SideWinder APT
ក្រុមហ៊ុនដែនសមុទ្រ និងភស្តុភារនៅអាស៊ីខាងត្បូង និងអាស៊ីអាគ្នេយ៍ អាហ្រ្វិក និងមជ្ឈិមបូព៌ាបានក្លាយជាគោលដៅចម្បងនៃក្រុមការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលត្រូវបានគេស្គាល់ថា SideWinder ។ ការវាយប្រហារតាមអ៊ីនធឺណិតថ្មីៗដែលត្រូវបានសង្កេតឃើញក្នុងឆ្នាំ 2024 បានប៉ះពាល់ដល់អង្គការនានាក្នុងប្រទេសបង់ក្លាដែស កម្ពុជា ជីប៊ូទី អេហ្ស៊ីប អារ៉ាប់រួម និងវៀតណាម។
លើសពីវិស័យដែនសមុទ្រ SideWinder ក៏បានកំណត់ចក្ខុវិស័យរបស់ខ្លួនលើរោងចក្រថាមពលនុយក្លេអ៊ែរ និងហេដ្ឋារចនាសម្ព័ន្ធថាមពលនុយក្លេអ៊ែរនៅទូទាំងអាស៊ីខាងត្បូង និងអាហ្វ្រិកផងដែរ។ ឧស្សាហកម្មដែលរងផលប៉ះពាល់ផ្សេងទៀតរួមមាន ទូរគមនាគមន៍ ប្រឹក្សាយោបល់ សេវាព័ត៌មានវិទ្យា ភ្នាក់ងារអចលនទ្រព្យ និងសូម្បីតែវិស័យបដិសណ្ឋារកិច្ច ដូចជាសណ្ឋាគារជាដើម។
តារាងមាតិកា
គោលដៅការទូត និងការតភ្ជាប់ឥណ្ឌា
នៅក្នុងការពង្រីកគួរឱ្យកត់សម្គាល់នៃការវាយប្រហាររបស់ខ្លួន SideWinder ក៏បានបើកប្រតិបត្តិការតាមអ៊ីនធឺណិតប្រឆាំងនឹងអង្គភាពការទូតនៅក្នុងប្រទេសអាហ្វហ្គានីស្ថាន អាល់ហ្សេរី ប៊ុលហ្គារី ចិន ឥណ្ឌា ម៉ាល់ឌីវ រវ៉ាន់ដា អារ៉ាប៊ីសាអូឌីត តួកគី និងអ៊ូហ្គង់ដា។ ការកំណត់គោលដៅជាក់លាក់របស់ក្រុមទៅលើប្រទេសឥណ្ឌាគឺមានសារៈសំខាន់ ដោយសារការរំពឹងទុកពីមុនថាអ្នកគំរាមកំហែងអាចមានដើមកំណើតឥណ្ឌា។
មារសត្រូវដែលវិវត្តន៍ឥតឈប់ឈរ និងងាយយល់
SideWinder ត្រូវបានគេស្គាល់ថាសម្រាប់ការវិវត្តជាបន្តបន្ទាប់របស់ខ្លួនដោយអ្នកជំនាញពណ៌នាថាវាជា 'សត្រូវជឿនលឿននិងគ្រោះថ្នាក់ខ្លាំង' ។ ក្រុមនេះបង្កើនឧបករណ៍ឧបករណ៍របស់ខ្លួនជាបន្តបន្ទាប់ គេចចេញពីការរកឃើញកម្មវិធីសុវត្ថិភាព និងធានាឱ្យមានការជាប់លាប់ក្នុងរយៈពេលយូរនៅក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួល ខណៈពេលដែលកាត់បន្ថយទំហំឌីជីថលរបស់វា។
StealerBot៖ ឧបករណ៍ចារកម្មដ៍សាហាវ
