យុទ្ធនាការវាយប្រហារ PurpleBravo

អ្នកវិភាគស៊ើបការណ៍សម្ងាត់គំរាមកំហែងបានកំណត់អត្តសញ្ញាណអាសយដ្ឋាន IP ចំនួន 3,136 ដែលភ្ជាប់ទៅនឹងគោលដៅដែលទំនងជានៃយុទ្ធនាការសម្ភាសន៍ឆ្លង។ ប្រតិបត្តិការនេះត្រូវបានគេជឿថាពាក់ព័ន្ធនឹងអង្គការជនរងគ្រោះដែលមានសក្តានុពលចំនួន 20 ដែលធ្វើប្រតិបត្តិការនៅទូទាំងបញ្ញាសិប្បនិម្មិត រូបិយប័ណ្ណគ្រីបតូ សេវាកម្មហិរញ្ញវត្ថុ សេវាកម្មព័ត៌មានវិទ្យា ទីផ្សារ និងការអភិវឌ្ឍន៍កម្មវិធី។ អង្គភាពដែលរងផលប៉ះពាល់គ្របដណ្តប់លើទ្វីបអឺរ៉ុប អាស៊ីខាងត្បូង មជ្ឈិមបូព៌ា និងអាមេរិកកណ្តាល ដែលគូសបញ្ជាក់ពីវិសាលភាពសកលនៃសកម្មភាពនេះ។

អាសយដ្ឋាន IP ដែលភាគច្រើនប្រមូលផ្តុំនៅអាស៊ីខាងត្បូង និងអាមេរិកខាងជើង ត្រូវបានវាយតម្លៃថាត្រូវបានកំណត់គោលដៅរវាងខែសីហា ឆ្នាំ២០២៤ និងខែកញ្ញា ឆ្នាំ២០២៥។ ក្រុមហ៊ុនដែលរងផលប៉ះពាល់ត្រូវបានគេរាយការណ៍ថាមានមូលដ្ឋាននៅប្រទេសបែលហ្ស៊ិក ប៊ុលហ្គារី កូស្តារីកា ឥណ្ឌា អ៊ីតាលី ហូឡង់ ប៉ាគីស្ថាន រ៉ូម៉ានី អារ៉ាប់រួម និងវៀតណាម។

PurpleBravo៖ ចង្កោមគំរាមកំហែងដ៏ច្រើនសន្ធឹកសន្ធាប់របស់កូរ៉េខាងជើង

សកម្មភាពនេះត្រូវបានសន្មតថាជាចង្កោមដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើង ដែលត្រូវបានតាមដានថាជា PurpleBravo ដែលត្រូវបានកត់ត្រាជាលើកដំបូងនៅចុងឆ្នាំ 2023។ ក្រុមនេះត្រូវបានគេស្គាល់នៅទូទាំងសហគមន៍សន្តិសុខក្រោមការកំណត់ជាច្រើន ដែលឆ្លុះបញ្ចាំងពីការតាមដានឧស្សាហកម្មយ៉ាងទូលំទូលាយ៖

CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, និង WaterPlum

PurpleBravo បានបង្ហាញពីការវិនិយោគប្រកបដោយចីរភាពលើហេដ្ឋារចនាសម្ព័ន្ធរយៈពេលវែង ពាណិជ្ជកម្មវិស្វកម្មសង្គម និងការអភិវឌ្ឍមេរោគ ដែលស្របតាមគោលបំណងដែលលាយឡំគ្នារវាងចារកម្មតាមអ៊ីនធឺណិត និងការលួចហិរញ្ញវត្ថុ។

ការទាញយកប្រយោជន៍ពីដំណើរការជ្រើសរើសបុគ្គលិក និងប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍

