Gelsemium APT

Gelsemium គឺជាក្រុម APT (Advanced Persistence Threat) ដែលសកម្មតាំងពីឆ្នាំ 2014។ ពួក Hacker បានធ្វើយុទ្ធនាការវាយប្រហារជាច្រើនប្រឆាំងនឹងគោលដៅដែលមានទីតាំងនៅអាស៊ីបូព៌ា និងតំបន់មជ្ឈិមបូព៌ាយ៉ាងទូលំទូលាយ។ ក្នុងចំណោមជនរងគ្រោះដែលមានសក្តានុពលរបស់ពួកគេគឺជាអង្គភាពមកពីជួរដ៏ធំទូលាយនៃបញ្ឈរផ្សេងៗគ្នា។ រហូតមកដល់ពេលនេះ ជនរងគ្រោះរបស់ Gelsemium APT រួមមានភ្នាក់ងាររដ្ឋាភិបាល ក្រុមហ៊ុនផលិតអេឡិចត្រូនិក អង្គការសាសនា ក៏ដូចជាសាកលវិទ្យាល័យមួយចំនួនទៀត។

កញ្ចប់ឧបករណ៍មេរោគ

ក្រុម Gelsemium APT បង្កើតខ្សែសង្វាក់វាយប្រហារច្រើនដំណាក់កាលសម្រាប់ប្រតិបត្តិការរបស់ពួកគេ។ បន្ទាប់ពីបំពានប្រព័ន្ធគោលដៅ ពួក Hacker បានដាក់ពង្រាយមេរោគ dropper ដែលមានឈ្មោះថា Gelsemine ។ Dropper មានទំហំធំមិនធម្មតាសម្រាប់ប្រភេទមេរោគនេះ ប៉ុន្តែវារួមបញ្ចូលកម្មវិធីបង្កប់ចំនួនប្រាំបី។ ទំហំធំត្រូវបានប្រើប្រាស់ដោយ Gelsemine ដើម្បីសម្រុះសម្រួលយន្តការស្មុគ្រស្មាញដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងកែប្រែឥរិយាបថនៃការគំរាមកំហែង។ Gelsemium APT អាចកែតម្រូវឧបករណ៍ទម្លាក់តាមស្ថាបត្យកម្មរបស់ជនរងគ្រោះដែលត្រូវបានសម្របសម្រួល - ទាំង 23-bit ឬ 64-bit ហើយថាតើអ្នកប្រើប្រាស់មានសិទ្ធិជាអ្នកគ្រប់គ្រងឬអត់។

ការគំរាមកំហែងដំណាក់កាលបន្ទាប់គឺ Gelsenicine ។ ភារកិច្ចចម្បងរបស់វាគឺដើម្បីទាញយកម៉ូឌុលសំខាន់មួយដែលមានឈ្មោះថា Gelsevirine ហើយបន្ទាប់មកប្រតិបត្តិវា។ ឥរិយាបថពិតប្រាកដរបស់អ្នកផ្ទុកត្រូវបានកំណត់ដោយផ្អែកលើកត្តាជាច្រើន។ ប្រសិនបើជនរងគ្រោះមានសិទ្ធិគ្រប់គ្រង Gelsenicine នឹងទម្លាក់ DLL ដែលខូចនៃមេរោគដំណាក់កាលបន្ទាប់នៅក្រោម C:\Windows\System32\spool\prtprocs\x64\winprint.dll ។ បើគ្មានសិទ្ធិចាំបាច់ទេ កម្មវិធីផ្ទុកទិន្នន័យនឹងទម្លាក់ chrome_elf.dll ជំនួសវិញនៅក្នុងទីតាំង CommonAppData/Google/Chrome/Application/Library/។

Gelsevirine គឺជាកម្មវិធីជំនួយសំខាន់នៃការវាយប្រហារ Gelsemium ។ វាប្រើការដំឡើងស្មុគ្រស្មាញក្នុងការទំនាក់ទំនងរបស់វាជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ។ DLL ដែលបានបង្កប់ជាក់លាក់មួយដើរតួជាបុរសនៅកណ្តាលនៅពេលនិយាយអំពីការបង្កើតទំនាក់ទំនង។ លើសពីនេះ ការកំណត់រចនាសម្ព័ន្ធមានភារកិច្ចគ្រប់គ្រងពិធីការផ្សេងៗ - tcp, udp, http, និង https ។ អ្នកស្រាវជ្រាវ Infosec បានសង្កេតឃើញ Gelsevirine ទាញយកកម្មវិធីជំនួយផ្សេងៗ រួមទាំងម៉ូឌុលបង្រួមការបង្ហាប់សម្រាប់ការទំនាក់ទំនង C&C កម្មវិធីជំនួយដើម្បីរៀបចំប្រព័ន្ធឯកសារ និងមួយដែលសម្របសម្រួលការចាក់ DLLs ទៅក្នុងដំណើរការជ្រើសរើស។

ការតភ្ជាប់ Gelsemium បន្ថែម

អ្នកស្រាវជ្រាវបានគ្រប់គ្រងដើម្បីស្វែងរកទំនាក់ទំនងជាក់លាក់រវាងក្រុម Gelsemium APT និងការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ប្រឆាំងនឹង BigNox ។ ពួក Hacker បានសម្របសម្រួលយន្តការអាប់ដេតរបស់ NoxPlayer ដែលជាកម្មវិធីត្រាប់តាម Android សម្រាប់កុំព្យូទ័រ និង Mac ។

OwlProxy គឺជាម៉ូឌុលដែលខូចដែលបង្ហាញអាកប្បកិរិយាជាក់លាក់ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងឧបករណ៍មេរោគ Gelsemium ផងដែរ។ ពិសេសជាងនេះទៅទៀត ការគំរាមកំហែងប្រើប្រាស់វិធីសាស្ត្រស្រដៀងគ្នា ដើម្បីសាកល្បងកំណែ Windows នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ មេរោគ backdoor មួយផ្សេងទៀតដែលមានឈ្មោះថា Chrommme មិនមានការតភ្ជាប់ជាក់ស្តែងដូចគ្នា ប៉ុន្តែសូចនាករមួយចំនួនចង្អុលទៅតំណភ្ជាប់ជាមួយ Gelsemium ។ បន្ទាប់ពីទាំងអស់ Chrommme និង Gelseverine ប្រើម៉ាស៊ីនមេ C&C ដូចគ្នាជាម៉ាស៊ីនមេមួយដែលត្រូវបានប្រើប្រាស់ដោយការគំរាមកំហែង។ លើសពីនេះ គំរូ Chrommme ត្រូវបានគេរកឃើញនៅលើប្រព័ន្ធដែលត្រូវបានកំណត់គោលដៅដោយ Gelsemium ផងដែរ។