BASICSTAR Backdoor

តួអង្គគំរាមកំហែង Charming Kitten ដែលមានដើមកំណើតមកពីប្រទេសអ៊ីរ៉ង់ និងត្រូវបានគេស្គាល់ផងដែរថាជា APT35, CharmingCypress, Mint Sandstorm, TA453 និង Yellow Garuda ថ្មីៗនេះត្រូវបានភ្ជាប់ជាមួយនឹងការវាយប្រហារថ្មីៗជាច្រើនដែលផ្តោតលើអ្នកជំនាញគោលនយោបាយមជ្ឈិមបូព៌ា។ ការវាយប្រហារទាំងនេះពាក់ព័ន្ធនឹងការប្រើប្រាស់ backdoor ថ្មីមួយដែលមានឈ្មោះថា BASICSTAR ដែលត្រូវបានដាក់ពង្រាយតាមរយៈការបង្កើតវិបផតថល webinar ក្លែងបន្លំ។

Charming Kitten មានកំណត់ត្រាមួយក្នុងការធ្វើយុទ្ធនាការវិស្វកម្មសង្គមចម្រុះ ការប្រើប្រាស់យុទ្ធសាស្ត្រដែលកំណត់គោលដៅយ៉ាងទូលំទូលាយដល់អង្គភាពផ្សេងៗ រួមទាំងអ្នកគិត អង្គការមិនមែនរដ្ឋាភិបាល (NGOs) និងអ្នកសារព័ត៌មាន។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ប្រើល្បិចបន្លំផ្សេងៗ ដើម្បីសម្របសម្រួលជនរងគ្រោះ

CharmingKitten ជាញឹកញាប់ប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គមមិនធម្មតា ដូចជាការចូលរួមគោលដៅក្នុងការសន្ទនាតាមអ៊ីមែលយូរ មុនពេលណែនាំតំណភ្ជាប់ទៅកាន់ខ្លឹមសារមិនមានសុវត្ថិភាព។ ក្រុមហ៊ុន Microsoft បានបង្ហាញឱ្យដឹងថា បុគ្គលគួរឱ្យកត់សម្គាល់ដែលធ្វើការលើកិច្ចការមជ្ឈិមបូព៌ាត្រូវបានជ្រើសរើសដោយតួអង្គគំរាមកំហែងនេះដើម្បីផ្សព្វផ្សាយមេរោគដូចជា MischiefTut និង MediaPl (ត្រូវបានគេស្គាល់ផងដែរថាជា EYEGLASS) ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកព័ត៌មានរសើបពីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។

ក្រុមនេះដែលត្រូវបានគេជឿថាមានទំនាក់ទំនងជាមួយកងឆ្មាំបដិវត្តន៍អ៊ីស្លាមអ៊ីរ៉ង់ (IRGC) បានចែកចាយផ្នែកខាងក្រោយផ្សេងៗរួមទាំង PowerLess, BellaCiao, POWERSTAR (aka GorjolEcho) និង NokNok ក្នុងរយៈពេលមួយឆ្នាំកន្លងមក។ នេះបញ្ជាក់ពីការប្តេជ្ញាចិត្តរបស់ពួកគេក្នុងការបន្តការវាយប្រហារតាមអ៊ីនធឺណិតរបស់ពួកគេ ដោយសម្របខ្លួនតាមយុទ្ធសាស្ត្រ និងវិធីសាស្រ្ត ទោះបីជាត្រូវបានលាតត្រដាងជាសាធារណៈក៏ដោយ។

អ្នក​វាយប្រហារ​ចាត់​ទុក​ជា​នីតិបុគ្គល​ដើម្បី​បោក​បញ្ឆោត​ជនរងគ្រោះ

ការវាយប្រហារដោយបន្លំក្រោមការត្រួតពិនិត្យពាក់ព័ន្ធនឹងប្រតិបត្តិករ Charming Kitten ដែលទទួលយកការក្លែងបន្លំរបស់វិទ្យាស្ថាន Rasanah International Institute for Iranian Studies (IIIS) ដើម្បីផ្តួចផ្តើម និងបង្កើតការជឿទុកចិត្តជាមួយនឹងគោលដៅរបស់ពួកគេ។