ការរកឃើញថ្មីៗកើតឡើងបន្ទាប់ពីការបង្ហាញពីការវិវត្តដ៏សំខាន់មួយនៅក្នុងយុទ្ធនាការសម្ភាសន៍ឆ្លង (Contagious Interview) ដែលសត្រូវប្រើប្រាស់គម្រោង Microsoft Visual Studio Code ដែលមានគំនិតអាក្រក់ដើម្បីចែកចាយច្រកចូលខាងក្រោយ (backdoor)។ យុទ្ធសាស្ត្រនេះរំលោភលើឧបករណ៍ និងលំហូរការងាររបស់អ្នកអភិវឌ្ឍន៍ដែលគួរឱ្យទុកចិត្ត ដែលបង្កើនលទ្ធភាពនៃការសម្របសម្រួលដោយជោគជ័យ។

ក្រុមអ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណបុគ្គលក្លែងក្លាយ LinkedIn ដែលក្លែងបន្លំជាអ្នកអភិវឌ្ឍន៍ និងអ្នកជ្រើសរើសបុគ្គលិក ដោយអះអាងថាដំណើរការពី Odesa ប្រទេសអ៊ុយក្រែន រួមជាមួយនឹងឃ្លាំងផ្ទុកមេរោគ GitHub ដែលត្រូវបានរចនាឡើងដើម្បីចែកចាយមេរោគដូចជា BeaverTail។ នៅក្នុងឧប្បត្តិហេតុជាច្រើន បេក្ខជនស្វែងរកការងារត្រូវបានរាយការណ៍ថាបានប្រតិបត្តិកូដព្យាបាទនៅលើឧបករណ៍ដែលចេញដោយសាជីវកម្ម ដោយពង្រីកការសម្របសម្រួលហួសពីបុគ្គល និងដោយផ្ទាល់ទៅក្នុងបរិយាកាសសហគ្រាស។

ឃ្លាំងផ្ទុកមេរោគ និងហេដ្ឋារចនាសម្ព័ន្ធបញ្ជាការ

PurpleBravo ដំណើរការហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យដាច់ដោយឡែកពីគ្នា ដើម្បីគាំទ្រដល់ក្រុមគ្រួសារមេរោគច្រើន។ ទាំងនេះរួមមាន BeaverTail ដែលជាឧបករណ៍ផ្ទុក និងឧបករណ៍ផ្ទុកដែលមានមូលដ្ឋានលើ JavaScript និង GolangGhost (ដែលក៏ត្រូវបានតាមដានថាជា FlexibleFerret ឬ WeaselStore) ដែលជាច្រកចូលដែលមានមូលដ្ឋានលើ Go ដែលទទួលបានពីគម្រោង HackBrowserData ប្រភពបើកចំហ។

ម៉ាស៊ីនមេ C2 របស់ក្រុមនេះត្រូវបានចែកចាយនៅទូទាំងអ្នកផ្តល់សេវាបង្ហោះចំនួន 17 ហើយត្រូវបានគ្រប់គ្រងតាមរយៈ Astrill VPN ដោយសកម្មភាពគ្រប់គ្រងត្រូវបានតាមដានទៅជួរ IP នៅក្នុងប្រទេសចិន។ ការប្រើប្រាស់ Astrill VPN ត្រូវបានកត់ត្រាម្តងហើយម្តងទៀតនៅក្នុងប្រតិបត្តិការតាមអ៊ីនធឺណិតរបស់កូរ៉េខាងជើងពីមុន ដែលពង្រឹងទំនុកចិត្តលើការចាត់ថ្នាក់។

ការរួមបញ្ចូលជាមួយនឹងការគំរាមកំហែងដល់កម្មករ IT 'Wagemole'

ការសម្ភាសន៍ឆ្លងត្រូវបានវាយតម្លៃដើម្បីបំពេញបន្ថែមយុទ្ធនាការដាច់ដោយឡែកមួយ ប៉ុន្តែពាក់ព័ន្ធគ្នា ដែលគេស្គាល់ថាជា Wagemole (PurpleDelta)។ ប្រតិបត្តិការនោះពាក់ព័ន្ធនឹងបុគ្គលិក IT របស់កូរ៉េខាងជើងដែលទទួលការងារដោយគ្មានការអនុញ្ញាតក្រោមអត្តសញ្ញាណលួច ឬក្លែងក្លាយ ជាចម្បងដើម្បីបង្កើតប្រាក់ចំណូល និងធ្វើចារកម្ម។ ទោះបីជា Wagemole បានសកម្មតាំងពីឆ្នាំ ២០១៧ ហើយត្រូវបានតាមដានជាចង្កោមដាច់ដោយឡែកក៏ដោយ ក៏អ្នកស៊ើបអង្កេតបានរកឃើញការត្រួតស៊ីគ្នាខាងយុទ្ធសាស្ត្រ និងហេដ្ឋារចនាសម្ព័ន្ធគួរឱ្យកត់សម្គាល់។

