងទូលំទូលាយ។ វាប៉ះពាល់ដល់ដែនជាង 1,000។
ការវាយប្រហារបានប្រើដែន CDN typosquatted ដើម្បីទាញយកស្គ្រីបដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ម៉ាស៊ីនស្នាមម្រាមដៃ និងបម្រើការលេចឡើងក្លែងក្លាយ។ យន្តការផ្ទុកស្គ្រីបតាមលក្ខខណ្ឌដែលបានណែនាំនៅក្នុងខែមិថុនា ឆ្នាំ 2025 បានបើកដំណើរការការកំណត់គោលដៅតាមតម្រូវការនៃដែននីមួយៗ ទោះបីជាការយឺតយ៉ាវក្នុងខែសីហាបានអនុញ្ញាតឱ្យដែន 1,000 ទាំងអស់ត្រូវបានសម្របសម្រួល មុនពេលការដាក់កម្រិតឡើងវិញក៏ដោយ។
ការបន្លំកម្រិតខ្ពស់ និងវិស្វកម្មសង្គម
ចាប់តាំងពីខែសីហា ឆ្នាំ 2024 APT24 បានធ្វើយុទ្ធនាការបន្លំដែលមានគោលដៅខ្ពស់ ដោយប្រើការទាក់ទាញដូចជាអង្គការសង្គ្រោះសត្វ។ ជនរងគ្រោះទទួលបានបណ្ណសារដែលបានអ៊ិនគ្រីបដែលមាន BADAUDIO តាមរយៈ Google Drive ឬ Microsoft OneDrive ជាមួយនឹងភីកសែលតាមដានដើម្បីតាមដានការចូលរួម និងបង្កើនប្រសិទ្ធភាពការវាយប្រហារ។
ការរួមបញ្ចូលគ្នានៃការរៀបចំខ្សែសង្វាក់ផ្គត់ផ្គង់ វិស្វកម្មសង្គមកម្រិតខ្ពស់ និងការបំពានសេវាកម្មលើពពកបង្ហាញពីសមត្ថភាពរបស់ APT24 សម្រាប់ចារកម្មដែលអាចប្រែប្រួលបានជាប់លាប់។
ប្រតិបត្តិការរបស់ APT24 បង្ហាញពីភាពស្មុគស្មាញកាន់តែខ្លាំងឡើងនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលភ្ជាប់ជាមួយរដ្ឋ ដោយសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់អង្គការនានាក្នុងការអនុវត្តការត្រួតពិនិត្យសុវត្ថិភាពយ៉ាងម៉ត់ចត់ ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃកម្មវិធី និងអប់រំបុគ្គលិកអំពីហានិភ័យនៃការបន្លំ និងខ្សែសង្វាក់ផ្គត់ផ្គង់ដ៏ទំនើប។
