'ទឹកភក់' APT
'MuddyWater' APT គឺជាក្រុមឧក្រិដ្ឋជនដែលហាក់ដូចជាមានមូលដ្ឋាននៅប្រទេសអ៊ីរ៉ង់។ APT តំណាងអោយ "Advanced Persistent Threat" ដែលជាពាក្យដែលប្រើដោយអ្នកស្រាវជ្រាវសន្តិសុខកុំព្យូទ័រដើម្បីសំដៅទៅលើប្រភេទក្រុមឧក្រិដ្ឋជនទាំងនេះ។ រូបថតអេក្រង់ពីមេរោគដែលភ្ជាប់ទៅនឹង 'MuddyWater' APT ចង្អុលទៅទីតាំងរបស់ពួកគេដែលមានមូលដ្ឋាននៅប្រទេសអ៊ីរ៉ង់ ហើយប្រហែលជាត្រូវបានឧបត្ថម្ភដោយរដ្ឋាភិបាលរបស់ពួកគេ។ សកម្មភាពចម្បងរបស់ 'MuddyWater' APT ហាក់ដូចជាចង្អុលទៅកាន់ប្រទេសផ្សេងទៀតនៅមជ្ឈិមបូព៌ា។ ការវាយប្រហារ 'MuddyWater' APT មានគោលដៅលើស្ថានទូត អ្នកការទូត និងមន្ត្រីរដ្ឋាភិបាល ហើយអាចផ្តោតលើការផ្តល់អត្ថប្រយោជន៍សង្គមនយោបាយដល់ពួកគេ។ ការវាយប្រហារ 'MuddyWater' APT នាពេលកន្លងមកក៏បានកំណត់គោលដៅក្រុមហ៊ុនទូរគមនាគមន៍ផងដែរ។ 'MuddyWater' APT ក៏ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការវាយប្រហារទង់ក្លែងក្លាយផងដែរ។ ទាំងនេះគឺជាការវាយប្រហារដែលត្រូវបានរចនាឡើងដើម្បីមើលទៅហាក់ដូចជាតួអង្គផ្សេងទៀតបានអនុវត្តពួកគេ។ ការវាយប្រហារទង់ជាតិក្លែងក្លាយ 'MuddyWater' APT នាពេលកន្លងមកបានក្លែងបន្លំជាប្រទេសអ៊ីស្រាអែល ចិន រុស្ស៊ី និងប្រទេសដទៃទៀត ជាញឹកញាប់ក្នុងការប៉ុនប៉ងបង្កចលាចល ឬជម្លោះរវាងជនរងគ្រោះ និងភាគីក្លែងបន្លំ។
យុទ្ធសាស្ត្រវាយប្រហារដែលភ្ជាប់ជាមួយ 'MuddyWater' APT Group
ការវាយប្រហារដែលទាក់ទងនឹង 'MuddyWater' APT រួមមាន spear phishing emails និងការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះ zero day ដើម្បីសម្របសម្រួលជនរងគ្រោះរបស់ពួកគេ។ 'MuddyWater' APT ត្រូវបានភ្ជាប់យ៉ាងហោចណាស់ 30 អាសយដ្ឋាន IP ផ្សេងគ្នា។ ពួកគេក៏នឹងបញ្ជូនទិន្នន័យរបស់ពួកគេតាមរយៈម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួលជាងបួនពាន់ដែលកម្មវិធីជំនួយដែលខូចសម្រាប់ WordPress បានអនុញ្ញាតឱ្យពួកគេដំឡើងប្រូកស៊ី។ មកទល់នឹងពេលនេះ យ៉ាងហោចណាស់មានអង្គការចំនួន 50 និងបុគ្គលច្រើនជាង 1600 ត្រូវបានជនរងគ្រោះនៃការវាយប្រហារដែលភ្ជាប់ទៅនឹង 'MuddyWater' APT ។ ការវាយប្រហារ 'MuddyWater' APT ដែលត្រូវបានគេរកឃើញច្រើនបំផុតគឺផ្តោតលើអ្នកប្រើប្រាស់ឧបករណ៍ Android ដោយបញ្ជូនមេរោគដល់ជនរងគ្រោះក្នុងការប៉ុនប៉ង o ជ្រៀតចូលឧបករណ៍ចល័តរបស់ពួកគេ។ ដោយសារតែទម្រង់ខ្ពស់នៃគោលដៅនៃក្រុមដែលឧបត្ថម្ភដោយរដ្ឋនេះ វាមិនទំនងថាអ្នកប្រើប្រាស់កុំព្យូទ័រភាគច្រើននឹងរកឃើញថាពួកគេត្រូវបានគេសម្របសម្រួលដោយការវាយប្រហារ 'MuddyWater' APT នោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ វិធានការដែលអាចជួយរក្សាអ្នកប្រើប្រាស់កុំព្យូទ័រឱ្យមានសុវត្ថិភាពពីការវាយប្រហារដូចជា 'MuddyWater' APT's គឺដូចគ្នាដែលអនុវត្តចំពោះមេរោគ និងក្រុមឧក្រិដ្ឋជនភាគច្រើន រួមទាំងការប្រើប្រាស់កម្មវិធីសុវត្ថិភាពខ្លាំង ការដំឡើងបំណះសុវត្ថិភាពចុងក្រោយបំផុត និងជៀសវាងមាតិកាអនឡាញដែលគួរឱ្យសង្ស័យ។ និងឯកសារភ្ជាប់អ៊ីមែល។