តំណភ្ជាប់ដែលត្រូវបានគេសង្កេតឃើញរួមមានប្រតិបត្តិករ PurpleBravo ដែលបង្ហាញអាកប្បកិរិយាស្របនឹងបុគ្គលិក IT របស់កូរ៉េខាងជើង អាសយដ្ឋាន IP របស់រុស្ស៊ីដែលភ្ជាប់ទៅនឹងសកម្មភាពបុគ្គលិក IT ដែលគេស្គាល់ដែលទាក់ទងជាមួយហេដ្ឋារចនាសម្ព័ន្ធ PurpleBravo និងណូត Astrill VPN ដែលបានចែករំលែកដែលភ្ជាប់ជាមួយចង្កោមទាំងពីរ។

ការកើនឡើងហានិភ័យខ្សែសង្វាក់ផ្គត់ផ្គង់ និងសហគ្រាស

និន្នាការ​ដ៏​គួរ​ឲ្យ​ព្រួយបារម្ភ​មួយ​គឺ​ការប្រើប្រាស់​ការផ្តល់ជូន​ការងារ​ក្លែងក្លាយ​ដើម្បី​ទាក់ទាញ​បេក្ខជន​ឲ្យ​បំពេញ​ការវាយតម្លៃ​ការសរសេរកូដ​លើ​ប្រព័ន្ធ​ដែល​គ្រប់គ្រង​ដោយ​និយោជក ដែល​ប្រែក្លាយ​ការឆបោក​ជ្រើសរើស​បុគ្គលិក​ទៅជា​វ៉ិចទ័រ​ជ្រៀតចូល​សហគ្រាស​យ៉ាង​មាន​ប្រសិទ្ធភាព។ នេះ​បង្ហាញ​ថា កម្មវិធី និង​ខ្សែសង្វាក់​ផ្គត់ផ្គង់​ព័ត៌មានវិទ្យា​ងាយ​នឹង​រង​ការជ្រៀតចូល​ខ្លាំង សូម្បីតែ​នៅ​ខាងក្រៅ​គម្រោង​ការងារ​បុគ្គលិក​ផ្នែក​ព័ត៌មានវិទ្យា​ដែល​បាន​ផ្សព្វផ្សាយ​យ៉ាង​ទូលំទូលាយ​ក៏ដោយ។

អង្គការគោលដៅជាច្រើនផ្សព្វផ្សាយមូលដ្ឋានអតិថិជនធំៗ ដែលបង្កើនសក្តានុពលសម្រាប់ការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់នៅផ្នែកខាងក្រោម។ អ្នកស្រាវជ្រាវសន្តិសុខព្រមានថា ខណៈពេលដែលការគំរាមកំហែងដល់កម្មករ IT របស់កូរ៉េខាងជើងបានទទួលការចាប់អារម្មណ៍យ៉ាងទូលំទូលាយ គំរូ PurpleBravo នៃការជ្រៀតចូលខ្សែសង្វាក់ផ្គត់ផ្គង់ ធានានូវអាទិភាពស្មើគ្នា។ អង្គការនានាត្រូវបានជំរុញឱ្យពង្រឹងដំណើរការជ្រើសរើសបុគ្គលិក ការគ្រប់គ្រងបរិស្ថានអ្នកអភិវឌ្ឍន៍ និងការគ្រប់គ្រងហានិភ័យភាគីទីបី ដើម្បីរកឃើញ រំខាន និងការពារការប៉ះពាល់ទិន្នន័យរសើបដល់តួអង្គគំរាមកំហែងរបស់កូរ៉េខាងជើង។