ក្រុមហេកអេប៉ុងលោភលន់

អង្គការម៉ិកស៊ិកបន្តប្រឈមមុខនឹងការវាយប្រហារតាមអ៊ីនធឺណិតពីក្រុមដែលជម្រុញផ្នែកហិរញ្ញវត្ថុដែលគេស្គាល់ថាជា Greedy Sponge ដែលកំពុងប្រើប្រាស់វ៉ារ្យ៉ង់ដែលបានកែប្រែនៃ AllaKore RAT និង SystemBC ។ សកម្មតាំងពីដើមឆ្នាំ 2021 យុទ្ធនាការនេះមិនមានការរើសអើងនៅក្នុងជម្រើសនៃគោលដៅរបស់ខ្លួន ដែលប៉ះពាល់ដល់ឧស្សាហកម្មរាប់ចាប់ពីការលក់រាយ កសិកម្ម និងការកម្សាន្ត រហូតដល់ការផលិត ការដឹកជញ្ជូន សេវាសាធារណៈ ទំនិញដើមទុន និងធនាគារ។

AllaKore RAT៖ ឧបករណ៍សម្រាប់ការក្លែងបន្លំផ្នែកហិរញ្ញវត្ថុ

បន្ទុកស្នូល AllaKore RAT ត្រូវបានផ្លាស់ប្តូរយ៉ាងទូលំទូលាយដើម្បីចាប់យកទិន្នន័យហិរញ្ញវត្ថុរសើប។ មេរោគនេះត្រូវបានដាក់កម្មវិធីដើម្បីទាញយកព័ត៌មានសម្ងាត់ធនាគារ និងព័ត៌មានលម្អិតនៃការផ្ទៀងផ្ទាត់តែមួយគត់ទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2) ដែលអនុញ្ញាតឱ្យមានការក្លែងបន្លំហិរញ្ញវត្ថុទ្រង់ទ្រាយធំ។ របាយការណ៍នៃយុទ្ធនាការនេះត្រូវបានបង្ហាញជាលើកដំបូងនៅក្នុងខែមករា ឆ្នាំ 2024 ដោយបង្ហាញថាអ្នកវាយប្រហារពឹងផ្អែកលើការបន្លំ និងការសម្របសម្រួលដោយជំរុញដើម្បីផ្សព្វផ្សាយបណ្ណសារហ្ស៊ីបដែលមានគំនិតអាក្រក់ដែលត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយ AllaKore RAT ។

អ្នកស្រាវជ្រាវបានសង្កេតឃើញថា AllaKore RAT ត្រូវបានគេប្រើជាញឹកញាប់ដើម្បីផ្តល់ SystemBC ដែលជាមេរោគដែលមានមូលដ្ឋានលើ C ដែលបំប្លែងម៉ាស៊ីន Windows ដែលត្រូវបានសម្របសម្រួលទៅជាប្រូកស៊ី SOCKS5 ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវផ្លូវរូងក្រោមដីទំនាក់ទំនងសុវត្ថិភាពទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ C2 របស់ពួកគេ។

យានពាណិជ្ជកម្មចម្រាញ់ និងយុទ្ធសាស្ត្រភូមិសាស្ត្រ

Greedy Sponge បាននិងកំពុងវិវឌ្ឍយុទ្ធសាស្ត្ររបស់វា។ នៅពាក់កណ្តាលឆ្នាំ 2024 ក្រុមនេះបានណែនាំបច្ចេកទេសពង្រឹងភូមិសាស្ត្រដែលមានគោលបំណងរារាំងការវិភាគខាងក្រៅ។ ពីមុន ការត្រួតពិនិត្យភូមិសាស្ត្រត្រូវបានបង្កប់នៅក្នុងកម្មវិធីទាញយក .NET នៅក្នុងឯកសារដំឡើងកម្មវិធី Microsoft Trojanized (MSI) ។ ឥឡូវនេះ ការរឹតបន្តឹងត្រូវបានផ្លាស់ទីទៅផ្នែកខាងម៉ាស៊ីនមេ ដោយធានាថាមានតែជនរងគ្រោះនៅក្នុងតំបន់ម៉ិកស៊ិកគោលដៅប៉ុណ្ណោះដែលទទួលបន្ទុកចុងក្រោយ។

