សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) វ៉ារ្យ៉ង់មេរោគ Sagerunex

វ៉ារ្យ៉ង់មេរោគ Sagerunex

ដោយ Mezo ក្នុង ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT), ទ្វារក្រោយ
បកប្រែទៅ៖
ភាសាខ្មែរ

តួអង្គគំរាមកំហែងដ៏ល្បីឈ្មោះដែលត្រូវបានគេស្គាល់ថា Lotus Panda ត្រូវបានគេសង្កេតឃើញបានបើកការវាយប្រហារតាមអ៊ីនធឺណិតលើវិស័យរដ្ឋាភិបាល ផលិតកម្ម ទូរគមនាគមន៍ និងប្រព័ន្ធផ្សព្វផ្សាយនៅក្នុងប្រទេសហ្វីលីពីន វៀតណាម ហុងកុង និងតៃវ៉ាន់។ ការវាយប្រហារទាំងនេះពាក់ព័ន្ធនឹងកំណែអាប់ដេតនៃ Sagerunex backdoor ដែលជាប្រភេទមេរោគដែល Lotus Panda បានប្រើប្រាស់តាំងពីឆ្នាំ 2016 មក។ ក្រុម APT (Advanced Persistent Threat) បន្តកែលម្អយុទ្ធសាស្ត្ររបស់ខ្លួន ដោយប្រើប្រាស់សែលពាក្យបញ្ជាជាប់លាប់រយៈពេលវែង និងបង្កើតវ៉ារ្យ៉ង់ថ្មីនៃ malware arsenal របស់វា។

ឈ្មោះល្បីនៅក្នុង Cyber Espionage

Lotus Panda ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon, និង Thrip គឺជាក្រុមដែលគេសង្ស័យថាមានការលួចចូលរបស់ចិន ដែលបានធ្វើសកម្មភាពតាំងពីឆ្នាំ 2009 មកម្ល៉េះ។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានលាតត្រដាងជាសាធារណៈនូវប្រតិបត្តិការរបស់ខ្លួនជាលើកដំបូងនៅក្នុងខែមិថុនា ឆ្នាំ 2018 ដោយភ្ជាប់ក្រុមនេះទៅនឹងយុទ្ធនាការជាច្រើននៅទូទាំងអាស៊ី។

ប្រវត្តិនៃការឈ្លានពានដែលមានទម្រង់ខ្ពស់។

នៅចុងឆ្នាំ 2022 អ្នកជំនាញសន្តិសុខបានរៀបរាប់លម្អិតអំពីការវាយប្រហាររបស់ Lotus Panda ទៅលើអាជ្ញាធរវិញ្ញាបនបត្រឌីជីថល ក៏ដូចជារដ្ឋាភិបាល និងភ្នាក់ងារការពារនៅទូទាំងអាស៊ី។ ប្រតិបត្តិការទាំងនេះពាក់ព័ន្ធនឹងការដាក់ពង្រាយ backdoors ទំនើបដូចជា Hannotog និង Sagerunex ដោយគូសបញ្ជាក់ពីសមត្ថភាពរបស់ក្រុមក្នុងការសម្របសម្រួលស្ថាប័នសំខាន់ៗ។

ចំណុចចូលមិនច្បាស់លាស់ ប៉ុន្តែវិធីសាស្ត្រវាយប្រហារដែលធ្លាប់ស្គាល់

វិធីសាស្រ្តច្បាស់លាស់ដែលប្រើដោយ Lotus Panda ដើម្បីរំលោភលើគោលដៅចុងក្រោយរបស់វានៅតែមិនទាន់ដឹងនៅឡើយ។ ទោះជាយ៉ាងណាក៏ដោយ ក្រុមនេះមានប្រវត្តិនៃការប្រើរន្ធទឹក និងការវាយប្រហារដោយលំពែង ដើម្បីទទួលបានសិទ្ធិចូលដំណើរការដំបូង។ នៅពេលដែលនៅខាងក្នុង អ្នកវាយប្រហារដាក់ពង្រាយ Sagerunex backdoor ដែលត្រូវបានគេជឿថាជាការវិវត្តន៍នៃមេរោគចាស់ដែលត្រូវបានគេស្គាល់ថា Evora

