Silver Fox ValleyRAT យុទ្ធនាការមេរោគ

តួអង្គគំរាមកំហែងដែលប្រតិបត្តិការក្រោមឈ្មោះ Silver Fox បានចាប់ផ្តើមប្រតិបត្តិការទង់ក្លែងក្លាយដ៏ឧឡារិកមួយ ដែលត្រូវបានរចនាឡើងដើម្បីក្លែងបន្លំសកម្មភាពរបស់ខ្លួនជាក្រុមរុស្ស៊ី។ យុទ្ធនាការនេះផ្តោតលើអ្នកប្រើប្រាស់ដែលនិយាយភាសាចិន រួមទាំងបុគ្គលិកនៃអង្គការលោកខាងលិចដែលមានវត្តមាននៅក្នុងប្រទេសចិន ហើយពឹងផ្អែកយ៉ាងខ្លាំងលើការរៀបចំម៉ាស៊ីនស្វែងរក និងអ្នកដំឡើងកម្មវិធី Microsoft Teams ក្លែងក្លាយ ដើម្បីចែកចាយ Trojan ពីចម្ងាយដ៏ល្បីមួយ។

ស្លៀកពាក់ជាតារាសម្តែងរុស្ស៊ី

សកម្មភាពថ្មីៗរបស់ Silver Fox និយាយអំពីការប៉ុនប៉ងជាយុទ្ធសាស្ត្រដើម្បីបំភាន់អ្នកវិភាគដោយធ្វើត្រាប់តាមក្រុមគំរាមកំហែងរុស្ស៊ី។ ដើម្បីពង្រឹងការបំភាន់នេះ អ្នកវាយប្រហារបានបង្កប់ធាតុ Cyrillic ទៅក្នុងសមាសធាតុ ValleyRAT ដែលបានកែប្រែ ហើយថែមទាំងខ្ចប់ឯកសារព្យាបាទជាមួយនឹងអនុសញ្ញាដាក់ឈ្មោះតាមបែបរុស្ស៊ី។ ទិសដៅខុសដោយចេតនានេះធ្វើឱ្យស្មុគស្មាញដល់គុណលក្ខណៈ ខណៈពេលដែលអនុញ្ញាតឱ្យក្រុមនេះបន្តនូវគោលបំណងដែលជំរុញដោយផ្នែកហិរញ្ញវត្ថុ និងភូមិសាស្ត្រនយោបាយ។

ការពុល SEO និងក្រុម-Themed Lures

ចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ 2025 មក ក្រុមហ៊ុន Silver Fox បាននិងកំពុងដំណើរការយុទ្ធនាការបង្កើនប្រសិទ្ធភាពម៉ាស៊ីនស្វែងរក (SEO) យុទ្ធនាការបំពុលដែលកែសម្រួលដើម្បីទាក់ទាញជនរងគ្រោះដែលកំពុងស្វែងរកក្រុម Microsoft ។ មិនដូចប្រតិបត្តិការពីមុនដែលបំពានឧបករណ៍ដូចជា Chrome, Telegram, WPS Office និង DeepSeek ទេ រលកនេះផ្តោតតែលើក្រុមប៉ុណ្ណោះ។

លទ្ធផលស្វែងរកដែលត្រូវបានសម្របសម្រួលដឹកនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងបន្លំដែលដាក់ថាជាទំព័រទាញយកក្រុមស្របច្បាប់។ ជំនួសឱ្យកម្មវិធីពិតប្រាកដ ជនរងគ្រោះទទួលបានប័ណ្ណសារហ្ស៊ីបដែលមានឈ្មោះថា 'MSTчamsSetup.zip' ដែលបង្ហោះនៅលើ Alibaba Cloud ។ អក្សរ Cyrillic ក្នុង​ឈ្មោះ​ឯកសារ​ពង្រឹង​ការ​និទាន​រឿង​ទង់​ក្លែងក្លាយ។

កម្មវិធីដំឡើង Trojanized និងការដាក់ពង្រាយដោយសម្ងាត់

នៅខាងក្នុងឯកសារ ZIP ស្ថិតនៅ Setup.exe ដែលជាកម្មវិធីដំឡើងក្រុមវេជ្ជបណ្ឌិតដែលត្រូវបានបង្កើតឡើងដើម្បីចាប់ផ្តើមការសម្របសម្រួលពហុដំណាក់កាល។ នៅពេលប្រតិបត្តិ វាធ្វើការត្រួតពិនិត្យបរិស្ថាន ស្កេនរកប្រព័ន្ធគោលពីរដែលភ្ជាប់ជាមួយឧបករណ៍សុវត្ថិភាពជាក់លាក់ និងរំខានការកំណត់ Microsoft Defender ដោយបន្ថែមច្បាប់លើកលែង។ វាក៏ទម្លាក់កម្មវិធីដំឡើង Microsoft ដែលបានរៀបចំ - 'Verifier.exe' ទៅក្នុងថត AppData\Local របស់អ្នកប្រើ ហើយបើកដំណើរការវាដើម្បីរក្សាលំហូរនៃការឆ្លងមេរោគ។

