EAGLET មេរោគ Backdoor
Cyberespionage បន្តវិវឌ្ឍ ដោយមានតួអង្គគម្រាមកំហែងដែលភ្ជាប់ជាមួយរដ្ឋ ប្រើល្បិចបោកបញ្ឆោតកាន់តែខ្លាំងឡើង។ ឧប្បត្តិហេតុចុងក្រោយបំផុតមួយពាក់ព័ន្ធនឹងយុទ្ធនាការដ៏ឧឡារិកមួយក្នុងគោលបំណងសម្រុះសម្រួលផ្នែកអាកាសយានិក និងវិស័យការពារជាតិរបស់រុស្ស៊ី ដោយប្រើប្រាស់ Backdoor ផ្ទាល់ខ្លួនដែលមានឈ្មោះថា EAGLET សម្រាប់ការឃ្លាំមើលសម្ងាត់ និងការលួចទិន្នន័យ។
តារាងមាតិកា
គោលដៅកំណត់អត្តសញ្ញាណ៖ លំហអាកាសរុស្ស៊ីក្រោមការឡោមព័ទ្ធ
យុទ្ធនាការនេះត្រូវបានគេស្គាល់ថាជា Operation CargoTalon ត្រូវបានគេសន្មតថាជាចង្កោមគំរាមកំហែងដែលមានស្លាក UNG0901 (Unknown Group 901)។ ក្រុមនេះបានកំណត់ទស្សនៈរបស់ខ្លួនលើសមាគមផលិតកម្មយន្តហោះ Voronezh (VASO) ដែលជាអង្គភាពផលិតយន្តហោះដ៏ធំរបស់រុស្ស៊ី។ អ្នកវាយប្រហារប្រើយុទ្ធសាស្ត្របន្លំលំពែងដែលទាញយកឯកសារ 'товарно-транспортная накладная' (TTN) ដែលជាប្រភេទនៃការដឹកជញ្ជូនទំនិញដែលមានសារៈសំខាន់ចំពោះប្រតិបត្តិការដឹកជញ្ជូននៅក្នុងប្រទេសរុស្ស៊ី។
របៀបដែលការវាយប្រហារលាតត្រដាង៖ ការដាក់ពង្រាយអាវុធ និងការដាក់ពង្រាយមេរោគ
ខ្សែសង្វាក់នៃការឆ្លងចាប់ផ្តើមដោយ spear-phishing emails ដែលមានមាតិកាក្លែងក្លាយនៃការដឹកជញ្ជូនទំនិញតាមប្រធានបទ។ សារទាំងនេះរួមមានឯកសារ ZIP ដែលផ្ទុកឯកសារផ្លូវកាត់វីនដូ (LNK) ។ នៅពេលប្រតិបត្តិ ឯកសារ LNK ប្រើ PowerShell ដើម្បីបើកដំណើរការឯកសារ Microsoft Excel បោកបញ្ឆោត ក្នុងពេលដំណាលគ្នាដំឡើង backdoor EAGLET DLL នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ឯកសារបោកបញ្ឆោតយោង Obltransterminal ដែលជាប្រតិបត្តិករស្ថានីយកុងតឺន័រផ្លូវដែករុស្ស៊ី ដែលត្រូវបានដាក់ទណ្ឌកម្មដោយការិយាល័យគ្រប់គ្រងទ្រព្យសកម្មបរទេសរបស់រតនាគារសហរដ្ឋអាមេរិក (OFAC) ក្នុងខែកុម្ភៈ ឆ្នាំ 2024 ដែលជាសកម្មភាពមួយទំនងជាមានបំណងបន្ថែមភាពជឿជាក់ និងភាពបន្ទាន់ដល់ការទាក់ទាញ។
នៅខាងក្នុង EAGLET៖ សមត្ថភាព និងការទំនាក់ទំនង C2
EAGLET backdoor គឺជាឧបករណ៍បំបាំងកាយដែលរចនាឡើងសម្រាប់ការប្រមូលផ្តុំបញ្ញា និងការចូលប្រើប្រាស់ជាបន្តបន្ទាប់។ សមត្ថភាពរបស់វារួមមាន:
- ការប្រមូលព័ត៌មានប្រព័ន្ធ
- ការភ្ជាប់ទៅម៉ាស៊ីនមេ C2 ដែលសរសេរកូដរឹងនៅអាសយដ្ឋាន IP 185.225.17.104