យុទ្ធសាស្ត្រគេចវេះ៖ កេងប្រវ័ញ្ចសេវាកម្មស្របច្បាប់

សកម្មភាពថ្មីៗដែលភ្ជាប់ទៅ Lotus Panda បានបង្ហាញវ៉ារ្យ៉ង់ 'បេតា' ថ្មីពីររបស់ Sagerunex ដែលត្រូវបានកំណត់អត្តសញ្ញាណដោយខ្សែអក្សរបំបាត់កំហុសនៅក្នុងកូដប្រភពរបស់ពួកគេ។ កំណែទាំងនេះប្រើសេវាកម្មស្របច្បាប់ដូចជា Dropbox, X (ដែលគេស្គាល់ច្បាស់ថាជា Twitter) និង Zimbra ជាបណ្តាញ Command-and-Control (C2) ដែលធ្វើឱ្យការរកឃើញកាន់តែពិបាក។

សមត្ថភាព Backdoor កម្រិតខ្ពស់

Sagerunex backdoor ត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានលម្អិតអំពីម៉ាស៊ីនដែលមានមេរោគ អ៊ិនគ្រីបវា និងបញ្ចូនវាទៅម៉ាស៊ីនមេពីចម្ងាយដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ វ៉ារ្យ៉ង់ Dropbox និង X ត្រូវបានគេរាយការណ៍ថាកំពុងប្រើប្រាស់នៅចន្លោះឆ្នាំ 2018 និង 2022 ខណៈពេលដែលកំណែ Zimbra បានដំណើរការតាំងពីឆ្នាំ 2019 ។

វ៉ារ្យ៉ង់ Zimbra Webmail: មជ្ឈមណ្ឌលគ្រប់គ្រងសម្ងាត់

វ៉ារ្យ៉ង់ Zimbra webmail របស់ Sagerunex លើសពីការប្រមូលទិន្នន័យសាមញ្ញ។ វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្ញើពាក្យបញ្ជាតាមរយៈមាតិកាសំបុត្រ Zimbra គ្រប់គ្រងម៉ាស៊ីនដែលសម្របសម្រួលប្រកបដោយប្រសិទ្ធភាព។ ប្រសិនបើពាក្យបញ្ជាស្របច្បាប់ត្រូវបានរកឃើញនៅក្នុងអ៊ីមែល នោះ backdoor ស្រង់ចេញ និងប្រតិបត្តិវា។ បើមិនដូច្នោះទេ មេរោគនឹងលុបអ៊ីមែល ហើយរង់ចាំការណែនាំបន្ថែម។ លទ្ធផលនៃពាក្យបញ្ជាដែលបានប្រតិបត្តិត្រូវបានខ្ចប់ជាបណ្ណសារ RAR ហើយរក្សាទុកក្នុងឯកសារព្រាង និងធុងសំរាមរបស់ប្រអប់សំបុត្រ។

ក្រុម Arsenal ពេញលេញ៖ ឧបករណ៍បន្ថែមនៅក្នុងការលេង

Lotus Panda មិនពឹងផ្អែកតែលើ Sagerunex ទេ។ ក្រុមដាក់ពង្រាយឧបករណ៍បន្ថែម រួមមានៈ

  • អ្នកលួចខូគីដើម្បីប្រមូលព័ត៌មានអត្តសញ្ញាណកម្មវិធីរុករកតាមអ៊ីនធឺណិត Chrome ។
  • Venom ដែលជាឧបករណ៍ប្រើប្រាស់ប្រូកស៊ីប្រភពបើកចំហ។
  • ឧបករណ៍បង្កើនសិទ្ធិដើម្បីទទួលបានការចូលប្រើប្រព័ន្ធកាន់តែខ្ពស់។
  • កម្មវិធីផ្ទាល់ខ្លួនសម្រាប់ការបង្ហាប់ និងអ៊ិនគ្រីបទិន្នន័យដែលបានប្រមូល។