ការវាយប្រហាររបស់ប្រព័ន្ធប្រតិបត្តិការ Android ភ្ជាប់ទៅនឹង 'MuddyWater' APT
ឧបករណ៍វាយប្រហារចុងក្រោយបំផុតមួយដែលត្រូវបានប្រើប្រាស់ដោយ 'MuddyWater' APT គឺជាការគំរាមកំហែងមេរោគ Android ។ អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពកុំព្យូទ័របានរាយការណ៍ពីគំរូចំនួនបីនៃមេរោគ Android នេះ ដែល 2 ហាក់ដូចជាមិនទាន់បញ្ចប់កំណែដែលត្រូវបានបង្កើតឡើងក្នុងខែធ្នូ ឆ្នាំ 2017។ ការវាយប្រហារថ្មីៗបំផុតដែលពាក់ព័ន្ធនឹង 'MuddyWater' APT ត្រូវបានទម្លាក់ដោយប្រើគេហទំព័រដែលសម្របសម្រួលនៅក្នុងប្រទេសទួរគី។ ជនរងគ្រោះនៃការវាយប្រហារ APT 'MuddyWater' មានទីតាំងនៅប្រទេសអាហ្វហ្គានីស្ថាន។ ដូចជាការវាយប្រហារចារកម្ម 'MuddyWater' APT ភាគច្រើន គោលបំណងនៃការឆ្លងមេរោគនេះគឺដើម្បីទទួលបានការចូលទៅកាន់ទំនាក់ទំនងរបស់ជនរងគ្រោះ ប្រវត្តិការហៅទូរសព្ទ និងសារអត្ថបទ ក៏ដូចជាការចូលប្រើព័ត៌មាន GPS នៅលើឧបករណ៍ដែលមានមេរោគ។ ព័ត៌មាននេះអាចត្រូវបានប្រើប្រាស់ដើម្បីធ្វើបាបជនរងគ្រោះ ឬរកប្រាក់ចំណេញតាមវិធីផ្សេងៗគ្នា។ ឧបករណ៍ផ្សេងទៀតដែលទាក់ទងនឹងការវាយប្រហារ 'MuddyWater' APT រួមមាន Trojans ខាងក្រោយផ្ទាល់ខ្លួន។ Backdoors ផ្ទាល់ខ្លួនចំនួនបីត្រូវបានភ្ជាប់ទៅ 'MuddyWater' APT:
1. Trojan ផ្ទាល់ខ្លួនដំបូងគេប្រើសេវាកម្មពពកសម្រាប់រក្សាទុកទិន្នន័យទាំងអស់ដែលទាក់ទងនឹងការវាយប្រហារ 'MuddyWater' APT ។
2. Trojan backdoor ផ្ទាល់ខ្លួនទីពីរគឺផ្អែកលើ .NET ហើយដំណើរការ PowerShell ជាផ្នែកនៃយុទ្ធនាការរបស់វា។
3. backdoor ផ្ទាល់ខ្លួនទីបីដែលទាក់ទងនឹងការវាយប្រហារ 'MuddyWater' APT គឺផ្អែកលើ Delphi ហើយត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានប្រព័ន្ធរបស់ជនរងគ្រោះ។
នៅពេលដែលឧបករណ៍របស់ជនរងគ្រោះត្រូវបានសម្របសម្រួលនោះ 'MuddyWater' APT នឹងប្រើមេរោគ និងឧបករណ៍ដែលគេស្គាល់ដើម្បីគ្រប់គ្រងកុំព្យូទ័រដែលមានមេរោគ និងប្រមូលទិន្នន័យដែលពួកគេត្រូវការ។ ឧក្រិដ្ឋជនដែលជាផ្នែកមួយនៃការវាយប្រហារ 'MuddyWater' APT គឺមិនគួរឱ្យជឿទេ។ មានករណីជាច្រើននៃកូដ sloppy និងទិន្នន័យលេចធ្លាយ ដែលអនុញ្ញាតឱ្យពួកគេកំណត់បន្ថែមអំពីអត្តសញ្ញាណរបស់អ្នកវាយប្រហារ 'MuddyWater' APT ។