កាមីកាកាបូត

រលកថ្មីនៃការវាយប្រហារតាមអ៊ីនធឺណេតត្រូវបានរកឃើញ ដោយផ្តោតលើស្ថាប័នរដ្ឋាភិបាល និងយោធានៅក្នុងប្រទេសអាស៊ីអាគ្នេយ៍។ ការវាយប្រហារទាំងនេះត្រូវបានសន្មតថាជាក្រុម Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat) ដែលត្រូវបានគេស្គាល់ថា Saaiwc។ ក្នុងចំណោមឧបករណ៍ផ្ទាល់ខ្លួនដែលប្រើដោយ Dark Pink គឺ TelePowerBot និង KamiKakaBot ដែលអនុញ្ញាតឱ្យក្រុមប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងលួចទិន្នន័យរសើបពីឧបករណ៍ដែលមានមេរោគ។

Dark Pink ត្រូវបានគេជឿថាមានប្រភពមកពីតំបន់អាស៊ីប៉ាស៊ីហ្វិក ហើយបានសកម្មតាំងពីពាក់កណ្តាលឆ្នាំ 2021។ ទោះជាយ៉ាងណាក៏ដោយ សកម្មភាពរបស់វាបានកើនឡើងនៅឆ្នាំ 2022 និង 2023 ដូចដែលបានបង្ហាញដោយការវាយប្រហារនាពេលថ្មីៗនេះលើអង្គភាពរដ្ឋាភិបាល និងយោធានៅក្នុងតំបន់អាស៊ីអាគ្នេយ៍។ ការប្រើប្រាស់មេរោគស្មុគ្រស្មាញដូចជា KamiKakaBot គូសបញ្ជាក់សមត្ថភាព និងការប្តេជ្ញាចិត្តរបស់ក្រុមដើម្បីសម្រេចបាននូវគោលបំណងរបស់វា។ ការវាយប្រហារទាំងនេះបង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់សន្តិសុខជាតិ និងបញ្ជាក់ពីតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ និងវិធានការសកម្ម ដើម្បីកាត់បន្ថយហានិភ័យនៃការវាយប្រហារតាមអ៊ីនធឺណិត។

ពួក Hacker ប្រើល្បិចបន្លំ និងឯកសារបោកប្រាស់

យោងតាមរបាយការណ៍ថ្មីៗនេះពីក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត EclecticIQ របស់ប្រទេសហូឡង់ ការវាយប្រហារថ្មីមួយត្រូវបានរកឃើញនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2023 ដែលប្រហាក់ប្រហែលនឹងការវាយប្រហារពីមុន។ ទោះយ៉ាងណាក៏ដោយ មានភាពខុសប្លែកគ្នាដ៏សំខាន់មួយនៅក្នុងយុទ្ធនាការនេះ - ទម្លាប់នៃការរំខានរបស់មេរោគត្រូវបានកែលម្អ ដើម្បីជៀសវាងការរកឃើញដោយវិធានការប្រឆាំងនឹងមេរោគ។

ការវាយប្រហារធ្វើតាមយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដែលពាក់ព័ន្ធនឹងការផ្ញើសារអ៊ីមែលដែលមានឯកសារភ្ជាប់រូបភាព ISO ទៅកាន់គោលដៅដែលមិនគួរឱ្យសង្ស័យ។ ឯកសាររូបភាពអាយអេសអូមានសមាសធាតុបី៖ ដែលអាចប្រតិបត្តិបាន (Winword.exe) កម្មវិធីផ្ទុកឯកសារ (MSVCR100.dll) និងឯកសារ Microsoft Word ដែលអាចបញ្ឆោតបាន។ ឯកសារ Word គឺជាការរំខានមួយ ខណៈពេលដែលកម្មវិធីផ្ទុកទិន្នន័យទទួលខុសត្រូវក្នុងការផ្ទុកមេរោគ KamiKakaBot ។

