ប៊ីស្មុត APT

ប៊ីស្មុត APT

ក្រុម Advanced Persistent Threat (APT) ដែលដំណើរការយូរមកហើយហៅថា Bismuth ត្រូវបានគេសង្កេតឃើញកំពុងព្យាយាមលាក់សកម្មភាពរបស់ខ្លួននាពេលថ្មីៗនេះ ដោយដាក់ពង្រាយកម្មវិធី crypto-miner payload ទៅកាន់គោលដៅរបស់ពួកគេ។ នៅក្នុងទិដ្ឋភាព infosec ប្រតិបត្តិការ crypto-mining ត្រូវបានចាត់ទុកថាជាបញ្ហាមិនសំខាន់ ហើយជាធម្មតាទទួលបានការឆ្លើយតបតិចតួចជាងបើប្រៀបធៀបទៅនឹងករណីនៃចារកម្មតាមអ៊ីនធឺណិត ឬការដាក់ពង្រាយ ransomware ។

ឯកទេសចម្បងរបស់ Bismuth គឺការធ្វើយុទ្ធនាការប្រមូលទិន្នន័យ និងការវាយប្រហារចារកម្ម។ ក្រុមនេះមានមុខងារតាំងពីឆ្នាំ 2012 មកម្ល៉េះ ហើយក្នុងអំឡុងពេលនោះ ឧបករណ៍ បច្ចេកទេស និងនីតិវិធីរបស់ពួកគេត្រូវបានវិវឌ្ឍន៍ទាំងភាពស្មុគស្មាញ និងជួរជាបន្តបន្ទាប់។ ឃ្លាំងអាវុធរបស់ក្រុមមានមេរោគដែលបង្កើតដោយខ្លួនឯង រួមបញ្ចូលគ្នាជាមួយឧបករណ៍ប្រភពបើកចំហ។ ជនរងគ្រោះរបស់ពួកគេមកពីផ្នែកឧស្សាហកម្មដ៏ធំទូលាយ រួមទាំងអង្គភាពអន្តរជាតិ ក្រុមហ៊ុនដែលផ្តល់សេវាហិរញ្ញវត្ថុ អង្គភាពរដ្ឋាភិបាល និងទីភ្នាក់ងារ ព្រមទាំងស្ថាប័នអប់រំផងដែរ។ យ៉ាងណាក៏ដោយ គោលដៅដែលគេពេញចិត្តរបស់ពួកគេ គឺជាអង្គការសិទ្ធិមនុស្ស និងសិទ្ធិស៊ីវិល។

Bismuth ប្រើ Crypto-Mining ជា Decoy

នៅក្នុងយុទ្ធនាការថ្មីៗរបស់ពួកគេ ក្រុមនេះបានសម្រុះសម្រួលគោលដៅឯកជន និងរដ្ឋាភិបាលដែលមានទីតាំងនៅប្រទេសបារាំង និងវៀតណាម។ ប្រតិបត្តិការនេះត្រូវបានកំណត់គុណលក្ខណៈ Bismuth ដោយសារតែការដាក់ពង្រាយការគំរាមកំហែងមេរោគជាក់លាក់មួយដែលមានឈ្មោះថា KerrDown ដែលត្រូវបានរកឃើញថាជាផ្នែកមួយនៃការវាយប្រហាររបស់វាទាំងស្រុង។

