ហ៊ីហ្គាសា APT
Higaisa APT (Advanced Persistent Threat) គឺជាក្រុម hacking ដែលទំនងជាមានប្រភពមកពីឧបទ្វីបកូរ៉េ។ ក្រុមការលួចចូល Higaisa ត្រូវបានសិក្សាយ៉ាងទូលំទូលាយជាលើកដំបូងក្នុងឆ្នាំ 2019។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកវិភាគមេរោគជឿថា Higaisa APT បានចាប់ផ្តើមដំណើរការដំបូងក្នុងឆ្នាំ 2016 ប៉ុន្តែបានគ្រប់គ្រងដើម្បីជៀសវាងការទាក់ទាញចំណាប់អារម្មណ៍របស់អ្នកជំនាញក្នុងវិស័យសន្តិសុខតាមអ៊ីនធឺណិតរហូតដល់ឆ្នាំ 2019 ។ Higaisa APT ហាក់ដូចជាប្រើប្រាស់ទាំងពីរ។ ឧបករណ៍លួចចូលដែលផលិតដោយខ្លួនឯង ក៏ដូចជាការគំរាមកំហែងដែលមានជាសាធារណៈដ៏ពេញនិយមដូចជា PlugX RAT (Trojan ការចូលប្រើពីចម្ងាយ) និង Gh0st RAT ។
ក្រុម hacking Higaisa មានទំនោរពឹងផ្អែកជាចម្បងលើយុទ្ធនាការអ៊ីម៉ែល spear-phishing ដើម្បីចែកចាយមេរោគ។ យោងតាមក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ នៅក្នុងប្រតិបត្តិការចុងក្រោយបំផុតមួយរបស់ Higaisa APT វ៉ិចទ័រឆ្លងដែលត្រូវបានប្រើប្រាស់គឺជាឯកសារ .LNK ព្យាបាទ។ ឯកសារ .LNK ពីយុទ្ធនាការចុងក្រោយរបស់ពួកគេត្រូវបានបិទបាំងជាឯកសារដែលមិនបង្កគ្រោះថ្នាក់ដូចជា លទ្ធផលប្រឡង ប្រវត្តិរូបសង្ខេប ការផ្តល់ជូនការងារជាដើម។ កាលពីដើមឆ្នាំនេះ ក្រុមលួចចូល Higaisa បានប្រើអ៊ីមែលដែលទាក់ទងនឹង COVID-19 ដើម្បីផ្សព្វផ្សាយឯកសារ .LNK ដែលខូចទៅកាន់គោលដៅរបស់ពួកគេ។
ប្រសិនបើអ្នកប្រើត្រូវបានបោកបញ្ឆោតដោយ Higaisa APT ហើយបើកឯកសារដែលខូច ពួកគេប្រហែលជាមិនកត់សំគាល់អ្វីខុសពីធម្មតាទេ។ នេះគឺដោយសារតែក្រុមលួចចូលប្រើឯកសារបញ្ឆោតដែលនឹងរក្សាការចាប់អារម្មណ៍របស់អ្នកប្រើប្រាស់ និងការពារពួកគេមិនឱ្យកត់សំគាល់ថាប្រព័ន្ធរបស់ពួកគេត្រូវបានរំលោភបំពាន។ ឯកសារ .LNK ព្យាបាទមានបញ្ជីពាក្យបញ្ជា ដែលវានឹងដំណើរការដោយស្ងៀមស្ងាត់ក្នុងផ្ទៃខាងក្រោយ។ បញ្ជីពាក្យបញ្ជានឹងអនុញ្ញាតឱ្យមានការគំរាមកំហែងដល់៖
- ដាំឯកសាររបស់វានៅក្នុងថត %APPDATA% នៅលើម៉ាស៊ីនដែលសម្របសម្រួល។
- ឌិគ្រីប និងបង្រួមទិន្នន័យពីឯកសារ LNK ។
- ដាំឯកសារ JavaScript នៅក្នុងថតឯកសារ 'ទាញយក' នៃប្រព័ន្ធមេរោគ ហើយបន្ទាប់មកប្រតិបត្តិវា។
បន្ទាប់មក ឯកសារ JavaScript នឹងធ្វើឱ្យប្រាកដថា វាដំណើរការសំណុំនៃពាក្យបញ្ជា ដែលនឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានទិន្នន័យទាក់ទងនឹងម៉ាស៊ីនដែលមានមេរោគ និងការកំណត់បណ្តាញរបស់វា។ បន្ទាប់មក ឯកសារមួយក្នុងចំណោមឯកសារដែលត្រូវបានពន្លាចេញពីឯកសារ .LNK ព្យាបាទនឹងត្រូវបានប្រតិបត្តិ។ ឯកសារ JavaScript ដែលស្ថិតក្នុងសំណួរក៏នឹងធ្វើឱ្យប្រាកដថាការគំរាមកំហែងទទួលបានភាពស្ថិតស្ថេរនៅលើម៉ាស៊ីន ដូច្នេះវានឹងត្រូវបានប្រតិបត្តិនៅពេលចាប់ផ្ដើមឡើងវិញ។
ដើម្បីការពារប្រព័ន្ធរបស់អ្នកពីការវាយប្រហារតាមអ៊ីនធឺណិត វាត្រូវបានណែនាំឱ្យវិនិយោគលើកម្មវិធី antivi-rus ទំនើបល្បីឈ្មោះ។