GhostSpider Backdoor
ក្រុមចារកម្មអ៊ីនធឺណេតដែលភ្ជាប់ជាមួយប្រទេសចិនដ៏ស្មុគ្រស្មាញដែលគេស្គាល់ថាជា Earth Estries បាននិងកំពុងកំណត់គោលដៅទូរគមនាគមន៍ និងអង្គភាពរដ្ឋាភិបាលនៅទូទាំងអាស៊ីអាគ្នេយ៍ និងលើសពីនេះ។ ក្រុមនេះបានប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់ជាច្រើនដើម្បីជ្រៀតចូលទៅក្នុងឧស្សាហកម្មសំខាន់ៗ រួមទាំងការប្រើប្រាស់ backdoor ដែលគ្មានឯកសារដែលមានឈ្មោះថា GhostSpider ។ តួអង្គគម្រាមកំហែងនេះក៏ត្រូវបានគេសង្កេតឃើញថាកំពុងកេងប្រវ័ញ្ចភាពងាយរងគ្រោះជាច្រើនដើម្បីទទួលបានការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតទៅកាន់គោលដៅរបស់ខ្លួន ដោយបង្ហាញពីភាពទំនើបនៃសមត្ថភាពអ៊ីនធឺណេតរបស់ចិន។
តារាងមាតិកា
GhostSpider: The Undocumented Backdoor
GhostSpider ដែលជាការបន្ថែមថ្មីទៅក្នុងឃ្លាំងអាវុធរបស់ Earth Estries ត្រូវបានគេប្រើជាវិធីសាស្រ្តចម្បងក្នុងការជ្រៀតចូលបណ្តាញ។ Backdoor នេះគឺត្រូវបានកំណត់គោលដៅយ៉ាងខ្ពស់ជាពិសេសបង្កើតឡើងដើម្បីទាញយកចំណុចខ្សោយក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុនទូរគមនាគមន៍អាស៊ីអាគ្នេយ៍។ Earth Estries ប្រើឧបករណ៍នេះរួមជាមួយ MASOL RAT (ត្រូវបានគេស្គាល់ថា Backdr-NQ) មួយផ្សេងទៀត ដើម្បីកំណត់គោលដៅទាំងប្រព័ន្ធបណ្តាញលីនុច និងរដ្ឋាភិបាល។ យុទ្ធសាស្ត្ររបស់ក្រុមនៃការប្រើប្រាស់មេរោគដែលបង្កើតដោយខ្លួនឯងធានានូវវត្តមានជាប់លាប់នៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល ដោយអនុញ្ញាតឱ្យមានចារកម្មតាមអ៊ីនធឺណិតរយៈពេលវែង។
ការឈានដល់ជាសកល៖ កំណត់គោលដៅលើវិស័យជាច្រើន។
Earth Estries បានបោះជំហានយ៉ាងសំខាន់ក្នុងការសម្របសម្រួលវិស័យជាច្រើន រួមទាំងទូរគមនាគមន៍ បច្ចេកវិទ្យា ប្រឹក្សាយោបល់ ការដឹកជញ្ជូន ឧស្សាហកម្មគីមី និងអង្គការរដ្ឋាភិបាល។ ប្រតិបត្តិការរបស់ក្រុមនេះ លាតសន្ធឹងលើជនរងគ្រោះជាង 20 នាក់នៅទូទាំងប្រទេសជាងដប់ រួមទាំងអាហ្វហ្គានីស្ថាន ប្រេស៊ីល ឥណ្ឌា ឥណ្ឌូនេស៊ី ម៉ាឡេស៊ី អាហ្រ្វិកខាងត្បូង សហរដ្ឋអាមេរិក និងវៀតណាម។ ការកំណត់គោលដៅទូលំទូលាយនេះគូសបញ្ជាក់អំពីសមត្ថភាព និងមហិច្ឆតារបស់ក្រុម ដោយមានជនរងគ្រោះប្រមាណ 150 នាក់ដែលរងផលប៉ះពាល់ដោយសកម្មភាពរបស់ពួកគេ ជាពិសេសនៅក្នុងរដ្ឋាភិបាល និងវិស័យឯកជនរបស់សហរដ្ឋអាមេរិក។
ឧបករណ៍នៃ Estries ផែនដី
