Daggerfly APT ក្រុម

ក្រុម Hacker ដែលឧបត្ថម្ភដោយរដ្ឋដែលមានសម្ព័ន្ធភាពជាមួយទីក្រុងប៉េកាំង ដែលគេស្គាល់ថា Daggerfly បានកំណត់គោលដៅលើអង្គការនានានៅតៃវ៉ាន់ និងអង្គការមិនមែនរដ្ឋាភិបាលរបស់សហរដ្ឋអាមេរិក (NGO) ដែលប្រតិបត្តិការនៅក្នុងប្រទេសចិន។ ពួកគេបានប្រើប្រាស់ឧបករណ៍មេរោគដែលប្រសើរឡើងនៅក្នុងការវាយប្រហារទាំងនេះ។ យុទ្ធនាការនេះបង្ហាញថា ក្រុមនេះក៏ធ្វើចារកម្មផ្ទៃក្នុងផងដែរ។ ក្នុងអំឡុងពេលនៃការវាយប្រហារលើអង្គការក្រៅរដ្ឋាភិបាល ពួក Hacker បានទាញយកភាពងាយរងគ្រោះនៅក្នុងម៉ាស៊ីនមេ Apache HTTP ដើម្បីដាក់ពង្រាយមេរោគ MgBot របស់ពួកគេ។

ក្រុម Arsenal ដែលកំពុងគំរាមកំហែងនៃ Daggerfly APT (Advanced Persistent Threat) ក្រុម

Daggerfly ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Bronze Highland និង Evasive Panda បាននឹងកំពុងប្រើប្រាស់ក្របខ័ណ្ឌ MgBot ម៉ូឌុល malware សម្រាប់ប្រតិបត្តិការស៊ើបការណ៍សម្ងាត់ដែលផ្តោតលើអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅក្នុងទ្វីបអាហ្រ្វិកចាប់តាំងពីឆ្នាំ 2012 ។ ក្រុមនេះមានជំនាញក្នុងការធ្វើបច្ចុប្បន្នភាពឧបករណ៍របស់ខ្លួនយ៉ាងឆាប់រហ័សក្នុងការឆ្លើយតបទៅនឹងការរកឃើញ ដែលអនុញ្ញាតឱ្យវា បន្តសកម្មភាពចារកម្មរបស់ខ្លួនដោយមានការរំខានតិចតួចបំផុត។

ការវាយប្រហារចុងក្រោយបំផុតពាក់ព័ន្ធនឹងក្រុមមេរោគថ្មីដែលបានមកពី MgBot និងកំណែប្រសើរឡើងនៃ MACMA ដែលជាមេរោគ macOS ត្រូវបានរកឃើញដំបូងក្នុងខែវិច្ឆិកា ឆ្នាំ 2021។ MACMA ត្រូវបានចែកចាយដំបូងតាមរយៈការវាយប្រហាររន្ធទឹកដោយទាញយកភាពងាយរងគ្រោះនៅក្នុង Safari ដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់នៅក្នុងទីក្រុងហុងកុង។

នេះជាការភ្ជាប់យ៉ាងច្បាស់លាស់លើកដំបូងរបស់ MACMA ទៅក្រុមលួចចូលជាក់លាក់ ដោយបង្ហាញពីសមត្ថភាពរបស់ខ្លួនក្នុងការប្រមូលព័ត៌មានរសើប និងប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត។ ភ័ស្តុតាងបង្ហាញថាអ្នកបង្កើត MACMA ប្រហែលជាបានប្រើកូដឡើងវិញពីអ្នកអភិវឌ្ឍន៍ ELF/Android ដែលអាចកំណត់គោលដៅឧបករណ៍ Android ផងដែរ។

ការផ្សារភ្ជាប់របស់ MACMA ជាមួយ Daggerfly ត្រូវបានគាំទ្របន្ថែមទៀតដោយការត្រួតគ្នានៅក្នុងកូដប្រភពជាមួយ MgBot និងការពិតដែលថាវាទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) (103.243.212.98) ដែលប្រើដោយឧបករណ៍ទម្លាក់ MgBot ផងដែរ។

