មេរោគ ROAMINGMOUSE

ថ្មីៗនេះ តួអង្គគម្រាមកំហែងរបស់រដ្ឋដែលត្រូវបានគេស្គាល់ថា MirrorFace ត្រូវបានភ្ជាប់ជាមួយនឹងយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលផ្តោតលើភ្នាក់ងាររដ្ឋាភិបាល និងស្ថាប័នសាធារណៈនៅក្នុងប្រទេសជប៉ុន និងតៃវ៉ាន់។ តារា​សម្ដែង​រូប​នេះ ដែល​បាន​តម្រឹម​ជាមួយ​ប្រទេស​ចិន និង​ត្រូវ​បាន​គេ​ស្គាល់​ផង​ដែរ​ថា​ជា Earth Kasha ដំណើរការ​ជា​ក្រុម​រង​នៅ​ក្នុង APT10 ។ គិតត្រឹមខែមីនា ឆ្នាំ 2025 អ្នកស្រាវជ្រាវសន្តិសុខបានបង្ហាញព័ត៌មានលម្អិតថ្មីអំពីសកម្មភាពរបស់ក្រុម រួមទាំងការប្រើប្រាស់ឧបករណ៍មេរោគកម្រិតខ្ពស់របស់ពួកគេសម្រាប់ចារកម្ម។

ប្រតិបត្តិការ AkaiRyū៖ ការវាយប្រហារពីមុនត្រូវបានរកឃើញ

បន្ថែមពីលើប្រតិបត្តិការដែលកំពុងដំណើរការនៅក្នុងប្រទេសជប៉ុន និងតៃវ៉ាន់ Earth Kasha ក៏នៅពីក្រោយប្រតិបត្តិការ AkaiRyū ដែលជាការវាយប្រហារតាមអ៊ីនធឺណេតដែលសំដៅទៅលើអង្គការការទូតនៅសហភាពអឺរ៉ុបក្នុងខែសីហា ឆ្នាំ 2024។ ប្រតិបត្តិការនេះពាក់ព័ន្ធនឹងការដាក់ពង្រាយ ANEL backdoor ឬគេស្គាល់ថាជា UPPERCUT ដោយគូសបញ្ជាក់ពីយុទ្ធសាស្ត្រដ៏ទំនើបរបស់តារាសម្តែងក្នុងការទទួលបានព័ត៌មានរសើបចំពោះអ្នកប្រើប្រាស់។

យុទ្ធសាស្ត្រវាយប្រហារ៖ ខ្សែសង្វាក់បញ្ឆោតនៃមេរោគ

ប្រតិបត្តិការ MirrorFace ចាប់ផ្តើមជាមួយ spear-phishing email ដែលខ្លះផ្ញើពីគណនីស្របច្បាប់ដែលត្រូវបានសម្របសម្រួល។ អ៊ីមែលទាំងនេះមាន URL របស់ Microsoft OneDrive ដែលខូច ដែលនៅពេលចុច ទាញយកឯកសារ ZIP ។ នៅខាងក្នុងបណ្ណសារហ្ស៊ីប ឯកសារ Excel និងឧបករណ៍ទម្លាក់លេខដែលបើកដំណើរការម៉ាក្រូដែលមានឈ្មោះកូដ ROAMINGMOUSE បម្រើជាយានដឹកជញ្ជូនសម្រាប់មេរោគ។ ROAMINGMOUSE ដែលប្រើដោយ MirrorFace តាំងពីឆ្នាំមុន ឌិកូដ និងទម្លាក់ឯកសារ ZIP បន្ថែមដែលមានសមាសធាតុព្យាបាទជាច្រើន។

សមាសធាតុសំខាន់ៗនៃ Malware Drop៖

• JSLNTOOL.exe, JSTIEE.exe ឬ JSVWMNG.exe៖ ប្រព័ន្ធគោលពីរស្របច្បាប់
• JSFC.dll (ANELLDR): DLL ព្យាបាទ
• ការអ៊ិនគ្រីប ANEL Payload: ទ្វារខាងក្រោយសំខាន់
• MSVCR100.dll៖ ភាពអាស្រ័យ DLL ស្របច្បាប់

នៅពេលដែលបានធ្លាក់ចុះ មេរោគប្រើ explorer.exe ដើម្បីបើកដំណើរការដែលអាចប្រតិបត្តិបានដោយស្របច្បាប់ ដោយផ្ទុកនូវ backdoor ANEL តាមរយៈ DLL, ANELLDR ក្លែងបន្លំ។

លក្ខណៈពិសេសដែលបានកែលម្អនៅក្នុង ANEL: យុគសម័យថ្មីនៃចារកម្មតាមអ៊ីនធឺណិត

Backdoor ANEL ដែលប្រើក្នុងយុទ្ធនាការឆ្នាំ 2025 រួមមានការអាប់ដេតដ៏សំខាន់មួយ៖ ពាក្យបញ្ជាថ្មីដែលគាំទ្រការប្រតិបត្តិក្នុងអង្គចងចាំរបស់ Beacon Object Files (BOFs)។ BOFs គឺជាកម្មវិធី C តូចៗដែលត្រូវបានរចនាឡើងដើម្បីពង្រីកសមត្ថភាពរបស់ភ្នាក់ងារ Cobalt Strike ដោយបង្កើនលក្ខណៈពិសេសក្រោយការកេងប្រវ័ញ្ច។ នៅពេលដំឡើងរួច ទ្វារខាងក្រោយអាចឱ្យ Earth Kasha ថតរូបអេក្រង់ ពិនិត្យមើលបរិស្ថានរបស់ជនរងគ្រោះ និងប្រមូលបញ្ជីដំណើរការ និងព័ត៌មានដែនសម្រាប់ការកេងប្រវ័ញ្ចបន្ថែមទៀត។

ការប្រើប្រាស់ SharpHide និង NOOPDOOR

ក្នុងករណីខ្លះ តួអង្គគំរាមកំហែងនៅពីក្រោយ Earth Kasha បានប្រើប្រាស់ SharpHide ដែលជាឧបករណ៍ប្រភពបើកចំហ ដើម្បីបើកដំណើរការកំណែថ្មីនៃ NOOPDOOR backdoor (ត្រូវបានគេស្គាល់ថា HiddenFace)។ backdoor នេះត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញដោយគាំទ្រ DNS-over-HTTPS (DoH) ដែលជួយលាក់ការរកមើលអាសយដ្ឋាន IP ដែលប្រើសម្រាប់ការទំនាក់ទំនង Command-and-Control (C2) ។

ការគំរាមកំហែងដែលកំពុងបន្ត និងការប្រុងប្រយ័ត្នត្រូវការ

Earth Kasha នៅតែជាការគំរាមកំហែងយ៉ាងសកម្ម និងជាប់លាប់ដែលកំណត់គោលដៅលើទ្រព្យសម្បត្តិដែលមានតម្លៃខ្ពស់ រួមទាំងទិន្នន័យរសើបរបស់រដ្ឋាភិបាល កម្មសិទ្ធិបញ្ញា និងការចូលប្រើប្រាស់ព័ត៌មានសម្ងាត់។ សហគ្រាស និងអង្គការនានា ជាពិសេសនៅក្នុងវិស័យដែលទាក់ទងនឹងអភិបាលកិច្ច និងហេដ្ឋារចនាសម្ព័ន្ធ ត្រូវតែបន្តអនុវត្តវិធានការសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំ ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារកម្រិតខ្ពស់ និងជាប់លាប់បែបនេះ។