នៅខែតុលា ឆ្នាំ 2024 អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានធ្វើការវិភាគស៊ីជម្រៅនៃ SideWinder ដោយបង្ហាញពីការប្រើប្រាស់របស់វានូវ StealerBot ដែលជាកញ្ចប់ឧបករណ៍ក្រោយការកេងប្រវ័ញ្ចម៉ូឌុលដែលត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យរសើបចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ចំណាប់អារម្មណ៍របស់ SideWinder លើឧស្សាហកម្មដែនសមុទ្រត្រូវបានចងក្រងជាឯកសារកាលពីខែកក្កដា ឆ្នាំ 2024 ដោយគូសបញ្ជាក់ពីវិធីសាស្រ្តជាប់លាប់ និងផ្តោតសំខាន់របស់វា។
វិធីសាស្ត្រវាយប្រហារ៖ លំពែង បន្លំ និងការកេងប្រវ័ញ្ច
ការវាយប្រហារចុងក្រោយបំផុតធ្វើតាមលំនាំដែលធ្លាប់ស្គាល់។ អ៊ីមែល Spear-phishing បម្រើជាវ៉ិចទ័រឆ្លងមេរោគដំបូង ដែលផ្ទុកឯកសារដែលមិនមានសុវត្ថិភាព ដែលទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះរបស់ Microsoft Office ដ៏ល្បីល្បាញ (CVE-2017-11882) ។ នៅពេលបើក ឯកសារទាំងនេះបង្កឱ្យមានលំដាប់ពហុដំណាក់កាល ដែលទីបំផុតដាក់ឱ្យប្រើប្រាស់កម្មវិធីទាញយក .NET ដែលមានឈ្មោះថា ModuleInstaller ដែលបើកដំណើរការ StealerBot ។
អ្នកស្រាវជ្រាវបានបញ្ជាក់ថា ឯកសារទាក់ទាញជាច្រើនសំដៅលើទីភ្នាក់ងារថាមពលនុយក្លេអ៊ែរ រោងចក្រថាមពលនុយក្លេអ៊ែរ ហេដ្ឋារចនាសម្ព័ន្ធដែនសមុទ្រ និងអាជ្ញាធរកំពង់ផែ ដែលបង្ហាញពីវិធីសាស្រ្តយុទ្ធសាស្ត្រខ្ពស់ក្នុងការកំណត់គោលដៅឧស្សាហកម្មសំខាន់ៗ។
ការសម្របខ្លួនទៅនឹងការស្នាក់នៅមុនវិធានការសន្តិសុខ
SideWinder តាមដានយ៉ាងសកម្មនូវការរកឃើញសុវត្ថិភាពនៃមេរោគរបស់វា។ នៅពេលដែលឧបករណ៍របស់វាត្រូវបានកំណត់អត្តសញ្ញាណ ក្រុមនេះអភិវឌ្ឍយ៉ាងឆាប់រហ័សនូវកំណែដែលបានកែប្រែ — ពេលខ្លះក្នុងរយៈពេលតែប៉ុន្មានម៉ោងប៉ុណ្ណោះ។ ប្រសិនបើដំណោះស្រាយសុវត្ថិភាពដាក់ទង់ឥរិយាបថរបស់ពួកគេ នោះពួកគេឆ្លើយតបដោយការផ្លាស់ប្តូរបច្ចេកទេសជាប់លាប់ ផ្លាស់ប្តូរឈ្មោះឯកសារ និងផ្លូវ និងកែតម្រូវពីរបៀបដែលសមាសធាតុបង្កគ្រោះថ្នាក់ត្រូវបានផ្ទុក។
ដោយបន្តកែលម្អវិធីសាស្រ្តវាយប្រហាររបស់ខ្លួន និងសម្របខ្លួនយ៉ាងឆាប់រហ័សទៅនឹងវិធានការតបត SideWinder នៅតែជាការគំរាមកំហែងតាមអ៊ីនធឺណេត និងវិវត្តន៍ចំពោះឧស្សាហកម្មសំខាន់ៗនៅទូទាំងពិភពលោក។
