មេរោគ LoptikMod
យុទ្ធនាការថ្មីមួយដែលត្រូវបានសន្មតថាជាក្រុម DoNot APT ត្រូវបានបង្ហាញដោយបង្ហាញពីការប្រើប្រាស់មេរោគដែលលួចលាក់ និងជាប់លាប់ដែលមានឈ្មោះថា LoptikMod ។ ឧបករណ៍នេះត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារជាគោលដៅប្រឆាំងនឹងក្រសួងការបរទេសអឺរ៉ុប ដែលបង្ហាញបន្ថែមទៀតថាក្រុមនេះផ្លាស់ប្តូរការផ្តោតអារម្មណ៍លើសពីអាស៊ីខាងត្បូង។
តារាងមាតិកា
តារាសម្ដែងការគំរាមកំហែងដែលគេស្គាល់ជាមួយនឹងការពង្រីកសិទ្ធិ
យុទ្ធនាការនេះត្រូវបានភ្ជាប់ទៅក្រុម DoNot ដែលជាក្រុម Advanced Persistent Threat (APT) ដែលស្គាល់ដោយឈ្មោះក្លែងក្លាយផ្សេងៗ រួមមាន APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 និង Viceroy Tiger ។ ជាមួយនឹងប្រតិបត្តិការដែលមានអាយុកាលតាំងពីឆ្នាំ 2016 មក ក្រុមនេះមានប្រវត្តិចងក្រងជាឯកសារនៃការកំណត់គោលដៅភ្នាក់ងាររដ្ឋាភិបាល ក្រសួងការបរទេស អង្គភាពការពារជាតិ និងអង្គការក្រៅរដ្ឋាភិបាល ជាពិសេសនៅអាស៊ីខាងត្បូង និងអឺរ៉ុប។
ជាប្រវត្តិសាស្ត្រ DoNot APT បានប្រើប្រាស់មេរោគដែលបង្កើតដោយខ្លួនឯង ជាពិសេសគឺ YTY និង GEdit ដែលជារឿយៗត្រូវបានដាក់ឱ្យប្រើប្រាស់តាមរយៈយុទ្ធនាការ spear-phishing និងឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់។
ការទាក់ទាញគោលដៅ៖ ការបន្លំជាចំណុចចូល
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំបោកបញ្ឆោតដែលត្រូវបានបង្កើតឡើងដើម្បីឱ្យមានភាពស្របច្បាប់ និងគួរឱ្យទុកចិត្ត។ សារទាំងនេះត្រូវបានផ្ញើចេញពីគណនី Gmail ក្លែងបន្លំជាមន្ត្រីការពារជាតិ និងជាប្រធានបទដែលសំដៅលើដំណើរទស្សនកិច្ចដោយអនុព័ន្ធការពារជាតិអ៊ីតាលីទៅកាន់ទីក្រុង Dhaka ប្រទេសបង់ក្លាដែស។ គួរកត់សម្គាល់ថា អ៊ីមែលត្រូវបានធ្វើទ្រង់ទ្រាយដោយប្រើ HTML ជាមួយការអ៊ិនកូដ UTF-8 ដើម្បីបង្ហាញតួអក្សរពិសេសដូចជា 'é' យ៉ាងត្រឹមត្រូវ ដោយបន្ថែមភាពពិតប្រាកដរបស់វា។