ខ្សែសង្វាក់វាយប្រហារបច្ចុប្បន្ន និងការដឹកជញ្ជូនបន្ទុក

លំដាប់​នៃ​ការ​វាយ​ប្រហារ​ចុង​ក្រោយ​បំផុត​នៅ​តែ​ស្រប​នឹង​យុទ្ធនាការ​មុនៗ។ ឯកសារ ZIP ព្យាបាទដូចជា 'Actualiza_Policy_v01.zip' មានទាំងប្រូកស៊ី Chrome ស្របច្បាប់ដែលអាចប្រតិបត្តិបាន និងកម្មវិធីដំឡើង MSI trojanized ។ MSI នេះត្រូវបានបង្កើតឡើងដើម្បីទម្លាក់ AllaKore RAT ដែលរួមមានសមត្ថភាពដូចជា៖

• ការចាក់សោរ ការថតអេក្រង់ និងការបញ្ជាពីចម្ងាយនៃប្រព័ន្ធមេរោគ
• ការបង្ហោះ និងទាញយកឯកសារទៅ និងពីហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ

ដើម្បីជួយសម្រួលដល់ការឆ្លងមេរោគ MSI ក៏ដាក់ពង្រាយកម្មវិធីទាញយក .NET ដែលទាញយក RAT ពីម៉ាស៊ីនមេខាងក្រៅ (manzisuape.com/amw) រួមជាមួយនឹងស្គ្រីប PowerShell ដែលត្រូវបានរចនាឡើងដើម្បីអនុវត្តប្រតិបត្តិការសម្អាត។

គោលដៅក្នុងតំបន់លើសពីម៉ិកស៊ិក

ខណៈពេលដែលម៉ិកស៊ិកនៅតែជាគោលដៅចម្បង វ៉ារ្យ៉ង់ AllaKore RAT ក៏ត្រូវបានប្រើប្រាស់នៅទូទាំងអាមេរិកឡាទីនផងដែរ។ គួរកត់សម្គាល់ថានៅក្នុងខែឧសភា ឆ្នាំ 2024 វ៉ារ្យ៉ង់ដែលគេស្គាល់ថាជា AllaSenha (aka CarnavalHeist) ត្រូវបានគេសង្កេតឃើញផ្តោតលើស្ថាប័នធនាគារប្រេស៊ីល ដែលដំណើរការដោយអ្នកគំរាមកំហែងដែលមានដើមកំណើតនៅប្រទេសប្រេស៊ីល។

អេប៉ុងលោភលន់៖ ជាប់លាប់ ប៉ុន្តែមិនស្មុគ្រស្មាញ

ថ្វីបើប្រតិបត្តិការរបស់វាជាប់រហូតជាង 4 ឆ្នាំក៏ដោយ អ្នកជំនាញចាត់ថ្នាក់ Greedy Sponge ថាមានប្រសិទ្ធភាព មិនទាន់មានកម្រិតខ្ពស់នៅឡើយ។ ការផ្តោតទៅលើភូមិសាស្ត្រតូចចង្អៀតរបស់ក្រុម និងការស្វែងរកផ្តាច់មុខនៃប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុ សម្គាល់វាពីសត្រូវដែលស្មុគ្រស្មាញជាង។ គំរូហេដ្ឋារចនាសម្ព័ន្ធដែលមិនផ្លាស់ប្តូររបស់ពួកគេ និងភាពជោគជ័យរយៈពេលវែងបង្ហាញថាវិធីសាស្រ្តបច្ចុប្បន្នរបស់ពួកគេមានប្រសិទ្ធភាពជាប់លាប់ ដោយកាត់បន្ថយតម្រូវការសម្រាប់ការផ្លាស់ប្តូរប្រតិបត្តិការសំខាន់ៗ។