ការប៉ុនប៉ងបន្លំទាំងនេះគឺគួរឱ្យកត់សម្គាល់សម្រាប់ការប្រើប្រាស់គណនីអ៊ីមែលដែលត្រូវបានសម្របសម្រួលពីទំនាក់ទំនងស្របច្បាប់ ក៏ដូចជាគណនីអ៊ីមែលជាច្រើនដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់តួអង្គគំរាមកំហែង ដែលជាការអនុវត្តដែលគេស្គាល់ថាជា Multi-Persona Impersonation (MPI)។

លំដាប់នៃការវាយប្រហារជាធម្មតាពាក់ព័ន្ធនឹងបណ្ណសារ RAR ដែលមានឯកសារ LNK ជាជំហានដំបូងដើម្បីផ្សព្វផ្សាយមេរោគ។ សារលើកទឹកចិត្តដល់គោលដៅដែលមានសក្តានុពលក្នុងការចូលរួមក្នុងសិក្ខាសាលាលើបណ្តាញក្លែងបន្លំលើប្រធានបទដែលតម្រូវតាមចំណាប់អារម្មណ៍របស់ពួកគេ។ នៅក្នុងសេណារីយ៉ូឆ្លងមេរោគពហុដំណាក់កាលដែលបានសង្កេតឃើញ BASICSTAR និង KORKULOADER ស្គ្រីបកម្មវិធីទាញយក PowerShell ត្រូវបានដាក់ឱ្យប្រើប្រាស់។

BASICSTAR Malware ប្រមូលព័ត៌មានរសើបពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល

BASICSTAR ដែលត្រូវបានកំណត់ថាជាមេរោគ Visual Basic Script (VBS) បង្ហាញសមត្ថភាពដូចជាការប្រមូលព័ត៌មានប្រព័ន្ធជាមូលដ្ឋាន ប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយពីម៉ាស៊ីនមេ Command-and-Control (C2) និងការទាញយក និងបង្ហាញឯកសារ PDF ក្លែងក្លាយ។

លើសពីនេះ ការវាយប្រហារក្លែងបន្លំមួយចំនួនត្រូវបានរចនាឡើងជាយុទ្ធសាស្រ្តដើម្បីផ្តល់នូវ backdoors ដាច់ដោយឡែកដោយផ្អែកលើប្រព័ន្ធប្រតិបត្តិការរបស់ម៉ាស៊ីនគោលដៅ។ ជនរងគ្រោះដែលប្រើប្រាស់ Windows ត្រូវបានទទួលរងនូវការសម្របសម្រួលតាមរយៈ POWERLESS ។ ទន្ទឹមនឹងនេះ អ្នកប្រើប្រាស់ macOS របស់ Apple ត្រូវបានប៉ះពាល់ទៅនឹងខ្សែសង្វាក់ការឆ្លងដែលឈានដល់ទីបញ្ចប់នៅក្នុង NokNok ដែលត្រូវបានសម្របសម្រួលដោយកម្មវិធី VPN ដែលមានមុខងារដែលមានមេរោគបង្កប់។

ក្រុមអ្នកស្រាវជ្រាវបញ្ជាក់ថា តួអង្គគំរាមកំហែងនេះបង្ហាញពីការប្តេជ្ញាចិត្តខ្ពស់ក្នុងការតាមដានគោលដៅរបស់ពួកគេ គោលបំណងដើម្បីស្វែងយល់ពីវិធីសាស្រ្តដ៏មានប្រសិទ្ធភាពបំផុតនៃការរៀបចំ និងការដាក់ពង្រាយមេរោគ។ ជាងនេះទៅទៀត CharmingKitten លេចធ្លោក្នុងចំណោមតួអង្គគម្រាមកំហែងផ្សេងទៀត ដោយចាប់ផ្តើមយុទ្ធនាការជាច្រើនជាបន្តបន្ទាប់ និងដាក់ពង្រាយប្រតិបត្តិករមនុស្សដើម្បីគាំទ្រគំនិតផ្តួចផ្តើមដែលកំពុងបន្តរបស់ពួកគេ។