សត្វដង្កូវទឹក
ប្រតិបត្តិករចារកម្មតាមអ៊ីនធឺណិតដែលភ្ជាប់ទៅនឹងសេវាសន្តិសុខសហព័ន្ធ (FSB) របស់រុស្ស៊ី ត្រូវបានរកឃើញថាប្រើដង្កូវ USB-propagating Worm ឈ្មោះ LitterDrifter ក្នុងការវាយលុកដែលដឹកនាំទៅអង្គភាពអ៊ុយក្រែន។
អង្គភាពដែលរៀបចំការវាយលុកនេះត្រូវបានកំណត់ថាជា Gamaredon ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយដូចជា Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm និង Winterflounder ។ យុទ្ធសាស្ត្រថ្មីៗដែលប្រើដោយពួក Hacker ទាំងនេះកំណត់លក្ខណៈក្រុមថាកំពុងធ្វើយុទ្ធនាការយ៉ាងទូលំទូលាយ បន្ទាប់មកដោយការខិតខំប្រឹងប្រែងប្រមូលទិន្នន័យយ៉ាងម៉ត់ចត់ក្នុងគោលដៅកំណត់គោលដៅជាក់លាក់។ ការជ្រើសរើសគោលដៅទាំងនេះត្រូវបានសន្មតថាត្រូវបានជំរុញដោយគោលបំណងចារកម្ម។
តារាងមាតិកា
LitterDrifter បានរីករាលដាលលើសពីគោលដៅដំបូងរបស់វា។
ដង្កូវ LitterDrifter មានមុខងារចម្បងពីរ៖ វាផ្សព្វផ្សាយមេរោគដោយស្វ័យប្រវត្តិតាមរយៈ USB drives ដែលបានភ្ជាប់ និងបង្កើតការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) របស់តួអង្គគំរាមកំហែង។ មានការសង្ស័យថាវាតំណាងឱ្យការរីកចម្រើនពីដង្កូវ USB ដែលមានមូលដ្ឋានលើ PowerShell ដែលបានបង្ហាញពីមុន ដែលអ្នកស្រាវជ្រាវបានបង្ហាញនៅក្នុងខែមិថុនា ឆ្នាំ 2023។
បង្កើតនៅក្នុង VBS ម៉ូឌុលអ្នកផ្សព្វផ្សាយត្រូវទទួលខុសត្រូវក្នុងការចែកចាយដង្កូវដោយមិនដឹងខ្លួននៅក្នុងដ្រាយ USB អមដោយ decoy LNK ជាមួយនឹងឈ្មោះដែលបានកំណត់ដោយចៃដន្យ។ នាមត្រកូល "LitterDrifter" គឺបានមកពីសមាសធាតុ orchestration ដំបូងដែលមានឈ្មោះថា 'trash.dll' ។
Gamaredon ទទួលយកវិធីសាស្រ្តប្លែកមួយចំពោះ C&C ដោយប្រើប្រាស់ដែនជាកន្លែងដាក់សម្រាប់អាសយដ្ឋាន IP ពិតប្រាកដដែលប្រើជាម៉ាស៊ីនមេ C2 ។
លើសពីនេះ LitterDrifter បង្ហាញពីសមត្ថភាពក្នុងការភ្ជាប់ទៅម៉ាស៊ីនមេ C&C ដកស្រង់ចេញពីប៉ុស្តិ៍ Telegram ដែលជាយុទ្ធសាស្ត្រប្រើប្រាស់ជាប់លាប់ដោយអ្នកគំរាមកំហែងតាំងពីដើមឆ្នាំ 2023។ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់សញ្ញាសក្តានុពលនៃការឆ្លងលើសពីអ៊ុយក្រែន ជាមួយនឹងការរកឃើញដែលបង្ហាញពីសកម្មភាពនៅសហរដ្ឋអាមេរិក និងវៀតណាម។ ឈីលី ប៉ូឡូញ អាល្លឺម៉ង់ និងហុងកុង។
Gamaredon កំពុងវិវឌ្ឍន៍បច្ចេកទេសវាយប្រហាររបស់ខ្លួន។
