មេរោគ SIMPLEFIX

ក្រុម COLDRIVER ដែលជាក្រុមគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) របស់រុស្ស៊ីត្រូវបានផ្សារភ្ជាប់ទៅនឹងរលកថ្មីនៃការវាយប្រហារតាមបែប ClickFix ដោយណែនាំក្រុមគ្រួសារមេរោគទម្ងន់ស្រាលពីរគឺ BAITSWITCH និង SIMPLEFIX ។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានកំណត់អត្តសញ្ញាណយុទ្ធនាការពហុដំណាក់កាលនេះក្នុងខែកញ្ញា ឆ្នាំ 2025។ BAITSWITCH ដើរតួជាអ្នកទាញយកដែលចុងក្រោយផ្តល់នូវ SIMPLEFIX ដែលជា Backdoor ផ្អែកលើ PowerShell ។

COLDRIVER ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយដូចជា Callisto, Star Blizzard, និង UNC4057 បានធ្វើសកម្មភាពតាំងពីឆ្នាំ 2019 ដោយផ្តោតលើវិសាលគមទូលំទូលាយនៃអង្គការ។ យុទ្ធនាការដំបូងពឹងផ្អែកលើការបន្លំលំពែង ដើម្បីបញ្ជូនជនរងគ្រោះទៅកាន់ទំព័រប្រមូលផលព័ត៌មានសម្ងាត់។ យូរៗទៅ ក្រុមនេះបានបង្កើតឧបករណ៍ផ្ទាល់ខ្លួនដូចជា SPICA និង LOSTKEYS ដោយបង្ហាញពីភាពទំនើបផ្នែកបច្ចេកទេសរបស់ខ្លួន។

ClickFix៖ វ៉ិចទ័រវាយប្រហារជាប់លាប់

ក្រុម APT នេះពីមុនបានដាក់ពង្រាយ ClickFix tactics ដែលបានចងក្រងជាឯកសារដំបូងក្នុងខែឧសភា ឆ្នាំ 2025។ នៅក្នុងយុទ្ធនាការទាំងនោះ គេហទំព័រក្លែងក្លាយបានផ្តល់នូវសារ CAPTCHA ក្លែងបន្លំ ដោយបញ្ឆោតជនរងគ្រោះឱ្យប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលផ្តល់ស្គ្រីប LOSTKEYS Visual Basic ។

ខណៈពេលដែល ClickFix មិនមែនជារឿងប្រលោមលោក ឬកម្រិតខ្ពស់នោះទេ ការប្រើប្រាស់ម្តងហើយម្តងទៀតរបស់វាបង្ហាញពីប្រសិទ្ធភាពរបស់វាជាវ៉ិចទ័រឆ្លង។ ការវាយប្រហារចុងក្រោយបំផុតរក្សាបាននូវវិធីសាស្រ្តទូទៅដូចគ្នា៖ ជនរងគ្រោះត្រូវបានបញ្ឆោតឱ្យដំណើរការ DLL ដែលមានគំនិតអាក្រក់តាមរយៈប្រអប់ Windows Run ជាក់ស្តែងដើម្បីបំពេញការត្រួតពិនិត្យ CAPTCHA ។

កាយវិភាគសាស្ត្រនៃខ្សែសង្វាក់វាយប្រហារ

ការវាយប្រហារបន្តដូចខាងក្រោម៖

BAITSWITCH DLL ត្រូវបានប្រតិបត្តិ និងភ្ជាប់ទៅដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ (captchanom.top) ដើម្បីទៅយក SIMPLEFIX backdoor ។ ឯកសារក្លែងក្លាយដែលបង្ហោះនៅលើ Google Drive ត្រូវបានបង្ហាញដើម្បីរំខានជនរងគ្រោះ។

សំណើ HTTP ជាច្រើនត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេដូចគ្នា ដើម្បីបញ្ជូនព័ត៌មានប្រព័ន្ធ ទទួលពាក្យបញ្ជាសម្រាប់ការជាប់លាប់ រក្សាទុកការផ្ទុកដែលបានអ៊ិនគ្រីបនៅក្នុង Windows Registry ទាញយក PowerShell stager និងលុបប្រវត្តិប្រអប់ Run ថ្មីៗ ដើម្បីបិទបាំងដាន។

កម្មវិធី PowerShell stager ទាញយក SIMPLEFIX ពី southprovesolutions.com ។ SIMPLEFIX បង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដោយបើកដំណើរការស្គ្រីប PowerShell ពីចម្ងាយ ពាក្យបញ្ជា និងប្រព័ន្ធគោលពីរ។

ស្គ្រីប PowerShell ដែលត្រូវបានប្រតិបត្តិតាមរយៈ SIMPLEFIX កំណត់គោលដៅសំណុំនៃថត និងប្រភេទឯកសារដែលបានកំណត់ជាមុនសម្រាប់ការបណ្តេញចេញ ដោយឆ្លុះបញ្ចាំងពីការត្រួតលើគ្នាជាមួយយុទ្ធនាការ LOSTKEYS ពីមុន។

ទម្រង់គោលដៅ និងការផ្តោតជាយុទ្ធសាស្ត្រ

ប្រតិបត្តិការរបស់ COLDRIVER ផ្តោតជាចម្បងលើតួអង្គសង្គមស៊ីវិល រួមមានៈ

• សមាជិកនៃអង្គការក្រៅរដ្ឋាភិបាល និងក្រុមអ្នកគិតនៅតំបន់លោកខាងលិច

យុទ្ធនាការបច្ចុប្បន្នបានតម្រឹមយ៉ាងជិតស្និទ្ធជាមួយនឹងជនរងគ្រោះដែលបានបង្កើតឡើងនេះ ដោយពង្រឹងការចាប់អារម្មណ៍ជាបន្តបន្ទាប់របស់ក្រុមនៅក្នុងសង្គមស៊ីវិលរុស្ស៊ី និងបណ្តាញពាក់ព័ន្ធ។