MURKYTOUR Backdoor

នៅខែតុលា ឆ្នាំ 2024 តួអង្គគម្រាមកំហែងមួយរូបដែលស្របតាមប្រទេសអ៊ីរ៉ង់ UNC2428 បានចាប់ផ្តើមយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលផ្តោតលើបុគ្គលអ៊ីស្រាអែល។ ដោយលាក់ខ្លួនជាអ្នកជ្រើសរើសពីអ្នកម៉ៅការការពារជាតិអ៊ីស្រាអែល Rafael ក្រុមនេះបានប្រើគ្រោងការណ៍វិស្វកម្មសង្គមដែលផ្តោតលើការងារដើម្បីទាក់ទាញជនរងគ្រោះ។ នៅពេលដែលបុគ្គលបង្ហាញចំណាប់អារម្មណ៍ ពួកគេត្រូវបានបញ្ជូនបន្តទៅកាន់គេហទំព័រក្លែងបន្លំដែលធ្វើត្រាប់តាម Rafael ជាកន្លែងដែលពួកគេត្រូវបានជំរុញឱ្យទាញយកឧបករណ៍កម្មវិធីដែលមានឈ្មោះថា 'RafaelConnect.exe'។

ពីការចាប់អារម្មណ៍រហូតដល់ការឈ្លានពាន៖ ខ្សែសង្វាក់ចែកចាយមេរោគ

ឧបករណ៍ដែលបានទាញយកគឺពិតជាកម្មវិធីដំឡើងដែលគេស្គាល់ថា LONEFLEET។ វាមានលក្ខណៈពិសេសចំណុចប្រទាក់អ្នកប្រើក្រាហ្វិក (GUI) ដែលត្រូវបានរចនាឡើងដើម្បីមើលទៅដូចវិបផតថលកម្មវិធីការងារស្របច្បាប់ ស្នើសុំព័ត៌មានលម្អិតផ្ទាល់ខ្លួន និងការបង្ហោះប្រវត្តិរូប។ ចំណុចប្រទាក់ដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់នេះបានលាក់បាំងចេតនាបង្កគ្រោះថ្នាក់។ នៅពេលបញ្ជូនទិន្នន័យ ទ្វារខាងក្រោយហៅថា MURKYTOUR ត្រូវបានដាក់ពង្រាយដោយស្ងៀមស្ងាត់ក្នុងផ្ទៃខាងក្រោយ តាមរយៈកម្មវិធីបើកដំណើរការដែលមានឈ្មោះថា LEAFPILE ដែលផ្តល់ឱ្យអ្នកវាយប្រហារបន្តចូលទៅកាន់ប្រព័ន្ធដែលមានមេរោគ។ វិធីសាស្រ្តនេះបង្ហាញពីការប្រើប្រាស់យុទ្ធសាស្ត្ររបស់តួអង្គគំរាមកំហែងនៃ GUI ដើម្បីក្លែងបន្លំការប្រតិបត្តិមេរោគជាសកម្មភាពស្លូតបូត។

អ្នកលេងច្រើនជាងម្នាក់៖ ទេសភាពការគំរាមកំហែងតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់ដែលកំពុងពង្រីក

UNC2428 គ្រាន់តែជាផ្នែកមួយនៃល្បែងផ្គុំរូបប្រតិបត្តិការអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់ដ៏ទូលំទូលាយ។ យុទ្ធនាការនេះចែករំលែកលក្ខណៈជាមួយនឹងសកម្មភាពដែលភ្ជាប់ទៅនឹង Black Shadow ដែលជាអង្គភាពមួយដែលត្រូវបានចោទប្រកាន់ដោយនាយកគ្រប់គ្រងអ៊ីនធឺណិតជាតិអ៊ីស្រាអែល ហើយគេជឿថាប្រតិបត្តិការនៅក្រោមក្រសួងស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខរបស់អ៊ីរ៉ង់ (MOIS)។ គោលដៅរបស់ពួកគេលាតសន្ធឹងលើវិស័យជាច្រើននៅអ៊ីស្រាអែល រួមទាំង៖

