MuddyViper Backdoor
រលកនៃសកម្មភាពចារកម្មនាពេលថ្មីៗនេះបានធ្លាក់ចូលទៅក្នុងជួរដ៏ធំទូលាយនៃអង្គការអ៊ីស្រាអែលនៅទូទាំងស្ថាប័នអប់រំ វិស្វកម្ម រដ្ឋាភិបាលក្នុងតំបន់ ការផលិត បច្ចេកវិទ្យា ការដឹកជញ្ជូន និងឧបករណ៍ប្រើប្រាស់។ ប្រតិបត្តិការនេះ ដែលត្រូវបានសន្មតថាជាតួអង្គតម្រឹមរដ្ឋរបស់អ៊ីរ៉ង់ បានណែនាំពីខាងក្រោយដែលមិនស្គាល់ពីមុនដែលមានឈ្មោះថា MuddyViper ដែលជាសញ្ញានៃការកើនឡើងថ្មីមួយនៅក្នុងយុទ្ធសាស្ត្ររបស់ក្រុម។ ក្រុមហ៊ុនបច្ចេកវិទ្យាដែលមានមូលដ្ឋាននៅប្រទេសអេហ្ស៊ីបមួយក៏ត្រូវបានគេចាប់បាននៅក្នុងផ្នែកឆ្លងកាត់ផងដែរ ដោយយុទ្ធនាការនេះដំណើរការចាប់ពីចុងខែកញ្ញា ឆ្នាំ 2024 រហូតដល់ពាក់កណ្តាលខែមីនា ឆ្នាំ 2025។
តារាងមាតិកា
សត្រូវដែលធ្លាប់ស្គាល់ជាមួយនឹងសមត្ថភាពពង្រីក
ការវាយប្រហារនេះមានទំនាក់ទំនងទៅនឹង MuddyWater ដែលត្រូវបានគេស្គាល់ថា Mango Sandstorm, Static Kitten ឬ TA450 ដែលជាក្រុមដែលត្រូវបានវាយតម្លៃថាធ្វើប្រតិបត្តិការក្រោមក្រសួងស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខរបស់ប្រទេសអ៊ីរ៉ង់។ សកម្មតាំងពីឆ្នាំ 2017 មក MuddyWater មានកំណត់ត្រាវែងឆ្ងាយនៃចារកម្ម និងសកម្មភាពបំផ្លិចបំផ្លាញ រួមទាំងយុទ្ធនាការ POWERSTATS មុន និងការប្រើប្រាស់ PowGoop ransomware កំឡុងប្រតិបត្តិការ Quicksand ។
យោងតាមការរកឃើញដែលបានចេញផ្សាយ ក្រុមនេះនៅតែបន្តវាយប្រហារគោលដៅរបស់អ៊ីស្រាអែល ដែលរួមមានអាជ្ញាធរមូលដ្ឋាន ការដឹកជញ្ជូនតាមផ្លូវអាកាស ទេសចរណ៍ សេវាសុខភាព បណ្តាញទូរគមនាគមន៍ អ្នកផ្តល់ព័ត៌មានវិទ្យា និងសហគ្រាសធុនតូច និងមធ្យម។
សៀវភៅលេងដែលវិវឌ្ឍរបស់ពួកគេ៖ ពីវិស្វកម្មសង្គមដល់ការទាញយកចំណុចខ្សោយ VPN
ជាធម្មតា តួអង្គគម្រាមកំហែងពឹងផ្អែកលើអ៊ីមែលដែលបន្លំដោយលំពែង និងការរំលោភបំពានលើភាពងាយរងគ្រោះ VPN ដែលស្គាល់ដើម្បីទទួលបានការចូល។ ជាប្រវត្តិសាស្ត្រ ការឈ្លានពានទាំងនេះពាក់ព័ន្ធនឹងការដាក់ពង្រាយឧបករណ៍គ្រប់គ្រងពីចម្ងាយស្របច្បាប់ ដែលជាសញ្ញាសម្គាល់នៃប្រតិបត្តិការរបស់ MuddyWater ។ ទោះបីជាយ៉ាងណាក៏ដោយ ចាប់តាំងពីខែឧសភា ឆ្នាំ 2024 មក អ៊ីមែលបន្លំរបស់ពួកគេបានចាប់ផ្តើមផ្តល់នូវការលួចលាក់ដែលត្រូវបានគេស្គាល់ថាជា BugSleep (ហៅផងដែរថា MuddyRot) ដែលបង្ហាញពីការផ្លាស់ប្តូរឆ្ពោះទៅរកឧបករណ៍ដែលប្ដូរតាមបំណងបន្ថែមទៀត។