- ញែកការឆ្លើយតប HTTP ដើម្បីទាញយកពាក្យបញ្ជាសម្រាប់ការប្រតិបត្តិ
ការផ្សាំនេះមានលក្ខណៈពិសេសការចូលប្រើសែលអន្តរកម្ម និងគាំទ្រប្រតិបត្តិការផ្ទុកឯកសារ/ទាញយក។ ទោះបីជាយ៉ាងណាក៏ដោយ ដោយសារតែស្ថានភាពក្រៅបណ្តាញបច្ចុប្បន្ននៃម៉ាស៊ីនមេ Command-and-Control (C2) អ្នកវិភាគមិនអាចកំណត់វិសាលភាពពេញលេញនៃបន្ទុកដំណាក់កាលបន្ទាប់ដែលអាចកើតមាននោះទេ។
ទំនាក់ទំនងជាមួយតួអង្គគំរាមកំហែងផ្សេងទៀត៖ EAGLET និង Head Mare
ភ័ស្តុតាងបង្ហាញថា UNG0901 មិនដំណើរការដោយឯកោទេ។ យុទ្ធនាការស្រដៀងគ្នាដែលដាក់ពង្រាយ EAGLET ត្រូវបានគេសង្កេតឃើញផ្តោតលើអង្គភាពបន្ថែមនៅក្នុងវិស័យយោធារបស់រុស្ស៊ី។ ប្រតិបត្តិការទាំងនេះបង្ហាញពីទំនាក់ទំនងទៅនឹងក្រុមគំរាមកំហែងមួយផ្សេងទៀតដែលគេស្គាល់ថាជា Head Mare ដែលត្រូវបានកំណត់អត្តសញ្ញាណសម្រាប់ការផ្តោតលើអង្គការរុស្ស៊ី។
សូចនាករសំខាន់ៗនៃការត្រួតស៊ីគ្នារួមមាន:
- ភាពស្រដៀងគ្នានៃកូដប្រភពរវាងឧបករណ៍ EAGLET និង Head Mare
- អនុសញ្ញាដាក់ឈ្មោះដែលបានចែករំលែកនៅក្នុងឯកសារភ្ជាប់បន្លំ
មុខងារស្រដៀងគ្នារវាង EAGLET និង PhantomDL ដែលជា Backdoor ដែលមានមូលដ្ឋានលើ Go ដែលត្រូវបានគេស្គាល់ថាសម្រាប់សែល និងសមត្ថភាពផ្ទេរឯកសាររបស់វា។
គន្លឹះសំខាន់ៗ៖ សញ្ញាព្រមាន និងការគំរាមកំហែងជាប់រហូត
យុទ្ធនាការនេះបង្ហាញពីភាពច្បាស់លាស់នៃប្រតិបត្តិការបន្លំលំពែង ជាពិសេសអ្នកដែលប្រើការបញ្ឆោតដែនជាក់លាក់ដូចជាឯកសារ TTN ជាដើម។ ការប្រើប្រាស់អង្គភាពដែលត្រូវបានទទួលទណ្ឌកម្មនៅក្នុងឯកសារបញ្ឆោត រួមជាមួយនឹងមេរោគផ្ទាល់ខ្លួនដូចជា EAGLET បង្ហាញពីនិន្នាការកើនឡើងនៅក្នុងយុទ្ធនាការចារកម្មដែលមានគោលដៅខ្ពស់ដែលផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។
សូចនាករនៃការសម្របសម្រួល និងទង់ក្រហមដែលត្រូវមើល៖
- អ៊ីមែលយោងឯកសារទំនិញ ឬការបញ្ជូនពីអង្គភាពរុស្ស៊ីដែលទទួលទណ្ឌកម្ម។
- ឯកសារភ្ជាប់ ZIP គួរឱ្យសង្ស័យដែលមានឯកសារ LNK ដែលប្រតិបត្តិពាក្យបញ្ជា PowerShell ។
- ការភ្ជាប់ទៅក្រៅប្រទេសទៅកាន់ IP ដែលមិនធ្លាប់ស្គាល់។
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតគួរតែរក្សាការប្រុងប្រយ័ត្នចំពោះយុទ្ធសាស្ត្រវិវត្តនៃតួអង្គគំរាមកំហែងដូចជា UNG0901 ជាពិសេសនៅពេលដែលពួកគេកំណត់គោលដៅលើវិស័យរសើបជាមួយនឹងការបញ្ចូលមេរោគតាមតម្រូវការ និងប្រអប់ឧបករណ៍ត្រួតគ្នា។
