LuminousMoth APT

ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញប្រតិបត្តិការវាយប្រហារទ្រង់ទ្រាយធំដែលពួកគេសន្មតថាជាក្រុម APT (Advanced Persistent Threat) ថ្មីមួយដែលមានឈ្មោះថា LuminousMoth ។ យុទ្ធនាការដែលទាក់ទងនឹង APT ជាធម្មតាត្រូវបានកំណត់គោលដៅខ្ពស់ជាមួយនឹងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលសម្របសម្រួលខ្សែសង្វាក់ឆ្លងមេរោគ និងការគំរាមកំហែងមេរោគដែលបានដាក់ពង្រាយទៅកាន់អង្គភាពជាក់លាក់ដែលពួកគេមានបំណងរំលោភបំពាន។ ទោះជាយ៉ាងណាក៏ដោយ ការវាយប្រហារ LuminousMoth បានបង្កើតចំនួនជនរងគ្រោះខ្ពស់ខុសពីធម្មតា - ប្រហែល 100 នាក់នៅក្នុងប្រទេសមីយ៉ាន់ម៉ា និងជិត 1400 នាក់នៅក្នុងប្រទេសហ្វីលីពីន។ វាទំនងជាច្រើនជាងគោលដៅជាក់ស្តែងនៃយុទ្ធនាការតំណាងឱ្យផ្នែកតូចៗនៃជនរងគ្រោះដែលបានរកឃើញ។ ពួក Hacker ហាក់ដូចជាបន្ទាប់ពីអង្គភាពរដ្ឋាភិបាលមកពីប្រទេសទាំងពីរ ក៏ដូចជានៅបរទេស។

ខ្សែសង្វាក់ឆ្លង

វ៉ិចទ័រនៃការឆ្លងដំបូងហាក់ដូចជា spear-phishing email ដែលមានតំណទាញយក Dropbox ដែលនាំទៅដល់ឯកសារខូច។ ឯកសារនេះធ្វើពុតជាឯកសារ Word ប៉ុន្តែជាបណ្ណសារ RAR ដែលមានបណ្ណាល័យ DLL ដែលត្រូវបានសម្របសម្រួលចំនួនពីរ និងអាចប្រតិបត្តិបានស្របច្បាប់ចំនួនពីរដែលផ្តល់ភារកិច្ចឱ្យផ្ទុក DLLs ចំហៀង។ បណ្ណសារបានប្រើឈ្មោះនុយដូចជា 'COVID-19 Case 12-11-2020(MOTC.rar' និង 'DACU Projects.r01.'។ នៅក្នុងប្រទេសមីយ៉ាន់ម៉ា MOTC តំណាងឱ្យក្រសួងដឹកជញ្ជូន និងទំនាក់ទំនង ខណៈដែល DACU គឺជាអង្គភាពសម្របសម្រួលជំនួយអភិវឌ្ឍន៍។

បន្ទាប់ពីការរំលោភលើប្រព័ន្ធដំបូង LuminousMoth ប្រើវិធីសាស្រ្តផ្សេងគ្នាសម្រាប់ការផ្លាស់ប្តូរទៅចំហៀង។ ការគំរាមកំហែងស្កេនឧបករណ៍ដែលត្រូវបានសម្របសម្រួលសម្រាប់មេឌៀដែលអាចដកចេញបាន ដូចជា USB drives។ បន្ទាប់មកវាបង្កើតថតដែលលាក់ដើម្បីរក្សាទុកឯកសារដែលបានជ្រើសរើស។

ឧបករណ៍ក្រោយការកេងប្រវ័ញ្ច

នៅលើគោលដៅដែលបានជ្រើសរើសជាក់លាក់ LuminousMoth បានបង្កើនការវាយប្រហារដោយការដាក់ពង្រាយឧបករណ៍គំរាមកំហែងបន្ថែម។ អ្នកស្រាវជ្រាវ Infosec បានកត់សម្គាល់ពីការគំរាមកំហែងលួចដែលក្លែងបន្លំកម្មវិធីសន្និសីទវីដេអូដ៏ពេញនិយម Zoom ។ ដើម្បីបន្ថែមភាពស្របច្បាប់ ការក្លែងបន្លំមានហត្ថលេខា និងវិញ្ញាបនបត្រឌីជីថលត្រឹមត្រូវ។ នៅពេលចាប់ផ្តើម អ្នកលួចស្កេនប្រព័ន្ធរបស់ជនរងគ្រោះសម្រាប់ផ្នែកបន្ថែមឯកសារជាក់លាក់ ហើយបញ្ចូនពួកវាទៅម៉ាស៊ីនមេ Command-and-Control (C2, C&C)។

អ្នកគំរាមកំហែងក៏បានបញ្ជូនអ្នកលួចខូគី Chrome ទៅប្រព័ន្ធជាក់លាក់ផងដែរ។ ឧបករណ៍នេះត្រូវការឈ្មោះអ្នកប្រើប្រាស់ក្នុងតំបន់ដើម្បីចូលប្រើឯកសារទាំងពីរដែលមានទិន្នន័យដែលវាមាន។ បន្ទាប់ពីដំណើរការការសាកល្បងមួយចំនួន អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់ថាគោលដៅនៃឧបករណ៍នេះគឺដើម្បីប្លន់ ហើយបន្ទាប់មកក្លែងបន្លំវគ្គ Gmail នៃគោលដៅ។

វាគួរតែត្រូវបានកត់សម្គាល់ថា LuminousMoth APT ប្រើយ៉ាងទូលំទូលាយនូវសញ្ញា Cobalt Strike beacon ជាបន្ទុកដំណាក់កាលចុងក្រោយ។

តើ LuminousMoth ជា​តារា​សម្ដែង​ការ​គំរាម​កំហែង​ថ្មី​ឬ?

វាហាក់បីដូចជាយុទ្ធនាការវាយប្រហារ LuminousMoth មានភាពស្រដៀងគ្នាគួរឱ្យចាប់អារម្មណ៍មួយចំនួនចំពោះប្រតិបត្តិការដែលធ្វើឡើងដោយ APT ដែលទាក់ទងជាមួយចិនរួចហើយដែលមានឈ្មោះថា HoneyMyte (Mustang Panda) ។ ក្រុមទាំងពីរបង្ហាញលក្ខណៈវិនិច្ឆ័យគោលដៅស្រដៀងគ្នា និង TTPs (យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី) ដែលរួមបញ្ចូលការផ្ទុកចំហៀង និងការដាក់ពង្រាយឧបករណ៍ផ្ទុក Cobalt Strike ។ លើសពីនេះទៀត អ្នកលួចខូគី Chome ដែលត្រូវបានគេឃើញនៅក្នុងការវាយប្រហាររបស់ LuminousMoth ស្រដៀងទៅនឹងសមាសធាតុដែលខូចនៃសកម្មភាព HoneyMyte ពីមុន។ ការត្រួតស៊ីគ្នានៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធផ្តល់នូវតំណភ្ជាប់បន្ថែមរវាងក្រុម។ នៅពេលនេះ វាមិនអាចកំណត់បានថា LuminousMoth ពិតជាក្រុម Hacker ថ្មី ឬប្រសិនបើវាជាកំណែកំណែទម្រង់របស់ HoneyMyte ដែលបំពាក់ដោយឃ្លាំងអាវុធថ្មីនៃឧបករណ៍មេរោគ។