DeathStalker APT

DeathStalker គឺជាឈ្មោះដែលបានផ្តល់ឱ្យក្រុមហេគឃ័រ Advanced Persistent Threat (APT) ដែលអ្នកស្រាវជ្រាវជឿថាកំពុងប្រតិបត្តិការជាទាហានស៊ីឈ្នួល ឬផ្តល់សេវាកម្មហេកសម្រាប់ជួល។ មូលដ្ឋានសម្រាប់ការវិភាគនេះគឺជាលក្ខណៈជាក់លាក់ដែលបង្ហាញនៅក្នុងប្រតិបត្តិការដែលកំណត់ដោយក្រុម។ មិនដូចអ្វីដែលចាត់ទុកថាជាអាកប្បកិរិយាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតធម្មតា DeathStalker មិនឆ្លងមេរោគដល់ជនរងគ្រោះរបស់ពួកគេជាមួយ ransomware និងមិនប្រមូលព័ត៌មានអំពីធនាគារ ឬប័ណ្ណឥណទាន/ឥណពន្ធ ដែលជាសញ្ញាច្បាស់លាស់ដែលថាពួក Hacker មិនស្វែងរកប្រាក់ចំណេញពីជនរងគ្រោះរបស់ពួកគេ។ ផ្ទុយទៅវិញ DeathStalker ហាក់ដូចជាមានជំនាញក្នុងការដកយកទិន្នន័យពីជនរងគ្រោះដែលតូចចង្អៀតបំផុត។ ក្រៅពីការលើកលែងឯកវចនៈមួយចំនួន ដូចជាការវាយលុកអង្គភាពការទូត ក្រុមនេះបានទៅបន្ទាប់ពីក្រុមហ៊ុនឯកជនដែលប្រតិបត្តិការក្នុងវិស័យហិរញ្ញវត្ថុ ដូចជាក្រុមហ៊ុនប្រឹក្សាយោបល់ ក្រុមហ៊ុនបច្ចេកវិទ្យា ក្រុមហ៊ុនច្បាប់ជាដើមជាប់លាប់។ ចំពោះការរីករាលដាលនៃភូមិសាស្ត្រ តាមរយៈការតាមដានចរាចរណ៍ដែលបង្កើតឡើងដោយឧបករណ៍សំខាន់មួយរបស់ DeathStalker - ការគំរាមកំហែងមេរោគហៅថា Powersing ជនរងគ្រោះនៃ DeathStalker ត្រូវបានរកឃើញនៅក្នុងប្រទេសចិន ស៊ីប អ៊ីស្រាអែល អាហ្សង់ទីន លីបង់ ស្វីស តួកគី តៃវ៉ាន់ ចក្រភពអង់គ្លេស និង អេមីរ៉ាតអារ៉ាប់រួម។

Spear-Phishing និង Dead Drop Resolers

ដោយក្រឡេកមើលខ្សែសង្វាក់វាយប្រហាររបស់ DeathStalker APT បង្ហាញថាពួក Hacker ផ្តល់ឧបករណ៍សំខាន់របស់ពួកគេតាមរយៈអ៊ីម៉ែល spear-phishing ដែលផ្ទុកឯកសារភ្ជាប់ដែលសម្របសម្រួល។ ឯកសារដែលបានភ្ជាប់ត្រូវបានក្លែងបន្លំជាឯកសារ Explorer ឬបណ្ណសារ ប៉ុន្តែមានឯកសារ LNK ដែលខូច។ នៅពេលដែលអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យប្រតិបត្តិពួកវា វាចាប់ផ្តើមខ្សែសង្វាក់ពហុដំណាក់កាល។ ក្នុងដំណាក់កាលដំបូង ឯកសារបញ្ឆោតត្រូវបានបង្ហាញដល់អ្នកប្រើប្រាស់ក្នុងគោលបំណងបិទបាំងសកម្មភាពទាំងអស់ដែលកំពុងកើតឡើងនៅផ្ទៃខាងក្រោយ និងបង្កើនការសង្ស័យតិចតួចតាមដែលអាចធ្វើទៅបាន។ យន្តការតស៊ូត្រូវបានបង្កើតឡើងដោយបង្កើតផ្លូវកាត់នៅក្នុងថត Windows Startup ដែលដំណើរការស្គ្រីបចាប់ផ្តើម VBE ។ ការផ្ទុកមេរោគពិតប្រាកដត្រូវបានទម្លាក់ក្នុងដំណាក់កាលទីពីរនៃការវាយប្រហារ។ វាភ្ជាប់ទៅឧបករណ៍ដោះស្រាយការធ្លាក់ចុះដែលស្លាប់ ដើម្បីទទួលបានអាសយដ្ឋានម៉ាស៊ីនមេ Command-and-Control (C&C, C2) ពិតប្រាកដ។ នៅពេលដែលទំនាក់ទំនងត្រូវបានបង្កើតឡើង Powersing ទទួលខុសត្រូវចំពោះរឿងពីរប៉ុណ្ណោះ - ថតអេក្រង់នៃប្រព័ន្ធ ផ្ញើពួកវាទៅម៉ាស៊ីនមេ C2 ភ្លាមៗ ហើយរង់ចាំស្គ្រីប Powershell ណាមួយដែលផ្តល់ដោយ C2 សម្រាប់ដំណើរការ។

