IMAPLoader Malware
ក្រុមគំរាមកំហែងតាមអ៊ីនធឺណិត Tortoiseshell ដែលមានទំនាក់ទំនងជាមួយប្រទេសអ៊ីរ៉ង់ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការកើនឡើងថ្មីៗនេះនៅក្នុងការវាយប្រហាររន្ធទឹក។ ការវាយប្រហារទាំងនេះមានគោលបំណងបញ្ចេញមេរោគដែលស្គាល់ថាជា IMAPLoader។
IMAPLoader ដែលត្រូវបានចាត់ថ្នាក់ជាមេរោគ .NET មានសមត្ថភាពក្នុងការបង្ហាញប្រព័ន្ធគោលដៅតាមរយៈឧបករណ៍ Windows ដើម។ មុខងារចម្បងរបស់វាគឺដើម្បីបម្រើជាអ្នកទាញយកសម្រាប់បន្ទុកព្យាបាទបន្ថែម។ មេរោគនេះប្រើប្រាស់អ៊ីមែលជាបណ្តាញ Command-and-Control (C2, C&C) ដែលអាចឱ្យវាដំណើរការបន្ទុកដែលបានទាញយកពីឯកសារភ្ជាប់អ៊ីមែល។ លើសពីនេះ វាចាប់ផ្តើមប្រតិបត្តិតាមរយៈការដាក់ពង្រាយសេវាកម្មថ្មី។
Tortoiseshell គឺជាតួអង្គគំរាមកំហែងដែលទាក់ទងនឹងយុទ្ធនាការវាយប្រហារជាច្រើន
ដំណើរការតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2018 Tortoiseshell មានកំណត់ត្រានៃការប្រើការសម្របសម្រួលជាយុទ្ធសាស្ត្រនៃគេហទំព័រ ដើម្បីជួយសម្រួលដល់ការចែកចាយមេរោគ។ នៅដើមឆ្នាំ 2023 អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណក្រុមនេះថាជាអ្នកទទួលខុសត្រូវចំពោះការរំលោភលើគេហទំព័រចំនួនប្រាំបីដែលភ្ជាប់ទៅនឹងក្រុមហ៊ុនដឹកជញ្ជូន ដឹកជញ្ជូន និងសេវាកម្មហិរញ្ញវត្ថុនៅក្នុងប្រទេសអ៊ីស្រាអែល។
តួអង្គគំរាមកំហែងនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងកងឆ្មាំបដិវត្តន៍អ៊ីស្លាម (IRGC)។ គាត់ត្រូវបានទទួលស្គាល់ដោយសហគមន៍សន្តិសុខតាមអ៊ីនធឺណិតដោយឈ្មោះផ្សេងៗគ្នា រួមមាន Crimson Sandstorm (ពីមុន Curium), Imperial Kitten, TA456 និង Yellow Liderc។
នៅក្នុងរលកនៃការវាយប្រហារនាពេលថ្មីៗនេះ ដែលលាតសន្ធឹងពីឆ្នាំ 2022 ដល់ឆ្នាំ 2023 ក្រុមនេះបានប្រើប្រាស់យុទ្ធសាស្ត្រនៃការបង្កប់ JavaScript ដែលគំរាមកំហែងដល់គេហទំព័រស្របច្បាប់ដែលត្រូវបានសម្របសម្រួល។ វិធីសាស្រ្តនេះមានគោលបំណងប្រមូលព័ត៌មានលំអិតអំពីអ្នកទស្សនា គ្របដណ្តប់ទីតាំង ព័ត៌មានលម្អិតឧបករណ៍ និងពេលវេលានៃការចូលមើលរបស់ពួកគេ។