បណ្តាញត្រួតពិនិត្យ និងឆ្លងកាត់ការរឹតបន្តឹង

អ្នកវាយប្រហារត្រូវបានគេសង្កេតឃើញកំពុងដំណើរការពាក្យបញ្ជាស៊ើបការណ៍ដូចជា net, tasklist, ipconfig និង netstat ដើម្បីវាយតម្លៃបរិយាកាសគោលដៅ។ លើសពីនេះទៀត ពួកគេពិនិត្យមើលការភ្ជាប់អ៊ីនធឺណិត ដោយកែសម្រួលវិធីសាស្រ្តរបស់ពួកគេដោយផ្អែកលើការរឹតបន្តឹងបណ្តាញ។ ប្រសិនបើការចូលប្រើមានកំណត់ ពួកគេព្យាយាម៖

  • ប្រើការកំណត់ប្រូកស៊ីរបស់ជនរងគ្រោះដើម្បីបង្កើតការតភ្ជាប់។
  • ដាក់ពង្រាយឧបករណ៍ប្រូកស៊ី Venom ដើម្បីភ្ជាប់ម៉ាស៊ីនដាច់ពីគេទៅនឹងប្រព័ន្ធដែលអាចចូលប្រើអ៊ីនធឺណិតបាន។

ការគំរាមកំហែងដែលកំពុងបន្ត

ការបន្តការវិវត្តន៍ និងយុទ្ធសាស្ត្រដ៏ទំនើបរបស់ Lotus Panda បង្ហាញថា វានៅតែជាការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏សំខាន់។ សមត្ថភាពរបស់វាក្នុងការសម្របខ្លួន ប្រើប្រាស់សេវាកម្មស្របច្បាប់សម្រាប់ការលួចលាក់ និងប្រតិបត្តិប្រតិបត្តិការចារកម្មរយៈពេលវែង ធ្វើឱ្យវាក្លាយជាសត្រូវដ៏ខ្លាំងសម្រាប់អង្គការនៅក្នុងតំបន់អាស៊ីប៉ាស៊ីហ្វិក និងលើសពីនេះ។

និន្នាការ

Plebeianness.app

Adware, មេរោគ Mac, កម្មវិធីដែលមិនចង់បានសក្តានុពល
ពិភពនៃសុវត្ថិភាពតាមអ៊ីនធឺណិតកំពុងវិវឌ្ឍឥតឈប់ឈរ ហើយសូម្បីតែអ្នកប្រើប្រាស់ Mac ក៏មិនមានភាពស៊ាំទៅនឹងការគំរាមកំហែងដែលបង្កឡើងដោយកម្មវិធីដែលមិនមានសុវត្ថិភាពដែរ។...

Heriqo.info

ចោរប្លន់កម្មវិធីរុករក
Heriqo.info ត្រូវបានគេកំណត់ថាជាគេហទំព័រដែលមានបញ្ហា ឬទំព័របញ្ឆោតទាំងឡាយដែលត្រូវបានរចនាឡើងដើម្បីបំផ្ទុះអ្នកប្រើប្រាស់ជាមួយនឹងការជូនដំណឹងអំពីកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលមិនចង់បាន...

មើលច្រើនបំផុត

'iPhone របស់អ្នកត្រូវបាន Hack' លេចឡើង

Adware
25,923
ដោយសារបច្ចេកវិទ្យាត្រូវបានដាក់បញ្ចូលទៅក្នុងជីវិតប្រចាំថ្ងៃរបស់យើងយ៉ាងខ្លាំង ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងស្វែងរកវិធីថ្មីដើម្បីទាញយកភាពងាយរងគ្រោះសម្រាប់ចេតនាព្យាបាទរបស់ពួកគេ។...

មេរោគ

ការបន្លំ, សារឥតបានការ
24,920
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...
កំពុង​ផ្ទុក...