ការគំរាមកំហែង Malware បន្ថែមត្រូវបានប្រើប្រាស់ដោយ Daggerfly

ការបន្ថែមមួយទៀតនៃឃ្លាំងអាវុធរបស់ក្រុមគឺ Nightdoor (ត្រូវបានគេស្គាល់ផងដែរថាជា NetMM និង Suzafk) ។ ការផ្សាំនេះប្រើប្រាស់ Google Drive API សម្រាប់ Command-and-Control (C2) ហើយត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារតាមរន្ធទឹកដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ទីបេចាប់តាំងពីយ៉ាងហោចណាស់ខែកញ្ញា ឆ្នាំ 2023។ សកម្មភាពនេះត្រូវបានចងក្រងជាឯកសារលើកដំបូងនៅក្នុងខែមីនា។

ក្រុមនេះបានបង្ហាញពីសមត្ថភាពក្នុងការអភិវឌ្ឍកំណែនៃឧបករណ៍របស់ខ្លួនសម្រាប់ប្រព័ន្ធប្រតិបត្តិការសំខាន់ៗ។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញភស្តុតាងនៃ trojanized Android APKs ឧបករណ៍ស្ទាក់ចាប់ SMS ឧបករណ៍ស្ទាក់ចាប់សំណើ DNS និងមេរោគដែលកំណត់គោលដៅ Solaris OS ។

តើធ្វើដូចម្តេចដើម្បីការពារឧបករណ៍របស់អ្នកពីការគំរាមកំហែងពីមេរោគ?

ការការពារឧបករណ៍ពីការគំរាមកំហែងពីមេរោគតម្រូវឱ្យមានវិធីសាស្រ្តចម្រុះដែលរួមបញ្ចូលគ្នានូវបច្ចេកវិទ្យា ការអនុវត្តល្អបំផុត និងការប្រុងប្រយ័ត្នរបស់អ្នកប្រើប្រាស់។ នេះគឺជាវិធានការល្អបំផុតដែលអ្នកប្រើប្រាស់គួរអនុវត្តដើម្បីការពារឧបករណ៍របស់ពួកគេ៖

