Sparrow APT ដ៏ល្បីល្បាញ

ក្រុម APT ថ្មី (Advanced Persistent Threat) ត្រូវបានបង្កើតឡើងនៅលើទិដ្ឋភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ វាត្រូវបានគេរកឃើញដោយអ្នកស្រាវជ្រាវដែលបានកំណត់វាជា FamousSparrow APT ។ ក្រុមនេះត្រូវបានគេជឿថាត្រូវបានបង្កើតឡើងនៅប្រហែលឆ្នាំ 2019 ហើយមានសកម្មភាពតាំងពីពេលនោះមក។ ការវាយប្រហារដោយ FamousSparrow គឺផ្តោតជាសំខាន់លើការសម្របសម្រួលប្រព័ន្ធកុំព្យូទ័ររបស់សណ្ឋាគារ។ ក្នុង​ករណី​ដែល​ជ្រើសរើស ក្រុម​នេះ​ក៏​បាន​កំណត់​គោលដៅ​ដល់​អង្គការ​រដ្ឋាភិបាល ក្រុមហ៊ុន​វិស្វកម្ម​ឯកជន និង​ក្រុមហ៊ុន​ច្បាប់។

កម្រងព័ត៌មានរបស់ជនរងគ្រោះបង្ហាញថា គោលដៅចម្បងរបស់ FamousSparrow គឺដើម្បីធ្វើប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិត។ ក្រុមនេះហាក់ដូចជាមិនកំណត់គោលដៅតំបន់ភូមិសាស្រ្តជាក់លាក់ណាមួយទេ។ ជាពិសេស ដោយសារជនរងគ្រោះត្រូវបានគេរកឃើញនៅជុំវិញពិភពលោក - មកពីសហរដ្ឋអាមេរិក ប្រេស៊ីល បារាំង អង់គ្លេស អារ៉ាប៊ីសាអូឌីត ថៃ តៃវ៉ាន់ និងច្រើនទៀត។

ខ្សែសង្វាក់វាយប្រហារ

ត្រលប់ទៅខែមីនា FamousSparrow បានកែសម្រួលប្រតិបត្តិការវាយប្រហាររបស់ខ្លួន។ យ៉ាងឆាប់រហ័ស ហើយចាប់ផ្តើមទាញយកភាពងាយរងគ្រោះរបស់ Microsoft Exchange ដែលគេស្គាល់ថា ProxyLogon ។ ត្រលប់មកវិញ ក្រុម APT ជាង 10 ផ្សេងគ្នាបានចាប់ផ្តើមការវាយប្រហារដើម្បីកាន់កាប់ម៉ាស៊ីនមេ Exchange mail ។ ភាពងាយរងគ្រោះផ្សេងទៀតដែលត្រូវបានកេងប្រវ័ញ្ចដោយក្រុមប៉ះពាល់ដល់ Microsoft SharePoint និង Oracle Opera ។

បន្ទាប់ពីសម្របសម្រួលម៉ាស៊ីនរបស់ជនរងគ្រោះ FamousSparrow បានដាក់ពង្រាយកំណែផ្ទាល់ខ្លួនចំនួនពីរនៃ Mimikatz និងការគំរាមកំហែងពីមេរោគ backdoor ដែលមិនស្គាល់ពីមុនដែលមានឈ្មោះថា SparrowDoor ។ លើសពីនេះទៀត ពួកគេក៏ប្រើប្រាស់កម្មវិធីផ្ទុកទិន្នន័យផ្ទាល់ខ្លួនសម្រាប់ backdoor ដែលជាឧបករណ៍ប្រើប្រាស់ដែលហាក់ដូចជាមានភារកិច្ចក្នុងការប្រមូលព័ត៌មានសម្ងាត់ និងម៉ាស៊ីនស្កេន NetBIOS ។

ការតភ្ជាប់ទៅ ATPs ផ្សេងទៀត។

ក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតរបស់ពួកគេ អ្នកស្រាវជ្រាវ infosec អាចបង្កើតការតភ្ជាប់ជាច្រើនរវាង FamousSparrow និង ATPs ដែលបានបង្កើតឡើងរួចហើយ។ ជាឧទាហរណ៍ ក្នុងករណីមួយក្រុមបានប្រើវ៉ារ្យ៉ង់ Motnug ដែលជាកម្មវិធីផ្ទុកទិន្នន័យដែលភ្ជាប់ជាមួយ ពួក Hacker SparklingGoblin ។ នៅលើជនរងគ្រោះផ្សេងគ្នា អ្នកស្រាវជ្រាវបានរកឃើញកំណែ Metasploit សកម្មដែលប្រើដែន Command-and-Control (C2, C&C) ដែលពីមុនបានភ្ជាប់ទៅក្រុម DRBControl ។