ដើម្បីទទួលបានការឈរជើងនៅក្នុងគោលដៅរបស់ខ្លួន Bismuth បានបង្កើតអ៊ីមែលបន្លំដោយលំពែងលម្អិតខ្ពស់ដែលតម្រង់ទៅបុគ្គលិកជាក់លាក់នៅក្នុងអង្គការ។ ពួក Hacker បានប្រមូលទិន្នន័យផ្សេងៗអំពីបុគ្គលដែលបានជ្រើសរើស មុនពេលចាប់ផ្តើមអ៊ីមែលដែលខូច។ ក្នុងករណីខ្លះ ពួក Hacker ថែមទាំងបានបង្កើតការប្រាស្រ័យទាក់ទងជាមួយជនរងគ្រោះរបស់ពួកគេ ដើម្បីបង្កើតការជឿទុកចិត្ត និងបង្កើតរឿងដ៏គួរឱ្យជឿជាក់ថែមទៀត។ នៅក្នុងដំណាក់កាលដំបូងនៃការវាយប្រហារ Bismuth ប្រើបច្ចេកទេសដែលគេស្គាល់ថាជា DLL side-loading ដែលមើលឃើញថាពួក Hacker កេងប្រវ័ញ្ចកម្មវិធីចាស់ៗ ហើយបង្ខំពួកគេឱ្យផ្ទុក DLL ដែលខូចដែលក្លែងបន្លំឯកសារស្របច្បាប់។ កម្មវិធីដែលត្រូវបានគេសង្កេតឃើញថាត្រូវបានបំពានដោយពួក Hacker មាន Microsoft Word 2007, McAffee scanner, Microsoft Defender និងឧបករណ៍ Sysinternals DebugView ។

ដើម្បីលាក់ចេតនាពិតរបស់ពួកគេ ពួក Hacker Bismuth បានប្រតិបត្តិកម្មវិធី Monero crypto-mining payload នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ ខណៈពេលដែលអ្នករុករករ៉ែមិនអាចរកប្រាក់បានច្រើនតោន ពួកគេបានបម្រើគោលបំណងរបស់ពួកគេក្នុងការបង្វែរការយកចិត្តទុកដាក់ចេញពីសកម្មភាពប្រមូលទិន្នន័យរបស់ក្រុម។

Bismuth សិក្សាគោលដៅរបស់វា។

នៅពេលដែលនៅខាងក្នុងម៉ាស៊ីនដែលបានជ្រើសរើសនោះ ពួក Hacker Bismuth ចំណាយពេលរបស់ពួកគេមុនពេលធ្វើកូដកម្ម។ ក្រុមនេះត្រូវបានគេរាយការណ៍ថាកំពុងលាក់ខ្លួនអស់រយៈពេលប្រហែលមួយខែនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល ដោយស្វែងរក និងកំណត់អត្តសញ្ញាណកុំព្យូទ័រដែលមានប្រយោជន៍បំផុតដើម្បីផ្សព្វផ្សាយ។ ក្នុងអំឡុងពេលនេះ តួអង្គគំរាមកំហែងបានប្រមូលទិន្នន័យផ្សេងៗ រួមទាំងព័ត៌មានលម្អិតអំពីដែន និងអ្នកគ្រប់គ្រងមូលដ្ឋាន ព័ត៌មានឧបករណ៍ និងសិទ្ធិអ្នកប្រើប្រាស់ដែលមាននៅលើប្រព័ន្ធមូលដ្ឋាន។

សកម្មភាពនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួលបានផ្លាស់ប្តូរឆ្លងកាត់ដំណាក់កាលជាច្រើន ដោយចាប់ផ្តើមជាមួយនឹងការព្យាយាមប្រមូលព័ត៌មានសម្ងាត់ពីមូលដ្ឋានទិន្នន័យកម្មវិធីគ្រប់គ្រងគណនីសុវត្ថិភាព (SAM) ក៏ដូចជាព័ត៌មានអំពីក្រុមដែន និងអ្នកប្រើប្រាស់។ បន្ទាប់ពីការប្រមូលទិន្នន័យដំបូង តួអង្គគំរាមកំហែងព្យាយាមប្រើ Windows Management Instrumentation (WMI) ដើម្បីភ្ជាប់ទៅឧបករណ៍បន្ថែម។ ជំហានចុងក្រោយនៃដំណើរការឃើញពួក Hacker ដំឡើងកម្មវិធី CobaltStrike beacon តាមរយៈ DLL side-loading។

Loading...