ការវាយប្រហារ Ransomware ទង់ក្លែងក្លាយ MuddyWater

ក្រុមគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋអ៊ីរ៉ង់ MuddyWater ដែលក៏ត្រូវបានតាមដានក្រោមឈ្មោះក្លែងក្លាយដូចជា Mango Sandstorm, Seedworm និង Static Kitten ត្រូវបានផ្សារភ្ជាប់ទៅនឹងយុទ្ធនាការ ransomware ដ៏ស្មុគស្មាញមួយដែលអ្នកស៊ើបអង្កេតពិពណ៌នាថាជាប្រតិបត្តិការមិនពិត។ ទោះបីជាការឈ្លានពាននេះដំបូងឡើយស្រដៀងនឹងសកម្មភាពដែលទាក់ទងនឹងប្រតិបត្តិការ Ransomware-as-a-Service (RaaS) ធម្មតាដោយប្រើម៉ាក Chaos ransomware ក៏ដោយ ការវិភាគស៊ីជម្រៅបានបង្ហាញពីលក្ខណៈស្របនឹងការវាយប្រហារតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋដែលក្លែងបន្លំជាការជំរិតទារប្រាក់ដែលមានហេតុផលផ្នែកហិរញ្ញវត្ថុ។

ប្រតិបត្តិការនេះ ដែលត្រូវបានកំណត់អត្តសញ្ញាណនៅដើមឆ្នាំ ២០២៦ ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវិស្វកម្មសង្គមតាមរយៈ Microsoft Teams។ អ្នកវាយប្រហារបានធ្វើវគ្គចូលរួមអន្តរកម្មខ្ពស់ជាមួយជនរងគ្រោះ ដោយទាញយកអត្ថប្រយោជន៍ពីមុខងារចែករំលែកអេក្រង់ដើម្បីប្រមូលព័ត៌មានសម្គាល់ និងរៀបចំដំណើរការផ្ទៀងផ្ទាត់ពហុកត្តា។ បន្ទាប់ពីទទួលបានការចូលប្រើ អ្នកគំរាមកំហែងបានបោះបង់ចោលយុទ្ធសាស្ត្រ ransomware បែបប្រពៃណីដូចជាការអ៊ិនគ្រីបឯកសារទ្រង់ទ្រាយធំ ហើយជំនួសមកវិញផ្តោតលើការលួចទិន្នន័យ ការតស៊ូដោយលួចលាក់ និងការចូលប្រើបណ្តាញរយៈពេលវែងតាមរយៈឧបករណ៍គ្រប់គ្រងពីចម្ងាយ។

ល្បិច​ឧក្រិដ្ឋកម្ម​តាម​អ៊ីនធឺណិត​ត្រូវ​បាន​ប្រើ​ដើម្បី​លាក់​បាំង​ប្រតិបត្តិការ​របស់​រដ្ឋ

ក្រុមអ្នកស្រាវជ្រាវជឿជាក់ថាយុទ្ធនាការនេះឆ្លុះបញ្ចាំងពីកិច្ចខិតខំប្រឹងប្រែងដោយចេតនារបស់ MuddyWater ដើម្បីបិទបាំងការបញ្ជាក់អត្តសញ្ញាណដោយការប្រើប្រាស់ឧបករណ៍ និងបច្ចេកទេសដែលជាទូទៅជាប់ទាក់ទងនឹងប្រព័ន្ធអេកូឡូស៊ីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ ក្រុមនេះបានរួមបញ្ចូលមេរោគក្រោមដីដែលមានលក់ជាលក្ខណៈពាណិជ្ជកម្ម និងក្របខ័ណ្ឌចូលប្រើពីចម្ងាយទៅក្នុងប្រតិបត្តិការរបស់ខ្លួនកាន់តែច្រើនឡើងៗ រួមទាំងឧបករណ៍ដូចជា CastleRAT និង Tsundere។