មេរោគបន្តដោយបង្កើតឯកសារជំនួយជាច្រើននៅទូទាំង AppData\Local និង AppData\Roaming។ បន្ទាប់មកវាផ្ទុកទិន្នន័យកំណត់រចនាសម្ព័ន្ធពីឯកសារទាំងនេះ ហើយចាក់បញ្ចូល DLL ព្យាបាទទៅក្នុង rundll32.exe ដែលជាសមាសធាតុ Windows ដែលអាចទុកចិត្តបាន ដែលអនុញ្ញាតឱ្យមេរោគបញ្ចូលគ្នាយ៉ាងរលូនជាមួយនឹងដំណើរការស្របច្បាប់។

ការធ្វើឱ្យសកម្មនៃ ValleyRAT (Winos 4.0)

ដំណាក់កាលចុងក្រោយជាលទ្ធផលនៅក្នុងការដាក់ពង្រាយ ValleyRAT ដែលជាដេរីវេនៃ Gh0st RAT ។ នៅពេលដែលសកម្ម វាអនុញ្ញាតការប្រតិបត្តិពីចម្ងាយនៃពាក្យបញ្ជា ការឃ្លាំមើលជាប់លាប់ ការលួចទិន្នន័យ និងការគ្រប់គ្រងប្រព័ន្ធពេញលេញ។ ទោះបីជាវ៉ារ្យ៉ង់ Gh0st RAT ត្រូវបានគេសន្មតថាជាក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរបស់ចិនក៏ដោយ ការដាក់បញ្ចូលធាតុរបស់ Silver Fox របស់រុស្ស៊ីព្យាយាមបង្វែរការស្តីបន្ទោស។

បញ្ចប់គោលដៅ និងផលប៉ះពាល់

ប្រតិបត្តិការរបស់ Silver Fox បម្រើទាំងគោលបំណងហិរញ្ញវត្ថុ និងការប្រមូលព័ត៌មាន។ ក្រុមនេះស្វែងរកប្រាក់ចំណេញតាមរយៈការក្លែងបន្លំ ការបោកប្រាស់ និងការលួច ខណៈពេលដែលកំពុងប្រមូលព័ត៌មានរសើបដែលអាចផ្តល់នូវឥទ្ធិពលភូមិសាស្ត្រនយោបាយ។ ជនរងគ្រោះប្រឈមនឹងផលវិបាកភ្លាមៗ៖

• ការលួចទិន្នន័យ និងការលាតត្រដាងព័ត៌មានសម្ងាត់។
• ការខាតបង់ផ្នែកហិរញ្ញវត្ថុពីការក្លែងបន្លំ ឬសកម្មភាពដែលគ្មានការអនុញ្ញាត។
• ការសម្របសម្រួលរយៈពេលវែងនៃប្រព័ន្ធខាងក្នុង និងបណ្តាញ។

ហេតុអ្វីបានជាទង់ក្លែងក្លាយនេះសំខាន់

តាមរយៈការធ្វើត្រាប់តាមក្រុមគម្រាមកំហែងបរទេស Silver Fox រក្សាការបដិសេធដែលអាចជឿជាក់បាន និងដំណើរការដោយគ្មានការត្រួតពិនិត្យជាធម្មតាសំដៅទៅលើអង្គភាពដែលឧបត្ថម្ភដោយរដ្ឋ។ យុទ្ធសាស្រ្តគេចវេសដ៏ស្មុគ្រស្មាញនេះ រួមផ្សំជាមួយនឹងខ្សែសង្វាក់ការឆ្លងដែលកំពុងវិវឌ្ឍន៍ គូសបញ្ជាក់អំពីតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ ការពង្រឹងការការពារចំណុចបញ្ចប់ និងការត្រួតពិនិត្យជាបន្ត ជាពិសេសសម្រាប់អង្គការដែលកំពុងប្រតិបត្តិការនៅក្នុងតំបន់ដែលជារឿយៗកំណត់គោលដៅដោយការគំរាមកំហែងតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ។