មេរោគទុរេន
ក្រុមគម្រាមកំហែងកូរ៉េខាងជើង Kimsuky ថ្មីៗនេះបានប្រើប្រាស់មេរោគដែលមានមូលដ្ឋានលើ Golang ថ្មីមួយដែលមានឈ្មោះថា Durian នៅក្នុងប្រតិបត្តិការតាមអ៊ីនធឺណិតជាក់លាក់ដែលផ្តោតលើក្រុមហ៊ុនគ្រីបតូរបស់កូរ៉េខាងត្បូងចំនួនពីរ។ ទុរេន គឺជាមេរោគកម្រិតខ្ពស់ដែលមានសមត្ថភាព backdoor យ៉ាងទូលំទូលាយ ដែលអនុញ្ញាតឱ្យវាប្រតិបត្តិពាក្យបញ្ជា ទាញយកឯកសារ និងប្រមូលទិន្នន័យពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
តារាងមាតិកា
វ៉ិចទ័រឆ្លងសម្រាប់ការចែកចាយទុរេន
ឧប្បត្តិហេតុនេះបានកើតឡើងនៅក្នុងខែសីហា និងខែវិច្ឆិកា ឆ្នាំ 2023 ហើយពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ចនៃកម្មវិធីស្របច្បាប់ដែលផ្តាច់មុខសម្រាប់កូរ៉េខាងត្បូងជាវិធីសាស្រ្តនៃការឆ្លង។ វិធីសាស្ត្រជាក់លាក់ដែលប្រើដើម្បីទាញយកកម្មវិធីនេះមិនទាន់ត្រូវបានអ្នកស្រាវជ្រាវរកឃើញពេញលេញនៅឡើយ។
អ្វីដែលត្រូវបានយល់នោះគឺថាកម្មវិធីនេះបង្កើតការទំនាក់ទំនងជាមួយនឹងម៉ាស៊ីនបម្រើរបស់អ្នកវាយប្រហារ ដែលបន្ទាប់មកយកបន្ទុកមិនមានសុវត្ថិភាពដើម្បីចាប់ផ្តើមដំណើរការឆ្លងមេរោគ។ ដំណាក់កាលដំបូងដើរតួជាអ្នកដំឡើងសម្រាប់មេរោគបន្ថែម និងបង្កើតការជាប់លាប់នៅលើម៉ាស៊ីនដែលរងផលប៉ះពាល់។ វាក៏ជួយសម្រួលដល់ការដាក់ពង្រាយមេរោគ Loader Malware ដែលនៅទីបំផុតបង្កឱ្យមានការប្រតិបត្តិរបស់ទុរេន។
Malware បន្ថែមត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារនៅក្បែរទុរេន
អ្នកវាយប្រហារប្រើទុរេន ដើម្បីដាក់ពង្រាយមេរោគបន្ថែម រួមទាំង AppleSeed (backdoor ដែលពេញចិត្តរបស់ Kimsuky) ដែលជាឧបករណ៍ប្រូកស៊ីផ្ទាល់ខ្លួនដែលមានឈ្មោះថា LazyLoad រួមជាមួយនឹងឧបករណ៍ស្របច្បាប់ដូចជា ngrok និង Chrome Remote Desktop ។ គោលបំណងគឺដើម្បីលួចទិន្នន័យដែលរក្សាទុកដោយកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដូចជាខូគី និងព័ត៌មានសម្ងាត់ចូល។
ចំណុចគួរឱ្យចាប់អារម្មណ៍មួយនៅក្នុងការវាយប្រហារគឺការប្រើប្រាស់ LazyLoad ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹង Andariel ដែលជាក្រុមរងនៅក្នុង L azarus Group ។ នេះបង្ហាញពីកិច្ចសហការដ៏មានសក្តានុពល ឬការតម្រឹមយុទ្ធសាស្ត្ររវាងតួអង្គគំរាមកំហែងទាំងនេះ។
Kimsuky នៅតែជាអ្នកលេងដ៏សំខាន់នៅក្នុងឈុតឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
ក្រុម Kimsuky ដែលសកម្មតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2012 ត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយផ្សេងៗ រួមមាន APT43, Black Banshee, Emerald Sleet (អតីត Thallium), Springtail, TA427, និង Velvet Chollima ។ វាត្រូវបានគេជឿថាធ្វើប្រតិបត្តិការក្រោមមជ្ឈមណ្ឌលស្រាវជ្រាវទី 63 ដែលជាផ្នែកនៃការិយាល័យត្រួតពិនិត្យទូទៅ (RGB) ដែលជាអង្គការស៊ើបការណ៍យោធាកំពូលរបស់ប្រទេសកូរ៉េខាងជើង។
យោងតាមការជូនដំណឹងរួមគ្នាដោយការិយាល័យស៊ើបអង្កេតសហព័ន្ធអាមេរិក (FBI) និងទីភ្នាក់ងារសន្តិសុខជាតិ (NSA) គោលដៅចម្បងរបស់ Kimsuky គឺផ្តល់ទិន្នន័យលួច និងការយល់ដឹងអំពីភូមិសាស្ត្រនយោបាយដល់របបកូរ៉េខាងជើង។ ពួកគេសម្រេចបាននេះដោយការសម្របសម្រួលអ្នកវិភាគគោលនយោបាយ និងអ្នកជំនាញ។ ការសម្របសម្រួលដោយជោគជ័យអនុញ្ញាតឱ្យតារាសម្ដែង Kimsuky បង្កើតអ៊ីមែលបន្លំដោយលំពែងដែលគួរឱ្យជឿជាក់សម្រាប់កំណត់គោលដៅបុគ្គលដែលមានតម្លៃខ្ពស់។
Kimsuky ក៏ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការដែលពាក់ព័ន្ធនឹង Trojan ដែលមានមូលដ្ឋានលើ C# និងអ្នកប្រមូលព័ត៌មានដែលគេស្គាល់ថា TutorialRAT ។ មេរោគនេះប្រើ Dropbox ជាវេទិកាមួយដើម្បីចាប់ផ្តើមការវាយប្រហារ គោលបំណងដើម្បីគេចពីការរកឃើញការគំរាមកំហែង។ យុទ្ធនាការនេះដែលរំឮកដល់យុទ្ធនាការគំរាមកំហែង BabyShark របស់ APT43 ប្រើប្រាស់បច្ចេកទេស spear-phishing ទូទៅ រួមទាំងការប្រើប្រាស់ឯកសារផ្លូវកាត់ (LNK) ផងដែរ។