ក្នុងចំណោមឧបករណ៍ជាច្រើននៅក្នុងការចោលរបស់ The Earth Estries, Demodex rootkit និង Deed RAT (ត្រូវបានគេស្គាល់ផងដែរថាជា SNAPPYBEE) លេចធ្លោ។ ឧបករណ៍ទាំងនេះ រួមជាមួយនឹងឧបករណ៍ផ្សេងទៀតដូចជា Crowdoor និង TrillClient គឺរួមបញ្ចូលជាមួយប្រតិបត្តិការរបស់ក្រុម។ ShadowPad ដែលជាគ្រួសារមេរោគដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយដោយក្រុម APT របស់ចិន ត្រូវបានគេជឿថាបានជះឥទ្ធិពលលើការអភិវឌ្ឍន៍ Deed RAT ដែលជាអ្នកស្នងតំណែង។ អ្នកលួចព័ត៌មាន និងអ្នកលួចព័ត៌មានដ៏ទំនើបទាំងនេះអនុញ្ញាតឱ្យ The Earth Estries នៅតែលាក់កំបាំង ខណៈពេលដែលការទាញយកព័ត៌មានរសើបចេញពីគោលដៅរបស់ពួកគេ។
ការទាញយកភាពងាយរងគ្រោះសម្រាប់ការចូលប្រើដំបូង
ដើម្បីទទួលបានការចូលទៅកាន់គោលដៅរបស់វា Earth Estries ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើភាពងាយរងគ្រោះ N-day ដែលជាគុណវិបត្តិនៃកម្មវិធីដែលត្រូវបានបង្ហាញជាសាធារណៈ ប៉ុន្តែមិនទាន់បានជួសជុលដោយអ្នកប្រើប្រាស់នៅឡើយ។ ភាពងាយរងគ្រោះដែលត្រូវបានកេងប្រវ័ញ្ចជាទូទៅបំផុតមួយចំនួនរួមមាននៅក្នុង Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall និង Microsoft Exchange Server ។ នៅពេលដែលភាពងាយរងគ្រោះទាំងនេះត្រូវបានកេងប្រវ័ញ្ច នោះ Earth Estries បានដាក់ពង្រាយមេរោគផ្ទាល់ខ្លួនរបស់វា ដោយបញ្ចូលខ្លួនវាទៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួលបន្ថែមទៀតសម្រាប់ការឃ្លាំមើលរយៈពេលវែង និងការប្រមូលទិន្នន័យ។
ក្រុមស្មុគស្មាញ និងរៀបចំបានល្អ
Earth Estries ដំណើរការជាមួយនឹងវិធីសាស្រ្តដែលមានរចនាសម្ព័ន្ធ និងរៀបចំខ្ពស់។ ដោយផ្អែកលើការវិភាគនៃយុទ្ធនាការជាច្រើន វាបង្ហាញថាក្រុមផ្សេងៗគ្នានៅក្នុងក្រុមទទួលខុសត្រូវក្នុងការកំណត់គោលដៅតំបន់ និងឧស្សាហកម្មជាក់លាក់។ ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់ក្រុមក៏ត្រូវបានវិមជ្ឈការផងដែរ ដោយក្រុមផ្សេងគ្នាគ្រប់គ្រងប្រតិបត្តិការ backdoor ផ្សេងៗគ្នា។ ការបែងចែកនេះអនុញ្ញាតឱ្យមានការវាយប្រហារជាបន្តបន្ទាប់ដែលស្មុគ្រស្មាញ និងសម្របសម្រួលជាងនៅទូទាំងផ្នែកផ្សេងៗ។
GhostSpider៖ ការផ្សាំពហុម៉ូឌុល
បេះដូងនៃប្រតិបត្តិការរបស់ Earth Estries គឺការផ្សាំ GhostSpider ។ ឧបករណ៍ស្មុគ្រស្មាញនេះទាក់ទងជាមួយហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារតាមរយៈពិធីការផ្ទាល់ខ្លួនដែលធានាដោយ Transport Layer Security (TLS) ។ ឧបករណ៍ផ្សាំអាចទាញយកម៉ូឌុលបន្ថែមតាមតម្រូវការ ដោយពង្រីកមុខងាររបស់វា។ ភាពបត់បែនរបស់វាធ្វើឱ្យវាក្លាយជាឧបករណ៍ដ៏មានអានុភាពសម្រាប់ចារកម្មតាមអ៊ីនធឺណិតរយៈពេលវែង ដែលអនុញ្ញាតឱ្យ Earth Estries សម្របខ្លួន និងវិវឌ្ឍប្រតិបត្តិការរបស់ខ្លួនតាមស្ថានភាពទាមទារ។