ឃ្លាំងអាវុធរបស់ក្រុមនេះមានលក្ខណៈទូលំទូលាយ ហើយរួមមាន Blackout, AnchorRat, CannonRat, Neshta និងក្របខ័ណ្ឌ Sad C2 ដែលជួយផ្សព្វផ្សាយកម្មវិធីផ្ទុកទិន្នន័យដូចជា TreasureBox និង BlackPearl RAT ។
ការបន្លំនៅតែជាជំហានដំបូង
រលកវាយប្រហារចុងក្រោយបំផុតនៅតែចាប់ផ្តើមជាមួយនឹងអ៊ីមែលព្យាបាទដែលមានឯកសារភ្ជាប់ PDF ។ PDFs ទាំងនេះចង្អុលបង្ហាញជនរងគ្រោះឆ្ពោះទៅរកការទាញយកសម្រាប់ឧបករណ៍ពីចម្ងាយដែលប្រើយ៉ាងទូលំទូលាយដូចជា Atera, Level, PDQ និង SimpleHelp ។ នៅពេលដែលការឈរជើងត្រូវបានទទួលបាន អ្នកវាយប្រហារផ្លាស់ទីទៅដាក់ពង្រាយសមាសធាតុឯកទេសបន្ថែមទៀត។
សូមណែនាំ Fooder និង MuddyViper
យុទ្ធនាការនេះមានលក្ខណៈពិសេសយ៉ាងសំខាន់នូវកម្មវិធីផ្ទុកទិន្នន័យដែលមានឈ្មោះថា Fooder ដែលបង្កើតឡើងដើម្បីឌិគ្រីប និងដំណើរការកម្មវិធីខាងក្រោយ MuddyViper ដែលមានមូលដ្ឋានលើ C/C++។ វ៉ារ្យ៉ង់នៃ Fooder ក៏ត្រូវបានគេមើលឃើញថាកំពុងចែកចាយឧបករណ៍ប្រើប្រាស់ផ្លូវរូងក្រោមដី go-socks5 និងឧបករណ៍ HackBrowserData ប្រភពបើកចំហដើម្បីប្រមូលទិន្នន័យកម្មវិធីរុករកពីវេទិកាជាច្រើន (លើកលែងតែ Safari) ។
MuddyViper ខ្លួនវាផ្តល់ការគ្រប់គ្រងយ៉ាងទូលំទូលាយ ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករប្រមូលព័ត៌មានលំអិតរបស់ប្រព័ន្ធ ដំណើរការឯកសារ និងពាក្យបញ្ជា ផ្លាស់ទីទិន្នន័យចូល និងចេញ និងលួចព័ត៌មានសម្ងាត់របស់ Windows និងព័ត៌មានកម្មវិធីរុករក។ វាគាំទ្រពាក្យបញ្ជាដែលភ្ជាប់មកជាមួយចំនួន 20 សម្រាប់រក្សាការចូលប្រើដោយលាក់បាំង។ បំរែបំរួល Fooder មួយចំនួនបន្លំខ្លួនជាហ្គេម Snake បុរាណ ហើយពឹងផ្អែកលើការពន្យាពេលការប្រតិបត្តិចំពោះការរកឃើញចំហៀង ដែលជាបច្ចេកទេសដំបូងគេបានកត់សម្គាល់នៅក្នុងខែកញ្ញា ឆ្នាំ 2025។
ឧបករណ៍បន្ថែមត្រូវបានអង្កេតនៅក្នុងប្រតិបត្តិការ
អ្នកស្រាវជ្រាវក៏បានចងក្រងឯកសារអំពីការដាក់ពង្រាយឧបករណ៍ជំនួយជាច្រើនដែលត្រូវបានរចនាឡើងសម្រាប់ការជាប់លាប់ ការលួចព័ត៌មាន និងការប្រមូលទិន្នន័យ៖
VAXOne - ការក្លែងបន្លំខាងក្រោយដូចជា Veeam, AnyDesk, Xerox ឬអ្នកធ្វើបច្ចុប្បន្នភាព OneDrive ។
