SideWind APT

SideWind គឺជាឈ្មោះដែលត្រូវបានចាត់ឱ្យទៅក្រុម Advanced Persistent Threat (APT) នៃពួក Hacker ដែលបានបង្ហាញពីចំណាប់អារម្មណ៍យូរអង្វែងនៅក្នុងតំបន់អាស៊ីខាងត្បូង។ បច្ចុប្បន្នក្រុមនេះកំពុងចូលរួមក្នុងយុទ្ធនាការវាយប្រហារយ៉ាងទូលំទូលាយប្រឆាំងនឹងគោលដៅនៅក្នុងតំបន់តែមួយនោះ។ ពិសេសជាងនេះទៅទៀតនោះ ពួក Hacker កំពុងព្យាយាមសម្របសម្រួលអង្គភាពដែលមានទីតាំងនៅប្រទេសនេប៉ាល់ និងអាហ្វហ្គានីស្ថាន។ គោលដៅដែលបានបញ្ជាក់រួមមានកងទ័ពនេប៉ាល់ ក្រសួងការពារជាតិ និងកិច្ចការបរទេសនេប៉ាល់ ក្រសួងការពារជាតិស្រីលង្កា ក្រុមប្រឹក្សាសន្តិសុខជាតិអាហ្វហ្គានីស្ថាន និងវិមានប្រធានាធិបតីក្នុងប្រទេសអាហ្វហ្គានីស្ថាន។ នៅក្នុងប្រតិបត្តិការរបស់ខ្លួន SideWind APT បង្ហាញពីសមត្ថភាពក្នុងការបញ្ចូលព្រឹត្តិការណ៍ពិភពលោក និងបញ្ហានយោបាយយ៉ាងរហ័សជាក់លាក់ចំពោះតំបន់អាស៊ីខាងត្បូងទៅក្នុងយុទ្ធនាការបន្លំ និងមេរោគរបស់ពួកគេ។ ក្រុមនេះបានទាញយកអត្ថប្រយោជន៍ពីជំងឺរាតត្បាត COVID-19 នៅក្នុងប្រតិបត្តិការគំរាមកំហែងជាច្រើនរួចមកហើយ ខណៈដែលយុទ្ធនាការចុងក្រោយនេះក៏រួមបញ្ចូលផងដែរនូវតំណភ្ជាប់ទៅកាន់អត្ថបទមួយដែលមានឈ្មោះថា 'ឥណ្ឌាគួរតែដឹងថាប្រទេសចិនមិនមានអ្វីដែលត្រូវធ្វើជាមួយជំហររបស់ប្រទេសនេប៉ាល់នៅលើ Lipulekh' និងឯកសារមួយដែលមានឈ្មោះថា 'ឯកអគ្គរដ្ឋទូត Yanchi ការសន្ទនាជាមួយ Nepali_Media.pdf ។' ឯកសារនេះមានបទសម្ភាសន៍ជាមួយឯកអគ្គរដ្ឋទូតចិនប្រចាំប្រទេសនេប៉ាល់ ទាក់ទងនឹងជំងឺកូវីដ-១៩ គំនិតផ្តួចផ្តើមខ្សែក្រវាត់ ផ្លូវ និងបញ្ហាទឹកដីនៅក្នុងស្រុក Humla ។

ការលួចព័ត៌មានសម្ងាត់ និងការលួចបន្លំអ៊ីមែល

ប្រតិបត្តិការ SideWind APT ដែលកំពុងដំណើរការនាពេលបច្ចុប្បន្ននេះពាក់ព័ន្ធនឹងវ៉ិចទ័រវាយប្រហារជាច្រើនដែលមានគោលបំណងសម្រេចបាននូវគោលដៅផ្សេងគ្នាជាច្រើន។ ជាដំបូង SideWind APT បានបង្កើតច្បាប់ចម្លងនៃទំព័រចូលពិតប្រាកដដោយមានចេតនាប្រមូលព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់គោលដៅ។ ជាឧទាហរណ៍ អ្នកស្រាវជ្រាវ infosec បានរកឃើញថា 'mail-nepalgovnp.duckdns.org' ត្រូវបានបង្កើតឡើងដើម្បីក្លែងបន្លំជាដែនស្របច្បាប់របស់រដ្ឋាភិបាលនេប៉ាល់ដែលមានទីតាំងនៅ 'mail.nepal.gov.np.' នៅពេលដែលព័ត៌មានសម្ងាត់ត្រូវបានប្រមូលផល ជនរងគ្រោះត្រូវបញ្ជូនបន្តទៅកាន់ទំព័រចូលពិតប្រាកដ ឬទៅកាន់ឯកសារដែលបានលើកឡើងពីមុន ដែលពិភាក្សាអំពីបញ្ហាប៊ូតុងក្តៅ។

ផ្នែកម្ខាងទៀតនៃការវាយប្រហាររបស់ SideWind APT ពាក់ព័ន្ធនឹងការចែកចាយមេរោគ ដែលជាការគំរាមកំហែងពីខាងក្រោយ និងអ្នកប្រមូលព័ត៌មាន តាមរយៈការផ្សព្វផ្សាយអ៊ីមែលបន្លំ។ ការឆ្លងមេរោគនេះពាក់ព័ន្ធនឹងខ្សែសង្វាក់វាយប្រហារដ៏ស្មុគស្មាញដែលមានដំណាក់កាលជាច្រើន និងឧបករណ៍បន្តក់ជាច្រើន។ ការវាយប្រហារអាចអនុវត្តតាមសេណារីយ៉ូពីរផ្សេងគ្នា៖

