LazyScripter APT

អ្នកស្រាវជ្រាវ Infosec ជឿថាពួកគេបានគ្រប់គ្រងដាច់ដោយឡែកពីគ្នានូវសកម្មភាពរបស់ក្រុម APT (Advanced Persistent Threat) ដែលពួកគេបានដាក់ឈ្មោះថា LazyScript ។ វាត្រូវតែត្រូវបានកត់សម្គាល់ថា LazyScript ចែករំលែកភាពស្រដៀងគ្នាជាច្រើនជាមួយក្រុម APT ដែលបានបង្កើតឡើងរួចហើយ ភាគច្រើនមកពីមជ្ឈិមបូព៌ា។ ឧទាហរណ៍ ទាំង LazyScript និង MuddyWater ត្រូវបានគេសង្កេតឃើញថាកំពុងប្រើប្រាស់ឧបករណ៍មេរោគ Empire និង Koadic, PowerShell និង GitHub ជាឃ្លាំងផ្ទុកបន្ទុក។ ក្រុមដែលមានមូលដ្ឋាននៅរុស្ស៊ីដែលគេស្គាល់ថា APT28 (ហៅកាត់ថា FancyBear) ក៏បានប្រើប្រាស់មេរោគ Koadic នាពេលកន្លងមកផងដែរ។ លើសពីនេះ វិធីសាស្រ្តដែលប្រើដោយ LazyScript ដើម្បីបំប្លែងស្គ្រីប PowerShell ទៅជាឯកសារដែលអាចប្រតិបត្តិបានគឺដូចគ្នាទៅនឹង OilRig APT ដែរ។

មានទិដ្ឋភាពពិសេសគ្រប់គ្រាន់អំពី LazyScript ដើម្បីបង្ហាញអំពីភាពត្រឹមត្រូវនៃការបង្កើតពួកវាជាអង្គភាពដាច់ដោយឡែកមួយ។ ក្រុមនេះហាក់ដូចជាមានការកំណត់គោលដៅតូចចង្អៀតបំផុត - សមាគមដឹកជញ្ជូនផ្លូវអាកាសអន្តរជាតិ (IATA) ប្រតិបត្តិករក្រុមហ៊ុនអាកាសចរណ៍ជាច្រើនផ្សេងទៀត និងបុគ្គលដែលត្រូវបានជ្រើសរើសដែលប្រហែលជាគ្រោងនឹងផ្លាស់ទៅប្រទេសកាណាដាជាផ្នែកនៃកម្មវិធីដែលទាក់ទងនឹងការងាររបស់រដ្ឋាភិបាល។ គោលបំណងរបស់ពួក Hacker គឺដើម្បីទទួលបានព័ត៌មានរសើបពីជនរងគ្រោះរបស់ពួកគេ ដែលបន្ទាប់មកអាចត្រូវបានបំពាក់ដោយអាវុធទាំងផ្នែកនៃសកម្មភាពបច្ចុប្បន្ន និងប្រតិបត្តិការនាពេលអនាគត។ លក្ខណៈមួយទៀតដែលកំណត់ LazyScript ដាច់ពីគ្នាគឺភាពស្មុគ្រស្មាញទាបជាងនៅក្នុងឧបករណ៍មេរោគ បើប្រៀបធៀបទៅនឹងក្រុម ATP ផ្សេងទៀត។ ជាការពិតណាស់ ឃ្លាំងអាវុធគំរាមកំហែងរបស់ LazyScript ហាក់ដូចជាត្រូវបានរួមបញ្ចូលភាគច្រើននៃប្រភពបើកចំហ ឬឧបករណ៍ចូលប្រើពីចម្ងាយដែលអាចរកបានដោយពាណិជ្ជកម្មដោយគ្មានការគំរាមកំហែង RAT ដែលផលិតតាមបំណងណាមួយឡើយ។ រហូតមកដល់ពេលនេះ LazyScript បាននិងកំពុងពឹងផ្អែកលើការគំរាមកំហែងមេរោគដូចខាងក្រោម៖

  • Octopus - ប្រភពបើកចំហរ Windows RAT ដែលអាចប្រមូលផល និងស្រង់ទិន្នន័យ បង្កើតទម្លាប់ឈ្លបយកការណ៍ និងធ្វើទម្រង់ប្រព័ន្ធ។
  • Koadic - ឧបករណ៍ប្រភពបើកចំហដែលប្រើសម្រាប់ការធ្វើតេស្តជ្រៀតចូល ចែកចាយបន្ទុក និងបង្កើតការផ្សាំ។
  • LuminosityLink - RAT ប្រើសម្រាប់ការគ្រប់គ្រងពីចម្ងាយលើប្រព័ន្ធមេរោគ និងសកម្មភាពចារកម្ម
  • Remcos - RAT ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើតការគ្រប់គ្រងពេញលេញលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល
  • KOCTUPUS - កម្មវិធីផ្ទុកការគំរាមកំហែងដែលមានភារកិច្ចចាប់ផ្តើម PowerShell Empire នៅលើឧបករណ៍ដែលមានមេរោគ។

ការវាយប្រហាររបស់ LazyScript ចាប់ផ្តើមជាមួយនឹងការផ្សព្វផ្សាយអ៊ីមែល spam ដែលមានការបញ្ឆោតបញ្ឆោតដល់បុគ្គលដែលចាប់អារម្មណ៍។ អ៊ីមែលបន្លំអាចប្រើសេណារីយ៉ូផ្សេងៗគ្នាជាច្រើនដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទាញចំណាប់អារម្មណ៍របស់ជនរងគ្រោះ។ ប្រធានបទដែលប្រើច្រើនបំផុតត្រូវបានភ្ជាប់យ៉ាងជិតស្និទ្ធទៅនឹងគោលដៅរបស់អ្នកលួចចូល - IATA ក្រុមហ៊ុនអាកាសចរណ៍ និងការធ្វើដំណើរទៅកាន់ប្រទេសកាណាដាជាផ្នែកនៃកម្មវិធីដែលទាក់ទងនឹងការងារ។ ពួក Hacker ក៏បានប្រើនុយដែលភ្ជាប់ទៅនឹងសេវាកម្មទូទាត់ហិរញ្ញវត្ថុដែលមានឈ្មោះថា BSPLink, COVID-19, ការអាប់ដេតរបស់ Microsoft, ទេសចរណ៍ ឬកម្មវិធីដែលទាក់ទងនឹងកម្មករកាណាដា។ វាត្រូវបានបញ្ជាក់ថាក្នុងករណីមួយ ពួក Hacker ថែមទាំងប្រើគេហទំព័រអន្តោប្រវេសន៍កាណាដាស្របច្បាប់នៅក្នុងគ្រោងការណ៍បន្លំរបស់ពួកគេ។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...