គោលដៅជាក់លាក់នៃការឈ្លានពានទាំងនេះគឺផ្នែកដែនសមុទ្រ ការដឹកជញ្ជូន និងការដឹកជញ្ជូននៅក្នុងតំបន់មេឌីទែរ៉ាណេ។ ក្នុងករណីខ្លះ ការវាយប្រហារទាំងនេះនាំទៅដល់ការដាក់ពង្រាយ IMAPLoader ជាបន្ទុកបន្តបន្ទាប់ ជាពិសេសនៅពេលដែលជនរងគ្រោះត្រូវបានចាត់ទុកថាជាគោលដៅមានតម្លៃខ្ពស់។
IMAPLoader Malware គឺជាសមាសធាតុសំខាន់មួយនៅក្នុងខ្សែសង្វាក់វាយប្រហារពហុដំណាក់កាល
IMAPLoader ត្រូវបានគេនិយាយថាជាការជំនួសសម្រាប់ IMAP implant Tortoiseshell ដែលមានមូលដ្ឋានលើ Python ដែលធ្លាប់ប្រើពីមុននៅចុងឆ្នាំ 2021 និងដើមឆ្នាំ 2022 ដោយសារភាពស្រដៀងគ្នានៃមុខងារ។ មេរោគនេះដើរតួនាទីជាអ្នកទាញយកសម្រាប់បន្ទុកដំណាក់កាលបន្ទាប់ដោយសួរគណនីអ៊ីមែល IMAP ដែលមានកូដរឹង ជាពិសេសពិនិត្យមើលថតប្រអប់សំបុត្រដែលមានអក្ខរាវិរុទ្ធខុសថាជា 'ទទួល' ដើម្បីទាញយកឯកសារដែលអាចប្រតិបត្តិបានពីឯកសារភ្ជាប់សារ។
នៅក្នុងខ្សែសង្វាក់វាយប្រហារជំនួស ឯកសារបញ្ឆោត Microsoft Excel ត្រូវបានប្រើជាវ៉ិចទ័រដំបូងដើម្បីចាប់ផ្តើមដំណើរការពហុដំណាក់កាល ដើម្បីផ្តល់ និងប្រតិបត្តិ IMAPLoader ដែលបង្ហាញថាអ្នកគំរាមកំហែងកំពុងប្រើយុទ្ធសាស្ត្រ និងបច្ចេកទេសជាច្រើនដើម្បីសម្រេចបាននូវគោលដៅយុទ្ធសាស្ត្ររបស់វា។
អ្នកស្រាវជ្រាវក៏បានរកឃើញគេហទំព័របន្លំដែលបង្កើតដោយ Tortoiseshell ដែលមួយចំនួនមានគោលបំណងក្នុងវិស័យទេសចរណ៍ និងបដិសណ្ឋារកិច្ចក្នុងទ្វីបអឺរ៉ុប ដើម្បីធ្វើការប្រមូលព័ត៌មានសម្ងាត់ដោយប្រើទំព័រចូល Microsoft ក្លែងក្លាយ។
តួអង្គគំរាមកំហែងនេះនៅតែជាការគំរាមកំហែងយ៉ាងសកម្ម និងជាប់លាប់ចំពោះឧស្សាហកម្ម និងប្រទេសជាច្រើន រួមទាំងវិស័យដែនសមុទ្រ ការដឹកជញ្ជូន និងការដឹកជញ្ជូននៅក្នុងសមុទ្រមេឌីទែរ៉ាណេ។ ឧស្សាហកម្មនុយក្លេអ៊ែរ លំហអាកាស និងវិស័យការពារជាតិនៅសហរដ្ឋអាមេរិក និងអឺរ៉ុប និងអ្នកផ្តល់សេវាដែលគ្រប់គ្រងដោយ IT នៅមជ្ឈិមបូព៌ា។ ការអាប់ដេតជាញឹកញាប់រួមមានការជួសជុលសំខាន់ៗសម្រាប់ភាពងាយរងគ្រោះដែលអាចត្រូវបានកេងប្រវ័ញ្ចដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ ការធ្វើឱ្យទាន់សម័យដោយស្វ័យប្រវត្តិមានសុពលភាពគឺជាមធ្យោបាយងាយស្រួលមួយដើម្បីធានាថាឧបករណ៍របស់អ្នកត្រូវបានពង្រឹងប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងកើតឡើង។