តំណភ្ជាប់ Google Drive ដែលបានបង្កប់នៅក្នុងអ៊ីមែលនាំទៅដល់ការទាញយកបណ្ណសារ RAR ។ បណ្ណសារនេះមានផ្ទុកមេរោគដែលអាចប្រតិបត្តិបានដែលត្រូវបានរចនាឡើងដើម្បីត្រាប់តាមឯកសារ PDF ។ នៅពេលបើក កម្មវិធីដែលអាចប្រតិបត្តិបានចាប់ផ្តើមការដាក់ឱ្យប្រើប្រាស់ LoptikMod ដែលជា Trojan ចូលប្រើពីចម្ងាយ (RAT) ដែលផ្តាច់មុខសម្រាប់ DoNot APT ចាប់តាំងពីយ៉ាងហោចណាស់ 2018 ។
នៅខាងក្នុង LoptikMod Malware
នៅពេលដែលបានប្រតិបត្តិ LoptikMod បង្កប់ខ្លួនចូលទៅក្នុងប្រព័ន្ធម៉ាស៊ីនដោយប្រើភារកិច្ចដែលបានកំណត់ពេលសម្រាប់ការតស៊ូ។ បន្ទាប់មកវាភ្ជាប់ទៅម៉ាស៊ីនមេបញ្ជាពីចម្ងាយ (C2) ដើម្បីធ្វើសកម្មភាពព្យាបាទផ្សេងៗ។ ទាំងនេះរួមមាន:
- ការបញ្ជូនព័ត៌មានប្រព័ន្ធត្រឡប់ទៅអ្នកវាយប្រហារវិញ។
- ការទទួលនិងប្រតិបត្តិពាក្យបញ្ជាបន្ថែម
- កំពុងទាញយកម៉ូឌុលព្យាបាទបន្ថែម
- ការទាញយកទិន្នន័យរសើប
ដើម្បីជៀសវាងការរកឃើញ និងរារាំងការវិភាគផ្នែកកោសល្យវិច្ច័យ LoptikMod ប្រើបច្ចេកទេសប្រឆាំង VM (ម៉ាស៊ីននិម្មិត) និងការបំភាន់ ASCII ដែលធ្វើឱ្យវាពិបាកសម្រាប់អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពក្នុងការបំបែកមុខងារពេញលេញរបស់វា។ លើសពីនេះ វាធានាបានតែវត្ថុមួយប៉ុណ្ណោះដែលដំណើរការលើឧបករណ៍នៅពេលណាមួយ ការពារការប៉ះទង្គិចផ្ទៃក្នុង និងកាត់បន្ថយលទ្ធភាពនៃការរកឃើញ។
ស្ថានភាពយុទ្ធនាការបច្ចុប្បន្ន និងហេដ្ឋារចនាសម្ព័ន្ធ
ខណៈពេលដែល LoptikMod ខ្លួនវាមានសមត្ថភាព និងស្ថិតស្ថេរ នោះម៉ាស៊ីនមេ C2 ដែលជាប់ពាក់ព័ន្ធក្នុងការវាយប្រហារថ្មីៗបំផុតបច្ចុប្បន្នអសកម្ម។ ភាពអសកម្មនេះអាចមានន័យថាហេដ្ឋារចនាសម្ព័ន្ធត្រូវបានប្រើប្រាស់ក្រៅបណ្តាញបណ្ដោះអាសន្ន បិទជាអចិន្ត្រៃយ៍ ឬជំនួសដោយម៉ាស៊ីនមេថ្មីដែលមិនបានរកឃើញ។
ស្ថានភាពអសកម្មរបស់ម៉ាស៊ីនមេកំណត់សមត្ថភាពរបស់អ្នកស្រាវជ្រាវក្នុងការវិភាគពាក្យបញ្ជាពិតប្រាកដ និងទិន្នន័យដែលបានផ្លាស់ប្តូររវាងចំណុចបញ្ចប់ដែលមានមេរោគនិងអ្នកវាយប្រហារ។
សញ្ញានៃការផ្លាស់ប្តូរយុទ្ធសាស្ត្រ៖ គោលដៅអឺរ៉ុបក្នុងការផ្តោត
សកម្មភាពចុងក្រោយរបស់ DoNot APT បង្ហាញសញ្ញានៃការវិវត្តន៍។ ខណៈពេលដែលក្រុមនេះបានផ្តោតជាប្រពៃណីលើផលប្រយោជន៍អាស៊ីខាងត្បូង ប្រតិបត្តិការនាពេលថ្មីៗនេះបង្ហាញពីការចាប់អារម្មណ៍កាន់តែខ្លាំងឡើងចំពោះចារកម្មការទូតរបស់អឺរ៉ុប ជាពិសេសទាក់ទងនឹងអាស៊ីខាងត្បូង។