CE-Notes - ឧបករណ៍លួចទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលត្រូវបានរចនាឡើងដើម្បីរំលងការអ៊ិនគ្រីបកម្មវិធីរបស់ Chrome ដោយលួចលេខកូដសម្ងាត់រដ្ឋក្នុងតំបន់។
Blub - អ្នកលួច AC/C++ ដែលប្រមូលទិន្នន័យចូលពី Chrome, Edge, Firefox និង Opera ។
LP-Notes - ឧបករណ៍ប្រមូលផលព័ត៌មានសម្ងាត់ AC/C++ ដែលបង្ហាញការក្លែងបន្លំ Windows Security ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបញ្ចូលព័ត៌មានលម្អិតនៃការចូលរបស់ពួកគេ។
កិច្ចសហប្រតិបត្តិការជាមួយ Lyceum៖ ការត្រួតស៊ីគ្នានៃប្រតិបត្តិការកើតឡើង
ការស៊ើបអង្កេតបានបង្ហាញថាសកម្មភាពរបស់ MuddyWater បានប្រសព្វជាមួយប្រតិបត្តិការរបស់ Lyceum (ត្រូវបានគេស្គាល់ផងដែរថាជា Hexane, Spirlin ឬ Siamesekitten) ដែលជាក្រុមរងនៃ OilRig (APT34) ដែលសកម្មនៅក្នុងចារកម្មតាមអ៊ីនធឺណិតក្នុងតំបន់ចាប់តាំងពីយ៉ាងហោចណាស់ 2018 ។
ក្នុងអំឡុងពេលឧប្បត្តិហេតុដែលបានកំណត់អត្តសញ្ញាណនៅដើមឆ្នាំ 2025 MuddyWater ទំនងជាដើរតួជាឈ្មួញកណ្តាលចូលដំណើរការដំបូងនៅក្នុងអង្គការផលិតកម្មរបស់អ៊ីស្រាអែលដោយដាក់ពង្រាយឧបករណ៍ផ្ទៃតុពីចម្ងាយ និងឧបករណ៍ផ្ទុក Mimikatz ផ្ទាល់ខ្លួន។ បន្ទាប់មក លិខិតសម្គាល់ដែលលួចត្រូវបានប្រើប្រាស់ដោយ Lyceum ដើម្បីពង្រីកការចូលប្រើប្រាស់ និងសន្មត់ការគ្រប់គ្រងប្រតិបត្តិការ។
សញ្ញានៃការបង្កើនភាពចាស់ទុំនៃប្រតិបត្តិការ
ការណែនាំនៃសមាសធាតុថ្មី ជាពិសេស Fooder loader និង MuddyViper backdoor បង្ហាញពីវឌ្ឍនភាពគួរឱ្យកត់សម្គាល់នៅក្នុងភាពទំនើបកម្មបច្ចេកទេស និងប្រតិបត្តិការរបស់ MuddyWater ។ ក្រុមនេះកំពុងវិនិយោគយ៉ាងច្បាស់នៅក្នុងយន្តការរក្សាការសម្ងាត់ ការលួចព័ត៌មានដែលមានប្រសិទ្ធភាពជាងមុន និងសមត្ថភាពឈ្លបយកការណ៍កាន់តែស៊ីជម្រៅ។
យុទ្ធនាការនេះគូសបញ្ជាក់ពីការគំរាមកំហែងដែលបន្តនិងពង្រីកពីប្រតិបត្តិករអ៊ីនធឺណិតដែលមានតម្រឹមអ៊ីរ៉ង់។ ការបញ្ចូលគ្នានៃមេរោគផ្ទាល់ខ្លួនរបស់ពួកគេ ឧបករណ៍ផ្ទុកលួចលាក់ ឧបករណ៍គ្រប់គ្រងពីចម្ងាយស្របច្បាប់ និងការសហការគ្នាជាក្រុម ណែនាំថាអង្គការនៅក្នុងតំបន់ត្រូវតែរក្សាការប្រុងប្រយ័ត្នខ្ពស់ និងពង្រឹងការការពារប្រឆាំងនឹងយុទ្ធសាស្រ្តឈ្លានពានដែលកាន់តែស្មុគស្មាញ។