យុទ្ធសាស្ត្រនេះស្របនឹងយុទ្ធនាការ MuddyWater មុនៗ ដែលលាយបញ្ចូលគ្នានូវសកម្មភាពចារកម្ម និងសកម្មភាពបំផ្លិចបំផ្លាញជាមួយនឹងប្រតិបត្តិការបែប ransomware។ នៅឆ្នាំ ២០២០ ក្រុមនេះបានកំណត់គោលដៅអង្គការធំៗរបស់អ៊ីស្រាអែលដោយប្រើ PowGoop loader ដើម្បីដាក់ពង្រាយបំផ្លិចបំផ្លាញនៃ Thanos ransomware។ នៅឆ្នាំ ២០២៣ Microsoft បានភ្ជាប់ក្រុមនេះទៅ DEV-1084 ដែលជាតួអង្គដែលមានទំនាក់ទំនងជាមួយ DarkBit ក្នុងអំឡុងពេលវាយប្រហារដែលក្លែងបន្លំជាឧប្បត្តិហេតុ ransomware។ នៅចុងឆ្នាំ ២០២៥ ប្រតិបត្តិករដែលមានទំនាក់ទំនងជាមួយអ៊ីរ៉ង់ក៏ត្រូវបានសង្ស័យថាបានប្រើប្រាស់ Qilin ransomware ប្រឆាំងនឹងមន្ទីរពេទ្យរដ្ឋាភិបាលអ៊ីស្រាអែលផងដែរ។

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានសន្និដ្ឋានថា យុទ្ធនាការចុងក្រោយបំផុតទំនងជាពាក់ព័ន្ធនឹងប្រតិបត្តិករដែលមានទំនាក់ទំនងជាមួយអ៊ីរ៉ង់ ដែលធ្វើប្រតិបត្តិការតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលបានបង្កើតឡើង ខណៈពេលដែលកំពុងបន្តគោលបំណងភូមិសាស្ត្រនយោបាយកាន់តែទូលំទូលាយ។ ការប្រើប្រាស់ Qilin និងការចូលរួមក្នុងប្រព័ន្ធអេកូឡូស៊ីសម្ព័ន្ធ ransomware ទំនងជាផ្តល់នូវការគ្របដណ្តប់ប្រតិបត្តិការ ភាពអាចបដិសេធបាន និងការចូលប្រើសមត្ថភាពវាយប្រហារដែលមានភាពចាស់ទុំ ខណៈពេលដែលជួយអ្នកវាយប្រហារឱ្យគេចផុតពីការត្រួតពិនិត្យការពារជាតិរបស់អ៊ីស្រាអែល។

Chaos RaaS៖ ប្រព័ន្ធអេកូឡូស៊ីជំរិតទារប្រាក់ដែលកំពុងកើនឡើង

ភាពវឹកវរបានលេចចេញនៅដើមឆ្នាំ ២០២៥ ជាប្រតិបត្តិការ Ransomware-as-a-Service ដែលត្រូវបានគេស្គាល់ថាសម្រាប់យុទ្ធសាស្ត្រជំរិតទារប្រាក់ទ្វេដងយ៉ាងសកម្ម។ ក្រុមនេះបានផ្សព្វផ្សាយកម្មវិធីសម្ព័ន្ធរបស់ខ្លួននៅលើវេទិកាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតក្រោមដីដូចជា RAMP និង RehubCom ហើយបានពង្រីកវិសាលភាពប្រតិបត្តិការរបស់ខ្លួនយ៉ាងឆាប់រហ័ស។

យុទ្ធនាការវឹកវរជាទូទៅរួមបញ្ចូលគ្នានូវការលេចធ្លាយអ៊ីមែល ការបន្លំសំឡេង និងការវាយប្រហារក្លែងបន្លំ Microsoft Teams ដែលអ្នកគំរាមកំហែងធ្វើពុតជាបុគ្គលិកគាំទ្រ IT។ ជនរងគ្រោះត្រូវបានរៀបចំឱ្យដំឡើងកម្មវិធីចូលប្រើពីចម្ងាយដូចជា Microsoft Quick Assist ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើតទីតាំងឈរជើងនៅក្នុងបរិយាកាសសាជីវកម្មមុនពេលបង្កើនសិទ្ធិ ផ្លាស់ទីទៅចំហៀង និងដាក់ពង្រាយ ransomware payloads។

ក្រុមនេះក៏បានបង្ហាញពីគំរូជំរិតទារប្រាក់កាន់តែខ្លាំងឡើងផងដែរ៖

• ការជំរិតទារប្រាក់ទ្វេដងតាមរយៈការលួចទិន្នន័យ និងការទាមទារប្រាក់លោះ
• ការជំរិតទារប្រាក់បីដងដែលពាក់ព័ន្ធនឹងការគំរាមកំហែងនៃការវាយប្រហារបដិសេធសេវាកម្មចែកចាយ (DDoS)
• យុទ្ធសាស្ត្រជំរិតទារប្រាក់បួនដង ដែលរួមមានការគំរាមកំហែងទាក់ទងអតិថិជន ដៃគូ ឬដៃគូប្រកួតប្រជែង ដើម្បីបង្កើនសម្ពាធលើជនរងគ្រោះ