ការផ្លាស់ប្តូរនេះទំនងជាបង្ហាញពីសមត្ថភាពប្រតិបត្តិការដែលប្រសើរឡើង និងគោលបំណងស៊ើបការណ៍ដែលមានមហិច្ឆតាកាន់តែច្រើន។ អ្នកគ្រប់គ្រងក្រុមនេះប្រហែលជាកំពុងស្វែងរកការយល់ដឹងអំពីយុទ្ធសាស្ត្រការទូតលោកខាងលិច គោលនយោបាយការពារជាតិ និងការចូលរួមអន្តរជាតិជាមួយអាស៊ីខាងត្បូង។
គន្លឹះដក
ដើម្បីកាត់បន្ថយការវាយប្រហារបែបនោះឱ្យមានប្រសិទ្ធភាព អង្គការគួរតែចាប់ផ្តើមដោយការអប់រំបុគ្គលិករបស់ពួកគេឱ្យទទួលស្គាល់ការប៉ុនប៉ងបន្លំ បើទោះបីជាសារមើលទៅមានលក្ខណៈស្របច្បាប់ខ្ពស់ក៏ដោយ។ វាមានសារៈសំខាន់ដូចគ្នាក្នុងការត្រួតពិនិត្យប្រព័ន្ធជាបន្តបន្ទាប់សម្រាប់ឥរិយាបថមិនធម្មតាណាមួយ ដូចជាកិច្ចការដែលបានកំណត់ពេលមិនបានរំពឹងទុក ឬការភ្ជាប់ទៅក្រៅប្រទេសទៅកាន់ម៉ាស៊ីនមេដែលមិនធ្លាប់ស្គាល់ ដែលអាចបង្ហាញពីការសម្របសម្រួល។
លើសពីនេះទៀត ការអនុវត្តឧបករណ៍ sandboxing និងការវិភាគអាកប្បកិរិយាអាចជួយរកឃើញ និងបន្សាបការប្រតិបត្តិគួរឱ្យសង្ស័យ មុនពេលវាបង្កគ្រោះថ្នាក់។ ការរក្សាប្រព័ន្ធដែលបានជួសជុលយ៉ាងពេញលេញ និងការបញ្ចូលព័ត៌មានព័ត៌មានសម្ងាត់នៃការគំរាមកំហែងចុងក្រោយបំផុត ធានាថាភាពងាយរងគ្រោះដែលគេស្គាល់ត្រូវបានដោះស្រាយភ្លាមៗ។ ជាចុងក្រោយ ការបែងចែកបណ្តាញអាចកាត់បន្ថយហានិភ័យនៃមេរោគដែលរីករាលដាលនៅពេលក្រោយយ៉ាងសំខាន់ ដោយហេតុនេះអាចផ្ទុកការរំលោភដែលអាចកើតមានកាន់តែមានប្រសិទ្ធភាព។
សេចក្តីសន្និដ្ឋាន៖ ការប្រុងប្រយ័ត្នគឺចាំបាច់
ការដាក់ពង្រាយ LoptikMod របស់ក្រុម DoNot APT នៅក្នុងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណេតរបស់អឺរ៉ុបគឺជាការរំឮកយ៉ាងច្បាស់អំពីទិដ្ឋភាពគំរាមកំហែងដែលកំពុងវិវត្ត។ នៅពេលដែលក្រុម APT បន្តពង្រឹងឧបករណ៍របស់ពួកគេ និងពង្រីកការកំណត់គោលដៅរបស់ពួកគេ ជាពិសេសឆ្ពោះទៅរកទ្រព្យសម្បត្តិការទូតដែលមានតម្លៃខ្ពស់ អង្គការនានាត្រូវតែមានការប្រុងប្រយ័ត្ន និងសកម្មក្នុងការការពារសន្តិសុខតាមអ៊ីនធឺណិតរបស់ពួកគេ។
