មេរោគ FPSpy
ក្រុមគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងត្រូវបានកំណត់អត្តសញ្ញាណដោយប្រើប្រាស់ឧបករណ៍ដែលទើបបង្កើតថ្មីចំនួនពីរដែលគេស្គាល់ថាជា KLogEXE និង FPSpy ។ សកម្មភាពនេះត្រូវបានផ្សារភ្ជាប់ទៅនឹងតួអង្គគំរាមកំហែងដែលហៅថា Kimsuky ដែលត្រូវបានទទួលស្គាល់ផងដែរក្រោមឈ្មោះក្លែងក្លាយដូចជា APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (អតីត Thallium), Sparkling Pisces, Springtail និង Velvet Chollima ។ ឧបករណ៍ថ្មីៗទាំងនេះពង្រីកកញ្ចប់ឧបករណ៍ដ៏សន្ធឹកសន្ធាប់របស់ Sparkling Pisces ដែលឆ្លុះបញ្ចាំងពីការវិវត្តន៍ដែលកំពុងបន្តរបស់ក្រុម និងការរីកចម្រើនដ៏ទំនើប។
តារាងមាតិកា
តារាសម្ដែងការគំរាមកំហែងដ៏ទំនើបដែលប្រតិបត្តិការជាងមួយទសវត្សរ៍
សកម្មតាំងពីឆ្នាំ 2012 មក តួអង្គគំរាមកំហែងត្រូវបានគេហៅថា "ស្តេចនៃលំពែងបន្លំ" សម្រាប់សមត្ថភាពរបស់វាក្នុងការបញ្ឆោតជនរងគ្រោះឱ្យទាញយកមេរោគដោយការផ្ញើអ៊ីមែលដែលធ្វើឱ្យវាហាក់ដូចជាពួកគេមកពីភាគីដែលគួរឱ្យទុកចិត្ត។ ការវិភាគរបស់អ្នកស្រាវជ្រាវអំពីហេដ្ឋារចនាសម្ព័ន្ធរបស់ Kimsuki បានរកឃើញឧបករណ៍ប្រតិបត្តិចល័តថ្មីចំនួនពីរដែលហៅថា KLogEXE និង FPSpy ។
ប្រភេទមេរោគទាំងនេះត្រូវបានគេដឹងថាត្រូវបានចែកចាយជាចម្បងតាមរយៈការវាយប្រហារដោយលំពែង-បន្លំ។ ដោយផ្អែកលើព័ត៌មានដែលមាន វាហាក់ដូចជាប្រតិបត្តិករអាក្រក់នៃយុទ្ធនាការនេះពេញចិត្តនឹងការវាយប្រហារផ្នែកវិស្វកម្មសង្គមក្នុងទម្រង់ជាអ៊ីមែលលួចបន្លំដែលផ្ញើទៅកាន់គោលដៅរបស់ពួកគេ។
អ៊ីមែលដែលបានបង្កើតដោយប្រុងប្រយ័ត្នទាំងនេះមានភាសាដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទាញគោលដៅឱ្យទាញយកឯកសារ ZIP ដែលភ្ជាប់ជាមួយអ៊ីមែល។ ជារឿយៗគោលដៅត្រូវបានលើកទឹកចិត្តឱ្យទាញយកឯកសារដែលខូច ដែលនៅពេលប្រតិបត្តិបានហៅខ្សែសង្វាក់ឆ្លងមេរោគ - ជាយថាហេតុផ្តល់នូវមេរោគមេរោគទាំងនេះ។
FPSpy ត្រូវបានបំពាក់ដោយសមត្ថភាពឈ្លានពានជាច្រើន។
FPSpy ត្រូវបានគេជឿថាជាបំរែបំរួលនៃ backdoor ដំបូងដែលលាតត្រដាងដោយ AhnLab ក្នុងឆ្នាំ 2022 ដែលបង្ហាញពីភាពស្រដៀងគ្នាទៅនឹងការគំរាមកំហែងដែលចងក្រងដោយ Cybereason ក្រោមឈ្មោះ KGH_SPY នៅចុងឆ្នាំ 2020។ លើសពីការចាក់សោរ FPSpy ត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានលម្អិតនៃប្រព័ន្ធ ទាញយក និងដាក់ពង្រាយបន្ទុកបន្ថែម។ ប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងស្កេនដ្រាយ ថតឯកសារ និងឯកសារនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ទន្ទឹមនឹងនេះ KLogExe ដែលជាការគំរាមកំហែងដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីមួយទៀត គឺជាការសម្របតាម C++ នៃកម្មវិធី Keylogger ដែលមានមូលដ្ឋានលើ PowerShell ដែលហៅថា InfoKey ដែលពីមុនត្រូវបានដាក់ទង់ដោយ JPCERT/CC នៅក្នុងយុទ្ធនាការ Kimsuky ដែលផ្តោតលើអង្គភាពរបស់ជប៉ុន។ ឧបករណ៍នេះត្រូវបានបំពាក់ដើម្បីចាប់យក និងស្រង់ទិន្នន័យអំពីកម្មវិធីសកម្ម ការចុចគ្រាប់ចុច និងចលនាកណ្ដុរនៅលើម៉ាស៊ីនដែលរងផលប៉ះពាល់។
យុទ្ធនាការវាយប្រហារគោលដៅខ្ពស់។
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណស្រដៀងគ្នានៅក្នុងកូដប្រភពនៃ KLogExe និង FPSpy ដែលបង្ហាញថាពួកគេទំនងជាត្រូវបានបង្កើតឡើងដោយអ្នកនិពន្ធដូចគ្នា។ ខណៈពេលដែល Kimsuky មានប្រវត្តិនៃការកំណត់គោលដៅតំបន់ និងវិស័យផ្សេងៗ យុទ្ធនាការពិសេសនេះហាក់ដូចជាផ្តោតទៅលើអង្គការនានាក្នុងប្រទេសជប៉ុន និងកូរ៉េខាងត្បូង។
ដោយមើលឃើញពីលក្ខណៈគោលដៅ និងជម្រើសនៃប្រតិបត្តិការទាំងនេះ អ្នកស្រាវជ្រាវបានសន្និដ្ឋានថា យុទ្ធនាការនេះទំនងជាមិនរីករាលដាលនោះទេ។ ផ្ទុយទៅវិញ វាហាក់ដូចជាមានការបង្ខាំងនៅក្នុងឧស្សាហកម្មជាក់លាក់ និងកំណត់ជាចម្បងចំពោះប្រទេសជប៉ុន និងកូរ៉េខាងត្បូង។