គិតត្រឹមខែមីនា ឆ្នាំ២០២៦ ក្រុមហ៊ុន Chaos បានឆក់យកជនរងគ្រោះចំនួន ៣៦នាក់នៅលើវេទិកាលេចធ្លាយទិន្នន័យរបស់ខ្លួន ដោយអង្គការភាគច្រើនមានទីតាំងនៅសហរដ្ឋអាមេរិក។ វិស័យសំណង់ ផលិតកម្ម និងសេវាកម្មអាជីវកម្ម បានលេចចេញជាឧស្សាហកម្មដែលត្រូវបានកំណត់គោលដៅយ៉ាងតឹងរ៉ឹងបំផុត។

កាយវិភាគសាស្ត្រនៃការឈ្លានពាន

ក្នុងអំឡុងពេលនៃការឈ្លានពានដែលត្រូវបានស៊ើបអង្កេត អ្នកវាយប្រហារបានផ្តួចផ្តើមការសន្ទនាខាងក្រៅជាមួយបុគ្គលិករបស់ Microsoft Teams ដើម្បីទទួលបានទំនុកចិត្ត និងលើកទឹកចិត្តដល់វគ្គចែករំលែកអេក្រង់។ គណនីអ្នកប្រើប្រាស់ដែលរងការគំរាមកំហែងត្រូវបានប្រើប្រាស់សម្រាប់ការឈ្លបយកការណ៍ ការតស៊ូ ចលនាចំហៀង និងការលួចយកទិន្នន័យ។

ខណៈពេលកំពុងភ្ជាប់ទៅប្រព័ន្ធជនរងគ្រោះ អ្នកវាយប្រហារបានប្រតិបត្តិពាក្យបញ្ជាឈ្លបយកការណ៍ ចូលប្រើឯកសារទាក់ទងនឹង VPN និងណែនាំអ្នកប្រើប្រាស់ឱ្យបញ្ចូលព័ត៌មានសម្ងាត់ដោយដៃទៅក្នុងឯកសារអត្ថបទដែលបង្កើតក្នុងស្រុក។ ក្នុងករណីជាច្រើន AnyDesk ត្រូវបានដំឡើងដើម្បីពង្រឹងសមត្ថភាពចូលប្រើពីចម្ងាយ។

លើសពីនេះ ភ្នាក់ងារគំរាមកំហែងបានប្រើប្រាស់ពិធីការផ្ទៃតុពីចម្ងាយ (RDP) ដើម្បីទាញយកឯកសារដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា "ms_upd.exe" ពីអាសយដ្ឋានម៉ាស៊ីនមេខាងក្រៅ 172.86.126.208 ដោយប្រើឧបករណ៍ប្រើប្រាស់ curl។ នៅពេលដែលវាត្រូវបានដាក់ឱ្យដំណើរការ មេរោគបានផ្តួចផ្តើមខ្សែសង្វាក់ឆ្លងពហុដំណាក់កាលដែលត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយសមាសធាតុព្យាបាទបន្ថែម និងបង្កើតការទំនាក់ទំនងបញ្ជា និងគ្រប់គ្រងជាប់លាប់។

ឃ្លាំង​មេរោគ​នៅ​ពីក្រោយ​យុទ្ធនាការ​នេះ

ខ្សែសង្វាក់នៃការឆ្លងមេរោគបានបញ្ចូលសមាសធាតុមេរោគផ្សេងៗគ្នាជាច្រើនដែលធ្វើការរួមគ្នាដើម្បីរក្សាភាពស្ថិតស្ថេរ និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ៖

• 'ms_upd.exe' (Stagecomp) បានប្រមូលព័ត៌មានប្រព័ន្ធ ហើយបានទាក់ទងម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ ដើម្បីទាញយកបន្ទុកបន្ទាប់បន្សំ រួមទាំង 'game.exe,' 'WebView2Loader.dll,' និង 'visualwincomp.txt'។
• 'game.exe' (Darkcomp) ដំណើរការជាមេរោគ Trojan ចូលប្រើពីចម្ងាយផ្ទាល់ខ្លួន ដោយក្លែងបន្លំជាកម្មវិធី Microsoft WebView2 ស្របច្បាប់ដោយផ្អែកលើគម្រោង WebView2APISample ផ្លូវការ។

• 'WebView2Loader.dll' បានបម្រើជាការពឹងផ្អែកស្របច្បាប់ដែលត្រូវការសម្រាប់មុខងារ Microsoft Edge WebView2