ពេញមួយឆ្នាំបច្ចុប្បន្ន Gamaredon បានរក្សាវត្តមានយ៉ាងសកម្ម ដោយសម្របតាមយុទ្ធសាស្ត្រវាយប្រហាររបស់ខ្លួន។ នៅខែកក្កដា ឆ្នាំ 2023 សមត្ថភាពនៃការគាស់យកទិន្នន័យយ៉ាងឆាប់រហ័សរបស់សត្រូវបានក្លាយជាភស្តុតាង ខណៈដែលអ្នកគំរាមកំហែងអាចបញ្ជូនព័ត៌មានរសើបក្នុងរយៈពេលត្រឹមតែមួយម៉ោងនៃការសម្របសម្រួលដំបូង។
វាច្បាស់ណាស់ថា LitterDrifter ត្រូវបានបង្កើតឡើងជាពិសេសដើម្បីជួយសម្រួលដល់ប្រតិបត្តិការប្រមូលផ្ដុំយ៉ាងទូលំទូលាយ។ ដោយប្រើប្រាស់បច្ចេកទេសត្រង់ៗ ប៉ុន្តែមានប្រសិទ្ធភាព មេរោគនេះធានាថាវាអាចទៅដល់គោលដៅយ៉ាងទូលំទូលាយនៅក្នុងតំបន់។
តួអង្គគំរាមកំហែងបង្ហាញសកម្មភាពកើនឡើងចាប់តាំងពីការចាប់ផ្តើមនៃសង្គ្រាមរុស្ស៊ី-អ៊ុយក្រែន
ព្រឹត្តិការណ៍លេចធ្លាយនេះ ស្របពេលដែលមជ្ឈមណ្ឌលជាតិសម្របសម្រួល Cybersecurity Coordination (NCSCC) របស់ប្រទេសអ៊ុយក្រែន បង្ហាញពីឧប្បត្តិហេតុនៃពួក Hacker រុស្ស៊ីដែលឧបត្ថម្ភដោយរដ្ឋ រៀបចំការវាយប្រហារលើស្ថានទូតនានានៅទូទាំងទ្វីបអឺរ៉ុប រួមទាំងប្រទេសអ៊ីតាលី ក្រិក រូម៉ានី និង Azerbaijan ។
សន្មតថាជា APT29 (ត្រូវបានគេស្គាល់ផងដែរថាជា Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard និងច្រើនទៀត) ការឈ្លានពានទាំងនេះទាញយកផលប្រយោជន៍ពីភាពងាយរងគ្រោះ WinRAR (CVE-2023-38831) តាមរយៈការបញ្ឆោតបញ្ឆោត ដូចជាការទាមទាររថយន្ត BMW សម្រាប់លក់។ ប្រធានបទដែលពីមុនត្រូវបានប្រើប្រាស់ដោយតួអង្គគំរាមកំហែង។
លំដាប់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការចែកចាយអ៊ីមែលបន្លំទៅកាន់ជនរងគ្រោះដែលមានតំណភ្ជាប់ទៅកាន់ឯកសារ ZIP ដែលបង្កើតជាពិសេស។ នៅពេលបើកដំណើរការ កំហុសត្រូវបានកេងប្រវ័ញ្ចដើម្បីទាញយកស្គ្រីប PowerShell ពីម៉ាស៊ីនមេពីចម្ងាយដែលបង្ហោះនៅលើ Ngrok ។ ការកេងប្រវ័ញ្ចដដែលៗនៃភាពងាយរងគ្រោះ CVE-2023-38831 ដោយក្រុមលួចចូលសេវាស៊ើបការណ៍សម្ងាត់របស់រុស្ស៊ី គូសបញ្ជាក់ពីការកើនឡើងនៃប្រជាប្រិយភាព និងភាពទំនើបរបស់វា។
លើសពីនេះ CERT-UA (ក្រុមឆ្លើយតបបន្ទាន់កុំព្យូទ័ររបស់អ៊ុយក្រែន) បានបង្ហាញព័ត៌មានអំពីយុទ្ធនាការបន្លំផ្សព្វផ្សាយឯកសារ RAR ដែលមិនមានសុវត្ថិភាព។ បណ្ណសារទាំងនេះបញ្ជាក់ថាមានឯកសារ PDF ពីសេវាសន្តិសុខអ៊ុយក្រែន (SBU)។ ទោះជាយ៉ាងណាក៏ដោយតាមការពិតពួកគេមានកន្លែងប្រតិបត្តិដែលនាំទៅដល់ការដាក់ពង្រាយ Remcos RAT ។