• ដំឡើង និងធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់កម្មវិធីប្រឆាំងមេរោគ ៖ ប្រើកម្មវិធីសុវត្ថិភាពល្បីឈ្មោះដើម្បីស្វែងរក និងលុបមេរោគ ដោយធានាថាវាតែងតែទាន់សម័យតាមដែលអាចធ្វើទៅបានដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងចុងក្រោយបំផុត។ លើសពីនេះទៀត បើកការស្កេនតាមពេលវេលាជាក់ស្តែង ដើម្បីត្រួតពិនិត្យឯកសារ និងការទាញយក ដូចដែលពួកវាត្រូវបានចូលដំណើរការជាបន្តបន្ទាប់។
• រក្សាប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីអាប់ដេត ៖ បើកដំណើរការអាប់ដេតដោយស្វ័យប្រវត្តិសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ កម្មវិធីរុករកតាមអ៊ីនធឺណិត និងកម្មវិធីរបស់អ្នក ដើម្បីទទួលបានបំណះសុវត្ថិភាពចុងក្រោយបំផុតភ្លាមៗ។ ប្រសិនបើការអាប់ដេតដោយស្វ័យប្រវត្តិមិនអាចចូលប្រើបានទេ សូមពិនិត្យ និងដំឡើងពួកវាឱ្យបានទៀងទាត់ ដើម្បីរក្សាសុវត្ថិភាព។
• ប្រើជញ្ជាំងភ្លើង ៖ ត្រូវប្រាកដថាជញ្ជាំងភ្លើងដែលភ្ជាប់មកជាមួយនៅលើប្រព័ន្ធប្រតិបត្តិការរបស់អ្នកសកម្មដើម្បីទប់ស្កាត់ការចូលប្រើដោយគ្មានការអនុញ្ញាត។ សម្រាប់ការការពារបន្ថែម ជាពិសេសនៅលើបណ្តាញផ្ទះ ឬអាជីវកម្ម សូមពិចារណាប្រើជញ្ជាំងភ្លើងផ្នែករឹង។
• អនុវត្តទម្លាប់រុករកដោយសុវត្ថិភាព ៖ ជៀសវាងការចូលមើលគេហទំព័រដែលមើលទៅមិនគួរឱ្យទុកចិត្ត ឬមានខ្លឹមសារគួរឱ្យសង្ស័យ។ ទាញយកកម្មវិធីពីប្រភពល្បីឈ្មោះ និងផ្លូវការ ហើយជៀសវាងការចុចលើការលេចឡើង ឬការផ្សាយពាណិជ្ជកម្មដែលផ្តល់ការទាញយកដោយឥតគិតថ្លៃ ដើម្បីកាត់បន្ថយហានិភ័យនៃមេរោគ។
• ប្រើប្រាស់ពាក្យសម្ងាត់ខ្លាំង និងការផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) ៖ តែងតែប្រើពាក្យសម្ងាត់ខ្លាំងគ្រប់គ្រាន់សម្រាប់គណនីផ្សេងៗ ហើយផ្លាស់ប្តូរវាជាប្រចាំ។ បើកដំណើរការ 2FA ដើម្បីឱ្យមានស្រទាប់សុវត្ថិភាពមួយផ្សេងទៀត ដែលធ្វើឱ្យវាកាន់តែស្មុគស្មាញសម្រាប់ពួក Hacker ដែលអាចចូលប្រើបាន។
• ប្រយ័ត្នជាមួយអ៊ីមែល និងឯកសារភ្ជាប់ ៖ ត្រូវប្រុងប្រយ័ត្នចំពោះអ៊ីមែលបន្លំដែលត្រូវបានរចនាឡើងដើម្បីបញ្ឆោតអ្នកឱ្យបង្ហាញព័ត៌មានផ្ទាល់ខ្លួន ឬទាញយកមេរោគ។ កុំចូលប្រើឯកសារភ្ជាប់អ៊ីមែល ឬចុចលើតំណភ្ជាប់ពីប្រភពដែលមិនស្គាល់ ឬគួរឱ្យសង្ស័យ។
• បម្រុងទុកទិន្នន័យជាប្រចាំ ៖ បម្រុងទុកទិន្នន័យសំខាន់ៗជាទៀងទាត់ទៅដ្រាយវ៍រឹងខាងក្រៅ ឬសេវាកម្មពពក ធានាថាអ្នកអាចសង្គ្រោះព័ត៌មានក្នុងករណីមានការវាយប្រហារមេរោគ។ តាមកាលកំណត់ ត្រូវប្រាកដថាការបម្រុងទុករបស់អ្នកបានបញ្ចប់ ហើយអាចស្ដារឡើងវិញដោយជោគជ័យ។
• ប្រើឧបករណ៍ទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្ម និងឧបករណ៍ប្រឆាំងការតាមដាន ៖ ដំឡើងកម្មវិធីទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្ម ដើម្បីកាត់បន្ថយហានិភ័យនៃការជួបប្រទះការផ្សាយពាណិជ្ជកម្មក្លែងបន្លំ។ លើសពីនេះទៀត ប្រើផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលរារាំងស្គ្រីបតាមដាន ដើម្បីការពារទិន្នន័យរុករករបស់អ្នកពីការប្រមូល។
• សុវត្ថិភាពបណ្តាញរបស់អ្នក ៖ ផ្លាស់ប្តូរឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់លំនាំដើមទាំងអស់នៅលើរ៉ោតទ័ររបស់អ្នក និងឧបករណ៍បណ្តាញផ្សេងទៀត។ ប្រើការអ៊ិនគ្រីបខ្លាំង (WPA3 ឬ WPA2) សម្រាប់បណ្តាញ Wi-Fi របស់អ្នក ហើយបិទ WPS ដើម្បីបង្កើនសុវត្ថិភាព។
• អប់រំខ្លួនអ្នក និងអ្នកដទៃ ៖ ទទួលបានព័ត៌មានអំពីការគំរាមកំហែងផ្នែកសុវត្ថិភាពចុងក្រោយបំផុត និងការអនុវត្តល្អបំផុត។ អប់រំសមាជិកគ្រួសារ ឬនិយោជិតអំពីអាកប្បកិរិយាប្រកបដោយសុវត្ថិភាពលើអ៊ីនធឺណិត និងការគំរាមកំហែងដែលអាចកើតមាន ដើម្បីធានាថាអ្នកគ្រប់គ្នាបានដឹង និងប្រុងប្រយ័ត្ន។

តាមរយៈការរួមបញ្ចូលវិធានការទាំងនេះនៅលើឧបករណ៍ទាំងអស់ អ្នកប្រើប្រាស់ទំនងជាកាត់បន្ថយហានិភ័យនៃការឆ្លងមេរោគ និងបង្កើនសុវត្ថិភាពទាំងមូលយ៉ាងខ្លាំង។