forceCopy Stealer

ក្រុម hacking ដែលមានទំនាក់ទំនងនឹងកូរ៉េខាងជើង Kimsuky ត្រូវបានគេរកឃើញថាបានប្រើប្រាស់ការវាយប្រហារដោយលំពែងដើម្បីបន្លំដើម្បីចែកចាយមេរោគលួចព័ត៌មានដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីហៅថា forceCopy ។ ការវាយប្រហារទាំងនេះចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលមានឯកសារផ្លូវកាត់ Windows ក្លែងក្លាយ (LNK) ដែលបង្កើតឡើងដើម្បីបង្ហាញដូចជាឯកសារ Microsoft Office ឬ PDF ។ អ្នកទទួលដែលមិនមានការសង្ស័យដែលបើកឯកសារដោយមិនដឹងខ្លួនកំណត់ប្រតិកម្មខ្សែសង្វាក់ដែលប្រតិបត្តិពាក្យបញ្ជាព្យាបាទ។

ការកេងប្រវ័ញ្ចឧបករណ៍ស្របច្បាប់ដើម្បីចែកចាយបន្ទុកដែលគំរាមកំហែង

នៅពេលដែលអ្នកប្រើប្រាស់ធ្វើអន្តរកម្មជាមួយឯកសារភ្ជាប់ដែលមានគ្រោះថ្នាក់ ដំណើរការឆ្លងចាប់ផ្តើមដោយការប្រតិបត្តិ PowerShell ឬ 'mshta.exe' ដែលជាឧបករណ៍ប្រើប្រាស់ Windows ស្របច្បាប់ដែលប្រើដើម្បីដំណើរការឯកសារ HTML Application (HTA) ។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារទៅយក និងដាក់ពង្រាយកម្មវិធីផ្ទុកមេរោគបន្ថែមពីប្រភពខាងក្រៅដោយមិនមានការសង្ស័យ។

ការដាក់ពង្រាយ Trojans និងឧបករណ៍ Desktop ពីចម្ងាយ

ការវាយប្រហារនៅទីបំផុតបណ្តាលឱ្យមានការដាក់ពង្រាយការគំរាមកំហែងដែលគេស្គាល់ រួមទាំង PEBBLEDASH Trojan និងកំណែដែលបានកែប្រែនៃ RDP Wrapper ដែលជាឧបករណ៍ប្រភពបើកចំហដែលប្រើសម្រាប់ការចូលប្រើកុំព្យូទ័រពីចម្ងាយ។ ជាមួយគ្នានេះដែរ មេរោគប្រូកស៊ីត្រូវបានណែនាំ ដើម្បីធានាបាននូវការតភ្ជាប់ជាបន្តបន្ទាប់រវាងឧបករណ៍ដែលត្រូវបានសម្របសម្រួល និងបណ្តាញខាងក្រៅរបស់អ្នកវាយប្រហារតាមរយៈ Remote Desktop Protocol (RDP)។

Keylogger និង forceCopy៖ កំណត់គោលដៅរក្សាទុកព័ត៌មានសម្ងាត់

Kimsuky ក៏​ត្រូវ​បាន​គេ​មើល​ឃើញ​ផង​ដែរ​ថា​បាន​ប្រើ​កម្មវិធី​កំណត់​ហេតុ​ដែល​មាន​មូលដ្ឋាន​លើ PowerShell ដើម្បី​ចាប់​យក​ការ​ចុច​គ្រាប់​ចុច បង្កើន​សមត្ថភាព​របស់​ពួកគេ​ក្នុង​ការ​លួច​ព័ត៌មាន​រសើប។ លើសពីនេះ មេរោគ ForceCopy ដែលទើបរកឃើញថ្មីត្រូវបានរចនាឡើងជាពិសេសដើម្បីទាញយកឯកសារដែលរក្សាទុកក្នុងថតកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ នេះបង្ហាញពីការព្យាយាមរំលងការរឹតបន្តឹងសុវត្ថិភាព និងចូលប្រើឯកសារកំណត់រចនាសម្ព័ន្ធកម្មវិធីរុករកដោយផ្ទាល់ ដែលជាញឹកញាប់ត្រូវបានរក្សាទុកព័ត៌មានសម្ងាត់នៃការចូល។

ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រ៖ ការប្រើប្រាស់ RDP សម្រាប់ការគ្រប់គ្រងម៉ាស៊ីន

ការពឹងផ្អែករបស់ក្រុមទៅលើ RDP Wrapper និងប្រូកស៊ី malware បង្ហាញពីការផ្លាស់ប្តូរយុទ្ធសាស្ត្រនៅក្នុងប្រតិបត្តិការរបស់ពួកគេ។ ពីមុន Kimsuky បានប្រើប្រាស់ Backdoor ដែលបង្កើតដោយខ្លួនឯង ដើម្បីគ្រប់គ្រងប្រព័ន្ធមេរោគ។ ឥឡូវនេះ តាមរយៈការប្រើប្រាស់ឧបករណ៍ដែលមានយ៉ាងទូលំទូលាយ ពួកគេមានគោលបំណងរក្សាភាពស្ថិតស្ថេរ ខណៈពេលដែលកាត់បន្ថយឱកាសនៃការរកឃើញ។

APT43: ការគំរាមកំហែងចារកម្មតាមអ៊ីនធឺណិតយូរអង្វែង

Kimsuky ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយដូចជា APT43, Black Banshee, និង Emerald Sleet ត្រូវបានគេជឿថាដំណើរការនៅក្រោមការិយាល័យត្រួតពិនិត្យទូទៅរបស់ប្រទេសកូរ៉េខាងជើង (RGB) ដែលជាសេវាស៊ើបការណ៍បរទេសឈានមុខគេរបស់ប្រទេស។ សកម្មតាំងពីឆ្នាំ 2012 មក ក្រុមនេះមានប្រវត្តិយូរយារណាស់មកហើយក្នុងការប្រតិបត្តិការវាយប្រហារផ្នែកវិស្វកម្មសង្គមដ៏ទំនើប ដើម្បីជៀសផុតពីការការពារសុវត្ថិភាពអ៊ីមែល។

ពង្រីកប្រតិបត្តិការជាមួយយុទ្ធនាការបន្លំដែលមានមូលដ្ឋាននៅរុស្ស៊ី

ការរកឃើញថ្មីៗបង្ហាញថា Kimsuky បាននឹងកំពុងប្រើប្រាស់ email phishing ដែលផ្ញើពីសេវាកម្ម email របស់រុស្ស៊ី ដើម្បីអនុវត្តយុទ្ធនាការលួចព័ត៌មានសម្ងាត់។ ការសម្របខ្លួននេះ ត្រូវបានគេសង្កេតឃើញក្នុងខែធ្នូ ឆ្នាំ 2024 ឆ្លុះបញ្ចាំងពីយុទ្ធសាស្ត្រវិវត្តន៍របស់ក្រុម ខណៈដែលវាបន្តកែលម្អបច្ចេកទេសវិស្វកម្មសង្គមរបស់ខ្លួនដើម្បីកំណត់គោលដៅបុគ្គល និងអង្គការដែលមានតម្លៃខ្ពស់។