• 'visualwincomp.txt' មានទិន្នន័យកំណត់រចនាសម្ព័ន្ធដែលបានអ៊ិនគ្រីបដែលប្រើដោយ RAT ដើម្បីកំណត់អត្តសញ្ញាណហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ។

នៅពេលដែលវាសកម្ម មេរោគ Trojan ចូលប្រើពីចម្ងាយនឹងទាក់ទងជាបន្តបន្ទាប់ជាមួយម៉ាស៊ីនមេបញ្ជារបស់វារៀងរាល់ 60 វិនាទីម្តង ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករប្រតិបត្តិស្គ្រីប PowerShell ដំណើរការពាក្យបញ្ជាប្រព័ន្ធ រៀបចំឯកសារ និងបង្កើតវគ្គបន្ទាត់ពាក្យបញ្ជាអន្តរកម្ម។

ភស្តុតាងដែលភ្ជាប់ប្រតិបត្តិការទៅនឹង MuddyWater

ការសន្មតថាជា MuddyWater ត្រូវបានពង្រឹងតាមរយៈការរកឃើញវិញ្ញាបនបត្រចុះហត្ថលេខាកូដដែលទាក់ទងនឹង 'Donald Gay' ដែលត្រូវបានប្រើដើម្បីចុះហត្ថលេខាលើគំរូមេរោគ 'ms_upd.exe'។ វិញ្ញាបនបត្រដូចគ្នានេះពីមុនត្រូវបានភ្ជាប់ទៅនឹងមេរោគ MuddyWater រួមទាំងវ៉ារ្យ៉ង់ទាញយក CastleLoader ដែលគេស្គាល់ថា Fakeset។

ក្រុមអ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា ប្រតិបត្តិការនេះបានបង្ហាញពីការរួមបញ្ចូលគ្នាយ៉ាងសំខាន់រវាងសកម្មភាពចារកម្មដែលឧបត្ថម្ភដោយរដ្ឋ និងវិធីសាស្ត្រប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ ការរួមបញ្ចូលគ្នានៃការដាក់ស្លាកសញ្ញា ransomware ការចរចាជំរិតទារប្រាក់ និងក្របខ័ណ្ឌមេរោគដែលមានលក់នៅលើទីផ្សារ បានធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងកំណត់អត្តសញ្ញាណ និងបង្វែរការយកចិត្តទុកដាក់ការពារឆ្ពោះទៅរកសកម្មភាពឆ្លើយតបទៅនឹងការលោះជាបន្ទាន់ ជាជាងយន្តការតស៊ូរយៈពេលវែងដែលបានបង្កើតឡើងតាមរយៈឧបករណ៍ចូលប្រើពីចម្ងាយ។

ហេតុអ្វីបានជាការវាយប្រហារលេចធ្លោ

ទិដ្ឋភាពមិនធម្មតាបំផុតមួយនៃយុទ្ធនាការនេះគឺអវត្តមានជាក់ស្តែងនៃការអ៊ិនគ្រីបឯកសារយ៉ាងទូលំទូលាយទោះបីជាមានការប្រើប្រាស់វត្ថុបុរាណ ransomware Chaos ក៏ដោយ។ គម្លាតនេះពីឥរិយាបថ ransomware ស្តង់ដារបង្ហាញយ៉ាងច្បាស់ថាសមាសធាតុ ransomware ដំណើរការជាចម្បងជាការក្លែងបន្លំ ឬការបង្វែរទិសដៅប្រតិបត្តិការជាជាងគោលបំណងបេសកកម្មចម្បង។

យុទ្ធនាការនេះក៏បានបង្ហាញពីនិន្នាការកើនឡើងក្នុងចំណោមអ្នកគំរាមកំហែងអ៊ីរ៉ង់ក្នុងការដាក់បញ្ចូលឧបករណ៍ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតទៅក្នុងប្រតិបត្តិការដឹកនាំដោយរដ្ឋ។ តាមរយៈការទាញយកអត្ថប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធក្រោមដី និងប្រព័ន្ធអេកូឡូស៊ីមេរោគដែលមានស្រាប់ ក្រុមដូចជា MuddyWater ទទួលបានភាពបត់បែនប្រតិបត្តិការកាន់តែច្រើន កាត់បន្ថយថ្លៃដើមអភិវឌ្ឍន៍ផ្ទៃក្នុង និងធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងបញ្ជាក់អត្តសញ្ញាណសម្រាប់អ្នកការពារ និងអ្នកវិភាគស៊ើបការណ៍សម្ងាត់។