ដើម្បីគេចពីការការពារសុវត្ថិភាព កម្មវិធីផ្ទុកទិន្នន័យប្រើវិធីសាស្ត្រផ្ទុកចំហៀងរបស់ DLL ដើម្បីផ្ទុក KamiKakaBot ទៅក្នុងអង្គចងចាំរបស់ប្រព័ន្ធគោលពីរ Winword.exe ។ វិធីសាស្ត្រនេះអនុញ្ញាតឱ្យមេរោគឆ្លងផុតវិធានការសុវត្ថិភាព ដែលនឹងរារាំងវាពីការប្រតិបត្តិ។

KamiKakaBot អាចលួចព័ត៌មានរសើបពីឧបករណ៍ដែលបំពាន

KamiKakaBot គឺជាកម្មវិធីព្យាបាទដែលត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូលកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងលួចទិន្នន័យរសើប។ មេរោគនេះក៏អាចដំណើរការកូដពីចម្ងាយដោយប្រើ Command Prompt (cmd.exe) ផងដែរ។ ដើម្បីគេចពីការរកឃើញ មេរោគនេះរួមបញ្ចូលនូវបច្ចេកទេសទំនើបៗ ដើម្បីបញ្ចូលគ្នាជាមួយបរិស្ថានរបស់ជនរងគ្រោះ និងជៀសវាងការរកឃើញ។

នៅពេលដែលម៉ាស៊ីនមួយត្រូវបានសម្របសម្រួល មេរោគបង្កើតការជាប់លាប់ដោយបំពានបណ្ណាល័យ Winlogon Helper ដើម្បីធ្វើការកែប្រែព្យាបាទចំពោះសោចុះបញ្ជីវីនដូ។ នេះអនុញ្ញាតឱ្យមេរោគនៅតែមិនអាចរកឃើញ ហើយបន្តធ្វើសកម្មភាពព្យាបាទរបស់វា។ ទិន្នន័យដែលលួចត្រូវបានផ្ញើទៅកាន់ Telegram bot ជាបណ្ណសារហ្ស៊ីប។

យោងតាមអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត ការប្រើប្រាស់សេវាកម្មគេហទំព័រស្របច្បាប់ដូចជា Telegram ជាម៉ាស៊ីនមេ Command-and-Control (C2, C&C) គឺជាយុទ្ធសាស្ត្រទូទៅដែលប្រើដោយអ្នកគំរាមកំហែង។ វិធីសាស្រ្តនេះធ្វើឱ្យវាកាន់តែពិបាកក្នុងការស្វែងរក និងបិទមេរោគ ដោយសារចរាចរណ៍ហាក់ដូចជាការទំនាក់ទំនងស្របច្បាប់ជាមួយសេវាកម្មគេហទំព័រ។ យុទ្ធសាស្ត្រទាំងនេះត្រូវបានប្រើប្រាស់មិនត្រឹមតែដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតធម្មតាប៉ុណ្ណោះទេ ប៉ុន្តែក៏ត្រូវបានប្រើប្រាស់ដោយអ្នកគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ផងដែរ។

ដោយសារការបង្កើនភាពស្មុគ្រស្មាញនៃការវាយប្រហារទាំងនេះ វាមានសារៈសំខាន់ណាស់សម្រាប់អង្គការនានាក្នុងការចាត់វិធានការយ៉ាងសកម្មដើម្បីការពារការវាយប្រហារតាមអ៊ីនធឺណិត។ នេះរួមបញ្ចូលទាំងការអនុវត្តវិធានការសុវត្ថិភាពដ៏រឹងមាំដើម្បីការពារប្រឆាំងនឹងមេរោគ ការរក្សាកម្មវិធីឱ្យទាន់សម័យ និងអប់រំបុគ្គលិកអំពីរបៀបកំណត់អត្តសញ្ញាណ និងជៀសវាងការវាយប្រហារដោយបន្លំ។