មធ្យោបាយពិសេសដែល Powersing មកដល់អាសយដ្ឋាន C2 របស់វាគឺប្លែកណាស់។ ពួក Hacker ទុកខ្សែអក្សរដែលមានទិន្នន័យដំបូងនៅលើសេវាកម្មសាធារណៈផ្សេងៗដូចជាការបង្ហោះ មតិយោបល់ ការពិនិត្យឡើងវិញ ទម្រង់អ្នកប្រើប្រាស់ជាដើម។ អ្នកស្រាវជ្រាវបានរកឃើញសារបែបនេះនៅលើ Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress និង Imgur ។ ការប្រើប្រាស់សេវាសាធារណៈដ៏ល្បីបែបនេះស្ទើរតែធានានូវភាពជោគជ័យនៃការទំនាក់ទំនងដំបូង ដោយសារតែភាពងាយស្រួលដែលចរាចរណ៍បញ្ចូលគ្នាជាមួយចរាចរណ៍ដែលបានបង្កើតជាធម្មតា និងការលំបាកដែលក្រុមហ៊ុនអាចជួបប្រទះ ប្រសិនបើពួកគេសម្រេចចិត្តដាក់ក្នុងបញ្ជីខ្មៅវេទិកានោះ។ មានគុណវិបត្តិសម្រាប់ពួក Hacker ទោះបីជាការដកដានរបស់ពួកគេចេញស្ទើរតែមិនអាចទៅរួចទេ។ ជាលទ្ធផល អ្នកស្រាវជ្រាវអាចកំណត់បានថា សញ្ញាដំបូងនៃសកម្មភាព Powersing មានដើមកំណើតនៅឆ្នាំ 2017។

ការតភ្ជាប់រវាង Powersing និង Malware Family ផ្សេងទៀត។

អំណាចមានលក្ខណៈពិសេសមួយចំនួនដែលមិនធម្មតានោះទេ។ ដូច្នេះ នៅពេលដែលគ្រួសារមេរោគផ្សេងទៀតត្រូវបានរកឃើញថាមានគុណលក្ខណៈស្ទើរតែដូចគ្នា វាបង្កើតសម្មតិកម្មដែលអាចជឿជាក់បានថាពួកវាត្រូវបានបង្កើតឡើងដោយក្រុមហេគឃ័រដូចគ្នា ឬតួអង្គគំរាមកំហែងកំពុងធ្វើការយ៉ាងជិតស្និទ្ធជាមួយគ្នា។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលនិយាយអំពី Powersing ភាពស្រដៀងគ្នាត្រូវបានរកឃើញរវាងវា និងក្រុមគ្រួសារមេរោគពីរផ្សេងទៀតដែលមានឈ្មោះថា Janicab និង Evilnum ។

ចូរចាប់ផ្តើមជាមួយនឹងការពិតដែលថាទាំងបីត្រូវបានបញ្ជូនតាមរយៈឯកសារ LNK ដែលលាក់នៅក្នុងឯកសារភ្ជាប់ដែលត្រូវបានផ្សព្វផ្សាយដោយអ៊ីម៉ែល spear-phishing ។ ជាការពិតនេះគឺជាយុទ្ធសាស្ត្រធម្មតាមួយ ប៉ុន្តែទាំងបីក៏ទទួលបានអាសយដ្ឋាន C2 របស់ពួកគេផងដែរ តាមរយៈអ្នកដោះស្រាយការធ្លាក់ចុះដែលស្លាប់ជាមួយនឹងកន្សោមធម្មតា និងប្រយោគរឹង។ ទីបំផុត មានការត្រួតលើគ្នានៃកូដរវាងការគំរាមកំហែងមេរោគទាំងនេះ ដូចជាឈ្មោះដូចគ្នាបេះបិទសម្រាប់អថេរ និងមុខងារមួយចំនួន ទោះបីជាត្រូវបានសរសេរជាភាសាសរសេរកូដផ្សេងៗគ្នាក៏ដោយ។