មេរោគ DEEPDATA
តួអង្គគំរាមកំហែងដែលប្រតិបត្តិការក្រោមឈ្មោះក្លែងក្លាយ BrazenBamboo បានប្រើប្រាស់ភាពងាយរងគ្រោះដែលមិនបានជួសជុលនៅក្នុង Fortinet's FortiClient សម្រាប់ Windows ដើម្បីប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ VPN ។ សកម្មភាពនេះគឺជាផ្នែកមួយនៃក្របខ័ណ្ឌម៉ូឌុលស្មុគ្រស្មាញដែលហៅថា DEEPDATA ។
អ្នកស្រាវជ្រាវដែលវិភាគយុទ្ធនាការនេះបានរកឃើញការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះនៃការបញ្ចេញព័ត៌មានសម្ងាត់សូន្យថ្ងៃនៅក្នុងខែកក្កដាឆ្នាំ 2024 ។ ពួកគេបានសន្មតថាការអភិវឌ្ឍន៍របស់ DEEPDATA, DEEPPOST និង LightSpy ទៅ BrazenBamboo ។
តើអ្វីទៅជាមេរោគ DEEPDATA
DEEPDATA គឺជាឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចម៉ូឌុលដែលត្រូវបានរចនាឡើងសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Windows ដែលមានសមត្ថភាពប្រមូលព័ត៌មានយ៉ាងទូលំទូលាយពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ វាត្រូវបានគេចាប់អារម្មណ៍ជាដំបូង នៅពេលដែលអ្នកឯកទេសសន្តិសុខតាមអ៊ីនធឺណិតបានវិភាគលើក្របខណ្ឌឃ្លាំមើលដែលមានមូលដ្ឋានលើវីនដូ ដោយភ្ជាប់វាទៅនឹងតួអង្គគំរាមកំហែង APT41 ដែលពាក់ព័ន្ធជាមួយប្រទេសចិន។ DEEPDATA ត្រូវបានប្រើដើម្បីទាញយកទិន្នន័យពីវេទិកាទំនាក់ទំនងដូចជា WhatsApp, Telegram, Signal, WeChat, LINE, QQ, និង Skype ក៏ដូចជា Microsoft Outlook, DingDing, Feishu, KeePass លិខិតសម្គាល់កម្មវិធី ទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត បណ្តាញ Wi-Fi និង កម្មវិធីដែលបានដំឡើង។
នៅក្នុងបេះដូងនៃ DEEPDATA គឺជាកម្មវិធីផ្ទុកទិន្នន័យ dynamic-link library (DLL) ដែលត្រូវបានគេស្គាល់ថា data.dll ដែលត្រូវបានរចនាឡើងដើម្បីឌិគ្រីប និងដាក់ពង្រាយកម្មវិធីជំនួយចំនួន 12 ផ្សេងគ្នាតាមរយៈម៉ូឌុល orchestrator ដែលមានឈ្មោះថា frame.dll ។ ក្នុងចំណោមកម្មវិធីជំនួយទាំងនេះគឺជា FortiClient DLL ដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មី ដែលមានសមត្ថភាពប្រមូលផលអត្តសញ្ញាណប័ណ្ណ VPN ។
កម្មវិធីជំនួយនេះទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះសូន្យថ្ងៃដែលមិនបានជួសជុលនៅក្នុងម៉ាស៊ីនភ្ញៀវ Fortinet VPN សម្រាប់ Windows ។ តាមរយៈការទាញយកកំហុសនេះ វាទាញយកព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ដោយផ្ទាល់ពីអង្គចងចាំនៃដំណើរការរបស់អតិថិជន។
ការគំរាមកំហែងដ៏គ្រោះថ្នាក់ផ្សេងទៀតជាផ្នែកមួយនៃក្រុម BrazenBamboo Arsenal
ចាប់តាំងពីការបង្កើត LightSpy spyware implant ក្នុងឆ្នាំ 2022 អ្នកវាយប្រហារបានផ្តោតជាសំខាន់លើយុទ្ធសាស្រ្តកំណត់គោលដៅលើវេទិកាទំនាក់ទំនង ដោយផ្តល់អាទិភាពដល់ការលួចលាក់ និងការចូលប្រើប្រាស់ប្រកបដោយនិរន្តរភាព។ កំណែ Windows របស់ LightSpy ខុសពីកំណែប្រព័ន្ធប្រតិបត្តិការផ្សេងទៀតនៅក្នុងស្ថាបត្យកម្មរបស់វា។ វាត្រូវបានដាក់ពង្រាយតាមរយៈកម្មវិធីដំឡើងដែលផ្ទុកបណ្ណាល័យ ដើម្បីប្រតិបត្តិកូដសែលនៅក្នុងអង្គចងចាំ។ កូដសែលនេះបន្ទាប់មកទាញយក និងឌិកូដសមាសភាគ orchestrator ពី server command-and-control។ វង់ភ្លេងនេះត្រូវបានធ្វើឱ្យសកម្មដោយឧបករណ៍ផ្ទុកមួយហៅថា BH_A006 ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្រុមគំរាមកំហែងចិន 'ចោរសមុទ្រអវកាស' ដែលត្រូវបានគេស្គាល់ថាជាគោលដៅនៃអង្គការរុស្ស៊ី។
ឧបករណ៍មួយផ្សេងទៀតនៅក្នុងឃ្លាំងផ្ទុកមេរោគរបស់ BrazenBamboo គឺ DEEPPOST ដែលជាឧបករណ៍ទាញយកទិន្នន័យក្រោយការកេងប្រវ័ញ្ចដែលមានសមត្ថភាពបញ្ជូនឯកសារទៅកាន់ចំណុចបញ្ចប់ពីចម្ងាយ។ រួមគ្នា DEEPDATA និង DEEPPOST ពង្រឹងសមត្ថភាពចារកម្មតាមអ៊ីនធឺណិតរបស់តួអង្គគម្រាមកំហែង ដោយបង្កើតការងារពីមុនជាមួយ LightSpy ដែលឥឡូវនេះផ្តោតលើ macOS, iOS និង Windows ។
មានកូដ និងរចនាសម្ព័ន្ធស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់រវាង LightSpy និង DEEPDATA ដែលបង្ហាញថាគ្រួសារមេរោគទាំងពីរទំនងជាត្រូវបានបង្កើតឡើងដោយសហគ្រាសឯកជនដូចគ្នា ដែលអាចចុះកិច្ចសន្យាដើម្បីបង្កើតឧបករណ៍លួចចូលសម្រាប់ការប្រើប្រាស់របស់រដ្ឋាភិបាល។