យុទ្ធសាស្ត្របំបាំងកាយ និងគេចវេស
Earth Estries ប្រើបច្ចេកទេសបំបាំងកាយជាច្រើន ដើម្បីជៀសវាងការរកឃើញ។ ក្រុមចាប់ផ្តើមការវាយប្រហាររបស់ខ្លួននៅឧបករណ៍គែម ដោយពង្រីកបន្តិចម្តងៗចូលទៅក្នុងបរិយាកាសពពក ដែលធ្វើឱ្យវាពិបាកក្នុងការរកឃើញវត្តមានរបស់វា។ ដោយរក្សាទម្រង់ទាប និងលាក់ខ្លួននៅពីក្រោយស្រទាប់នៃហេដ្ឋារចនាសម្ព័ន្ធ Earth Estries ធានាថាសកម្មភាពរបស់វាមិនអាចរកឃើញក្នុងរយៈពេលវែង ដែលអនុញ្ញាតឱ្យមានការប្រមូលទិន្នន័យដោយគ្មានការរំខាន។
ក្រុមហ៊ុនទូរគមនាគមន៍៖ ជាគោលដៅញឹកញាប់
ក្រុមហ៊ុនទូរគមនាគមន៍បានក្លាយជាគោលដៅចម្បងសម្រាប់ក្រុមគំរាមកំហែងតាមអ៊ីនធឺណិតដែលភ្ជាប់ជាមួយប្រទេសចិនជាយូរមកហើយ ដោយ Earth Estries ចូលរួមជាមួយក្រុមផ្សេងទៀតដូចជា Granite Typhoon និង Liminal Panda ជាដើម។ ការវាយប្រហារទាំងនេះបង្ហាញពីភាពចាស់ទុំនៃកម្មវិធីអ៊ីនធឺណេតរបស់ប្រទេសចិន ដែលបានផ្លាស់ប្តូរពីការវាយប្រហារតែម្តងទៅការប្រមូលទិន្នន័យច្រើន និងយុទ្ធនាការប្រកបដោយនិរន្តរភាពដែលសំដៅទៅលើអ្នកផ្តល់សេវាសំខាន់ៗ។ Earth Estries ផ្តោតលើអ្នកផ្តល់សេវាគ្រប់គ្រង (MSPs) អ្នកផ្តល់សេវាអ៊ីនធឺណិត (ISPs) និងអ្នកផ្តល់វេទិកាបង្ហាញពីការផ្លាស់ប្តូរយុទ្ធសាស្រ្តរបស់ប្រទេសចិនដើម្បីទទួលបានការចូលដំណើរការជាបន្តបន្ទាប់ទៅកាន់បណ្តាញទំនាក់ទំនងសកល។
សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងចារកម្មតាមអ៊ីនធឺណិតដែលកំពុងកើនឡើង
នៅពេលដែល Earth Estries បន្តពង្រីកប្រតិបត្តិការរបស់ខ្លួន វាបង្ហាញពីសមត្ថភាពកើនឡើងនៃក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលភ្ជាប់ជាមួយប្រទេសចិន។ ការប្រើប្រាស់មេរោគដ៏ទំនើប រួមផ្សំជាមួយនឹងការផ្តោតទៅលើផ្នែកហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ បង្ហាញពីការគំរាមកំហែងដែលរៀបចំបានល្អ និងវិវត្ត។ សម្រាប់អង្គការនៅក្នុងតំបន់ដែលរងផលប៉ះពាល់ តម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ និងវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏រឹងមាំ គឺមិនដែលមានការរិះគន់ខ្លាំងជាងនេះទេ។
GhostSpider Backdoor វីដេអូ
គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់ ។