• ការចែកចាយដំបូងនៃឯកសារ .lnk ដែលទាញយកឯកសារ .rtf និងឯកសារ JavaScript
• ការចែកចាយដំបូងនៃប័ណ្ណសារ .zip ដែលមានឯកសារ .lnk ដែលគំរាមកំហែង។ .lnk ចាប់ផ្តើមដំណាក់កាលបន្ទាប់នៃការវាយប្រហារដោយការទាញយកឯកសារ .hta ជាមួយ JavaScript

ឯកសារ .rtf ទាញយកភាពងាយរងគ្រោះ CVE-2017-11882 ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងដំណើរការកូដគំរាមកំហែងតាមអំពើចិត្តនៅលើឧបករណ៍ដោយមិនចាំបាច់មានអន្តរកម្មអ្នកប្រើប្រាស់ណាមួយឡើយ។ ទោះបីជាការកេងប្រវ័ញ្ចពិសេសនេះត្រូវបានជួសជុលឡើងវិញនៅឆ្នាំ 2017 ក៏ដោយ ក៏ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅតែប្រើវាដដែល ព្រោះវាអាចប៉ះពាល់ដល់កំណែណាមួយដែលមិនបានជួសជុលរបស់ Microsoft Office, Microsoft Windows និងប្រភេទស្ថាបត្យកម្មដែលបន្តរហូតដល់ឆ្នាំ 2000។

ទោះយ៉ាងណាក៏ដោយ នៅក្នុងករណីវាយប្រហារទាំងពីរ គោលដៅចុងក្រោយត្រូវបានសម្រេចតាមរយៈឯកសារ JavaScript ដែលដើរតួជាអ្នកទម្លាក់សម្រាប់កម្មវិធីផ្ទុកមេរោគពិតប្រាកដ។

នៅពេលដាក់ឱ្យប្រើប្រាស់យ៉ាងពេញលេញ ឧបករណ៍គំរាមកំហែងរបស់ SideWind APT អាចប្រមូលព័ត៌មានប្រភេទផ្សេងៗ ក៏ដូចជាបណ្តេញឯកសារដែលបានជ្រើសរើសទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2, C&C) របស់ក្រុម។ ទិន្នន័យដែលប្រមូលបានរួមមានព័ត៌មានលម្អិតអំពីគណនីអ្នកប្រើប្រាស់ ព័ត៌មានប្រព័ន្ធ ដំណើរការដែលកំពុងដំណើរការ ព័ត៌មានលម្អិតស៊ីភីយូ ព័ត៌មានលម្អិតអំពីប្រព័ន្ធ ព័ត៌មានលម្អិតអំពីបណ្តាញ កម្មវិធីកម្ចាត់មេរោគដែលបានដំឡើង សិទ្ធិ ព័ត៌មានលម្អិតសម្រាប់ដ្រាយដែលបានភ្ជាប់ទាំងអស់ និងកម្មវិធីដែលបានដំឡើង។ ការគំរាមកំហែងអ្នកប្រមូលទិន្នន័យក៏រាយបញ្ជីថតទាំងអស់នៅក្នុងទីតាំងជាក់លាក់ចំនួនបួន៖

• អ្នកប្រើប្រាស់\%USERNAME%\Desktop,
• អ្នកប្រើប្រាស់\%USERNAME%\ទាញយក,
• អ្នកប្រើប្រាស់\%USERNAME%\Documents,
• អ្នកប្រើប្រាស់\%USERNAME%\ទំនាក់ទំនង

យុទ្ធនាការចល័តកំពុងដំណើរការសាងសង់

SideWind APT ក៏មានយុទ្ធនាការវាយប្រហារនៅក្នុងការងារដែលនឹងកំណត់គោលដៅឧបករណ៍ចល័តរបស់អ្នកប្រើប្រាស់ផងដែរ។ កម្មវិធីជាច្រើនត្រូវបានរកឃើញរួចហើយ ដោយពួកវាទាំងអស់ស្ថិតនៅក្នុងស្ថានភាពមិនទាន់បញ្ចប់។ ខ្លះមិនទាន់មានលេខកូដគំរាមកំហែងនៅឡើយទេ ប៉ុន្តែត្រូវបានបង្កើតឡើងដើម្បីឱ្យមានភាពស្របច្បាប់តាមដែលអាចធ្វើទៅបាន។ កម្មវិធីមួយបែបនេះត្រូវបានគេហៅថា 'OpinionPoll' ហើយកំពុងធ្វើពុតជាកម្មវិធីស្ទង់មតិសម្រាប់ការប្រមូលមតិលើជម្លោះនយោបាយនេប៉ាល់-ឥណ្ឌា។ កម្មវិធីផ្សេងទៀតមានសមត្ថភាពគម្រាមកំហែងដែលបានអនុវត្តរួចហើយ ប៉ុន្តែនៅតែបង្ហាញសញ្ញាថាត្រូវការការងារបន្ថែមទៀត មុនពេលដែលពួកវាត្រូវបានបញ្ចប់។

នេះមិនមែនជាលើកទីមួយទេដែល SideWind APT ប្រើឧបករណ៍មេរោគចល័តនៅក្នុងសកម្មភាពរបស់ពួកគេ។ ពីមុន គេសង្កេតឃើញពួកគេដាក់ពង្រាយកម្មវិធីគំរាមកំហែង ក្លែងធ្វើជាអ្នកគ្រប់គ្រងឯកសារឧបករណ៍ថតរូប។ នៅពេលដែលអ្នកប្រើប្រាស់បានទាញយកពួកវាហើយ កម្មវិធី SideWind APT បានប្រើប្រាស់ CVE-2019-2215 exploit និងភាពងាយរងគ្រោះរបស់ MediaTek-SU ដើម្បីទទួលបានសិទ្ធិជា root នៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។