Silver Fox APT
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការបន្លំកម្រិតខ្ពស់ និងវិវឌ្ឍន៍ដែលផ្តោតលើអ្នកប្រើប្រាស់ជាចម្បងនៅក្នុងតៃវ៉ាន់។ រៀបចំឡើងដោយក្រុមគំរាមកំហែងដែលត្រូវបានកំណត់ថាជា Silver Fox APT ប្រតិបត្តិការនេះប្រើឯកសារដែលមានមេរោគ និងអ៊ីមែលបោកបញ្ឆោត ដើម្បីបញ្ជូនមេរោគឆ្លងពីចម្ងាយដ៏គ្រោះថ្នាក់ជាច្រើន (RATs) រួមទាំង HoldingHands RAT និង Gh0stCringe ដែលជាវ៉ារ្យ៉ង់ទាំងពីរនៃ Gh0st RAT ដ៏ល្បីល្បាញ។
តារាងមាតិកា
ការបន្លំជាមួយនឹងមុខដែលធ្លាប់ស្គាល់៖ ការក្លែងបន្លំអាជ្ញាធររដ្ឋាភិបាល
ការវាយប្រហារនេះចាប់ផ្តើមជាមួយនឹងអ៊ីម៉ែលបន្លំក្លែងបន្លំជាអង្គភាពផ្លូវការដូចជាការិយាល័យពន្ធដារជាតិរបស់តៃវ៉ាន់។ អ៊ីមែលទាំងនេះច្រើនតែរួមបញ្ចូលប្រធានបទទាក់ទងនឹងពន្ធ វិក្កយបត្រ ឬប្រាក់សោធននិវត្តន៍ ដើម្បីទាញយកការជឿទុកចិត្តរបស់អ្នកទទួល និងជំរុញឱ្យពួកគេបើកឯកសារភ្ជាប់។ នៅក្នុងការប្រែប្រួលមួយចំនួន រូបភាពដែលបានបង្កប់បម្រើជាគន្លឹះសម្រាប់ការទាញយកមេរោគនៅពេលដែលចុច ដែលតំណាងឱ្យការផ្លាស់ប្តូរពីការទាក់ទាញផ្អែកលើឯកសារប្រពៃណី។
ឯកសារអាវុធ៖ ឯកសារ PDF និងហ្ស៊ីប ជាយានដឹកជញ្ជូនមេរោគ
យន្តការចែកចាយចម្បងគឺឯកសារ PDF ព្យាបាទ ឬបណ្ណសារ ZIP ដែលភ្ជាប់ជាមួយអ៊ីមែលបន្លំ។ ឯកសារទាំងនេះមានតំណភ្ជាប់បញ្ជូនបន្តអ្នកប្រើប្រាស់ដើម្បីទាញយកទំព័រដែលបង្ហោះឯកសារ ZIP ដែលផ្ទុកទៅដោយ៖
- ការប្រតិបត្តិដែលមើលទៅស្របច្បាប់
- ឧបករណ៍ផ្ទុកកូដសែល
- លេខកូដសែលដែលបានអ៊ិនគ្រីប
នៅពេលប្រតិបត្តិ សមាសធាតុទាំងនេះដំណើរការស្របគ្នាដើម្បីដាក់ពង្រាយមេរោគដោយមិនបង្កើនការជូនដំណឹង។
ខ្សែសង្វាក់ឆ្លងពហុដំណាក់កាល: ការបោកបញ្ឆោតក្នុងស្រទាប់
ការឆ្លងរាលដាលក្នុងដំណាក់កាលស្មុគ្រស្មាញជាច្រើន៖
ការធ្វើឱ្យសកម្ម Shellcode Loader ៖ កម្មវិធីផ្ទុកកូដសែលឌិគ្រីប និងចាប់ផ្តើមកូដសែលដែលបានបង្កប់។
DLL Side-Loading ៖ ប្រព័ន្ធគោលពីរស្របច្បាប់ត្រូវបានរំលោភបំពានដើម្បីផ្ទុកឯកសារ DLL ដែលមានគំនិតអាក្រក់ ដោយលាក់បាំងមេរោគដោយមើលឃើញធម្មតា។
Anti-VM និងការកើនឡើងសិទ្ធិ ៖ បច្ចេកទេសទាំងនេះធានាថាមេរោគជៀសវាងការរកឃើញនៅក្នុងបរិស្ថានប្រអប់ខ្សាច់ និងធានានូវសិទ្ធិប្រព័ន្ធកម្រិតខ្ពស់។
បន្ទុក និងគោលបំណង៖ ចារកម្ម និងការត្រួតពិនិត្យ
ការផ្ទុកចុងក្រោយរួមមានឯកសារមួយដែលមានឈ្មោះថា 'msgDb.dat' ដែលដើរតួជាម៉ូឌុល Command-and-Control (C2) ចម្បង។ នៅពេលសកម្ម វា៖
- ប្រមូលព័ត៌មានអ្នកប្រើប្រាស់ដ៏រសើប
- ទាញយកសមាសធាតុបន្ថែម
- បើកការគ្រប់គ្រងលើតុពីចម្ងាយ
- គ្រប់គ្រងឯកសារនៅលើប្រព័ន្ធមេរោគ
សមត្ថភាពទាំងនេះបង្ហាញពីចេតនាដើម្បីរក្សាការចូលប្រើប្រាស់រយៈពេលវែង និងការឃ្លាំមើលនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។
យុទ្ធសាស្ត្រវិវត្តន៍៖ ការច្នៃប្រឌិតប្រកបដោយនិរន្តរភាពដោយ Silver Fox APT
Silver Fox APT បន្តកែលម្អឧបករណ៍ និងបច្ចេកទេសវាយប្រហាររបស់ខ្លួន ដូចដែលបានឃើញជាមួយនឹងការប្រើប្រាស់របស់វា៖
- ក្របខ័ណ្ឌ Winos 4.0
- ការផ្សព្វផ្សាយ Gh0stCringe តាមរយៈទំព័រទាញយក HTM
- HoldingHands RAT (ត្រូវបានគេស្គាល់ផងដែរថាជា Gh0stBins)
ការពឹងផ្អែករបស់ក្រុមលើកូដសែលស្មុគស្មាញ ឧបករណ៍ផ្ទុកដែលមានស្រទាប់ និងវ៉ិចទ័រដឹកជញ្ជូនខុសគ្នាបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងយ៉ាងខ្ជាប់ខ្ជួនដើម្បីគេចពីការរកឃើញ និងបង្កើនភាពជោគជ័យនៃការជ្រៀតចូល។
សេចក្តីសន្និដ្ឋាន៖ ការប្រុងប្រយ័ត្នគឺជាគន្លឹះប្រឆាំងនឹងតួអង្គគំរាមកំហែងដ៏ទំនើប
យុទ្ធនាការនេះបង្ហាញពីភាពទំនើបនៃក្រុម APT ដូចជា Silver Fox ជាដើម។ តាមរយៈការប្រើប្រាស់ប្រធានបទដែលគួរឱ្យទុកចិត្ត ទម្រង់ឯកសារបោកបញ្ឆោត និងបច្ចេកទេសប្រតិបត្តិដោយលួចលាក់ តួអង្គទាំងនេះបង្ហាញពីការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់អង្គការគោលដៅ។ ការត្រួតពិនិត្យបន្ត ការកែតម្រូវទាន់ពេលវេលា និងសុវត្ថិភាពអ៊ីមែលដ៏រឹងមាំ គឺជាការការពារដ៏សំខាន់ប្រឆាំងនឹងការគំរាមកំហែងដែលវិវត្តន៍បែបនេះ។
