អ្នកថតសម្លេង
ថ្មីៗនេះ ក្រុមគំរាមកំហែងដែលគេស្គាល់ថា REF2924 បាននិងកំពុងកំណត់គោលដៅអង្គភាពផ្សេងៗនៅអាស៊ីខាងត្បូង និងអាស៊ីអាគ្នេយ៍ ដោយប្រើមេរោគប្រភេទថ្មីមួយ។ មេរោគនេះត្រូវបានតាមដានជា NAPLISTENER និងជាប្រភេទកម្មវិធីស្តាប់ HTTP ដែលត្រូវបានបង្កើតដោយប្រើភាសាសរសេរកម្មវិធី C# ។ NAPLISTENER មិនត្រូវបានគេមើលឃើញពីមុនទេ ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងមេរោគដែលមិនស្គាល់ពីមុន។ ព័ត៌មានលម្អិតអំពីវាត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវ infosec ។
NAPLISTENER ហាក់ដូចជាត្រូវបានរចនាឡើងជាពិសេសដើម្បីគេចចេញពី 'ទម្រង់នៃការរកឃើញតាមបណ្តាញ'។ នេះមានន័យថាវិធីសាស្ត្ររាវរកបែបប្រពៃណីដែលពឹងផ្អែកលើការវិភាគចរាចរណ៍បណ្តាញប្រហែលជាមិនមានប្រសិទ្ធភាពក្នុងការរកឃើញ NAPLISTENER ទេ។ វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថា REF2924 មានប្រវត្តិនៃការប្រើប្រាស់យុទ្ធសាស្ត្រកម្រិតខ្ពស់ និងទំនើបក្នុងការវាយប្រហាររបស់ពួកគេ។ ដូច្នេះ ការអភិវឌ្ឍន៍ថ្មីនេះគួរតែជាការព្រមានដល់អង្គការនៅក្នុងតំបន់គោលដៅឱ្យរក្សាការប្រុងប្រយ័ត្ន និងផ្តល់អាទិភាពដល់វិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ពួកគេ ដើម្បីការពារខ្លួនពីការវាយប្រហារដែលអាចកើតមានដោយ REF2924 ។
ក្រុម Hacker REF2924 ពង្រីកក្រុម Arsenal ដែលកំពុងគំរាមកំហែងរបស់ខ្លួន។
ឈ្មោះ 'REF2924' សំដៅលើក្រុមអ្នកវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺណេត ដែលបានចូលរួមក្នុងការវាយប្រហារប្រឆាំងនឹងគោលដៅមួយក្នុងប្រទេសអាហ្វហ្គានីស្ថាន ក៏ដូចជាការិយាល័យកិច្ចការបរទេសនៃសមាជិកអាស៊ានកាលពីឆ្នាំ 2022។ អ្នកវាយប្រហារទាំងនេះត្រូវបានគេជឿថាចែករំលែកបច្ចេកទេស បច្ចេកទេសស្រដៀងគ្នា។ និងនីតិវិធីជាមួយក្រុមលួចចូលមួយផ្សេងទៀតដែលគេស្គាល់ថា 'ChamelGang' ដែលត្រូវបានកំណត់អត្តសញ្ញាណដោយ Positive Technologies ដែលជាក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតមកពីប្រទេសរុស្ស៊ីក្នុងខែតុលា ឆ្នាំ 2021។
វិធីសាស្រ្តចម្បងនៃការវាយប្រហាររបស់ក្រុមនេះពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ចម៉ាស៊ីនមេ Microsoft Exchange ដែលត្រូវបានប៉ះពាល់នឹងអ៊ីនធឺណិត។ ពួកគេប្រើភាពងាយរងគ្រោះនេះដើម្បីដំឡើង backdoor ដូចជា DOORME, SIESTAGRAPH និង S hadowPad នៅលើប្រព័ន្ធគោលដៅ។ ការប្រើប្រាស់ ShadowPad គឺគួរឱ្យកត់សម្គាល់ជាពិសេសព្រោះវាបង្ហាញពីការតភ្ជាប់ដែលអាចកើតមានចំពោះក្រុមលួចចូលរបស់ចិនដែលបានប្រើមេរោគនេះពីមុននៅក្នុងយុទ្ធនាការតាមអ៊ីនធឺណិតផ្សេងៗ។
NAPLISTENER ចាត់ទុកជាសេវាកម្មស្របច្បាប់
ក្រុម hacking REF2924 បានបន្ថែមអាវុធថ្មីមួយទៅកាន់ឃ្លាំងផ្ទុកមេរោគដែលមិនធ្លាប់មាន។ មេរោគថ្មីនេះ ត្រូវបានគេស្គាល់ថា NAPLISTENER និងត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាឯកសារមួយដែលមានឈ្មោះថា 'wmdtc.exe' ត្រូវបានរចនាឡើងដើម្បីក្លែងខ្លួនវាជាសេវាកម្មសម្របសម្រួលប្រតិបត្តិការចែកចាយ Microsoft ស្របច្បាប់ ('msdtc.exe')។ គោលបំណងនៃការក្លែងបន្លំនេះគឺដើម្បីគេចពីការរកឃើញ និងទទួលបានការចូលប្រើប្រាស់រយៈពេលវែងទៅកាន់ប្រព័ន្ធគោលដៅ។
NAPLISTENER បង្កើតកម្មវិធីស្តាប់សំណើ HTTP ដែលអាចទទួលសំណើចូលពីអ៊ីនធឺណិត។ បន្ទាប់មកវាអានទិន្នន័យដែលបានបញ្ជូនណាមួយ ឌិកូដវាពីទម្រង់ Base64 ហើយប្រតិបត្តិវាក្នុងអង្គចងចាំ។ ការវិភាគកូដរបស់មេរោគបង្ហាញថា REF2924 បានខ្ចី ឬយកកូដឡើងវិញពីគម្រោងប្រភពបើកចំហដែលបង្ហោះនៅលើ GitHub ។ នេះបង្ហាញថាក្រុមនេះអាចនឹងត្រូវបានកែលម្អយ៉ាងសកម្ម និងកែលម្អអាវុធអ៊ីនធឺណិតរបស់ខ្លួន ដែលអាចធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់អ្នកស្រាវជ្រាវសន្តិសុខក្នុងការស្វែងរក និងការពារប្រឆាំងនឹងការវាយប្រហាររបស់ពួកគេ។