• រដ្ឋាភិបាល និងការពារជាតិ
• ការថែទាំសុខភាព និងហិរញ្ញវត្ថុ
• បច្ចេកវិទ្យា និងទំនាក់ទំនង

តារាសម្តែងម្នាក់ទៀត UNC3313 ដែលជាប់ពាក់ព័ន្ធនឹងក្រុម MuddyWater បានដំណើរការយុទ្ធនាការ spear-phishing តាំងពីឆ្នាំ 2022 ហើយត្រូវបានគេស្គាល់ថាសម្រាប់ការប្រើប្រាស់ឧបករណ៍ត្រួតពិនិត្យពីចម្ងាយស្របច្បាប់ ដើម្បីរក្សាការលួចចូល និងការចូលប្រើប្រាស់ជាប់លាប់។ ទន្ទឹមនឹងនេះ UNC1549 បានផ្លាស់ប្តូរឆ្ពោះទៅរកហេដ្ឋារចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើពពក ដើម្បីបញ្ចូលគ្នាឱ្យកាន់តែប្រសើរឡើងទៅក្នុងបរិយាកាសសហគ្រាស និងជៀសវាងការរកឃើញ។

Masterminds of Manipulation: APT42 និង Beyond

APT42 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Charming Kitten មានភាពល្បីល្បាញសម្រាប់បច្ចេកទេសវិស្វកម្មសង្គមដ៏ទំនើបរបស់វា។ ក្រុម​នេះ​បាន​ដាក់​ពង្រាយ​ទំព័រ​ចូល​ក្លែងក្លាយ​ដែល​ក្លែង​ខ្លួន​ជា​វេទិកា​ធំៗ​ដូច​ជា Google, Microsoft និង Yahoo! ដើម្បីប្រមូលផលអត្តសញ្ញាណ។ ពួកគេបានប្រើវេទិកាដូចជា Google Sites និង Dropbox ដើម្បីបញ្ឆោតជនរងគ្រោះទៅកាន់ទំព័រព្យាបាទទាំងនេះ ដោយបង្កើនការបោកប្រាស់របស់ពួកគេ។

លើសពីនេះទៅទៀត APT34 (OilRig) បានប្រើប្រាស់ backdoors ផ្ទាល់ខ្លួនដូចជា DODGYLAFFA និង SPAREPRIZE ក្នុងការវាយប្រហារលើប្រព័ន្ធរដ្ឋាភិបាលអ៊ីរ៉ាក់។ សរុបមក អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគពិសេសជាង 20 គ្រួសារដែលត្រូវបានបង្កើតឡើង ឬប្រើប្រាស់ដោយតួអង្គអ៊ីរ៉ង់នៅទូទាំងប្រតិបត្តិការអ៊ីនធឺណេតមជ្ឈិមបូព៌ាក្នុងឆ្នាំ 2024។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងជាប់លាប់ និងវិវត្តន៍

តួអង្គតាមអ៊ីនធឺណិតរបស់អ៊ីរ៉ង់បានបង្ហាញពីការវិវត្តដ៏គួរឱ្យកត់សម្គាល់មួយនៅក្នុងយុទ្ធសាស្ត្រ ដោយរួមបញ្ចូលគ្នានូវឧបាយកលផ្លូវចិត្តជាមួយនឹងភាពទំនើបនៃបច្ចេកទេស។ តាមរយៈ GUIs ឧបករណ៍ស្របច្បាប់ និងសេវាកម្មពពក ពួកគេកំពុងកែលម្អវិធីសាស្រ្តរបស់ពួកគេក្នុងការរក្សាការចូលប្រើ និងការគេចពីការរកឃើញ ដែលជាសញ្ញានៃការប្រកួតប្រជែងបន្តសម្រាប់កិច្ចខិតខំប្រឹងប្រែងសន្តិសុខតាមអ៊ីនធឺណិតក្នុងតំបន់ និងសកល។