មេរោគ PingPull

ក្រុម Gallim APT (Advanced Persistent Threat) បាននិងកំពុងដំណើរការយុទ្ធនាការវាយប្រហារមួយសំដៅទៅលើស្ថាប័នហិរញ្ញវត្ថុ និងអង្គភាពរដ្ឋាភិបាលនៅទូទាំងទ្វីបជាច្រើន។ ពិសេសជាងនេះទៅទៀត ប្រតិបត្តិការចុងក្រោយនេះ របស់ក្រុម Hacker ដែលទំនងជាគាំទ្រដោយចិន ត្រូវបានប្រើប្រាស់ប្រឆាំងនឹងគោលដៅនៅក្នុងប្រទេសរុស្ស៊ី បែលហ្ស៊ិក វៀតណាម កម្ពុជា អូស្ត្រាលី ហ្វីលីពីន ម៉ាឡេស៊ី និងអាហ្វហ្គានីស្ថាន។ លើសពីនេះ យោងតាមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតនៅ Unit42 របស់ Palo Alto Network តួអង្គគំរាមកំហែងបានដាក់ពង្រាយ RAT សម្ងាត់ថ្មីពិសេស (Remote Access Trojan) ដែលតាមដានជា 'PingPull' ។

ការគំរាមកំហែង PingPull ត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូលឧបករណ៍គោលដៅ ហើយបន្ទាប់មកបង្កើតសែលបញ្ច្រាសនៅលើពួកវា។ ក្រោយមក អ្នកវាយប្រហារនឹងមានសមត្ថភាពប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តពីចម្ងាយ។ របាយការណ៍ដោយ Unit42 បង្ហាញថាវ៉ារ្យ៉ង់បីផ្សេងគ្នានៃ PingPull ត្រូវបានកំណត់អត្តសញ្ញាណ។ ភាពខុសគ្នាសំខាន់រវាងពួកវាគឺពិធីការទំនាក់ទំនងដែលបានប្រើ - ICMP, HTTPS ឬ TCP ។ វាទំនងជាថាពួក Hacker Gallium ជ្រើសរើសវ៉ារ្យ៉ង់ដែលនឹងផ្តល់ឱ្យពួកគេនូវឱកាសល្អបំផុតដើម្បីគេចចេញពីវិធីសាស្ត្រស្វែងរកបណ្តាញជាក់លាក់ ឬឧបករណ៍សុវត្ថិភាពដោយផ្អែកលើព័ត៌មានដែលទទួលបានពីមុនអំពីគោលដៅ។

វ៉ារ្យ៉ង់ទាំងបីមាននៅលើម៉ាស៊ីនដែលជ្រៀតចូលជាសេវាកម្មដែលមានការពិពណ៌នាដែលធ្វើត្រាប់តាមសេវាកម្មស្របច្បាប់។ ពាក្យបញ្ជាដែលទទួលស្គាល់ដោយវ៉ារ្យ៉ង់ក៏ដូចគ្នាដែរ។ ពួកវាមានចាប់ពីការរៀបចំប្រព័ន្ធឯកសារ ដំណើរការពាក្យបញ្ជាតាមរយៈ cmd.exe រាប់បញ្ចូលបរិមាណផ្ទុក សមត្ថភាពក្នុងការកំណត់ពេលវេលាឯកសារ និងការបញ្ជូនទិន្នន័យទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2, C&C) នៃប្រតិបត្តិការ។ ចរាចរណ៍ចូលពី C2 ត្រូវបានអ៊ិនគ្រីបជាមួយក្បួនដោះស្រាយការគ្រីប AES ។ ដើម្បី​ឌិគ្រីប​ពាក្យ​បញ្ជា និង​ប៉ារ៉ាម៉ែត្រ​របស់​វា beacon មាន​សោ​កូដ​រឹង​ពីរ​គូ។