ប្រតិបត្តិការវាយប្រហារ SteganoAmor
ក្រុម hacking TA558 បានផ្តួចផ្តើមយុទ្ធនាការថ្មី ដោយប្រើប្រាស់ steganography ដើម្បីបង្កប់កូដគ្រោះថ្នាក់នៅក្នុងរូបភាព។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យពួកគេចែកចាយឧបករណ៍មេរោគជាច្រើនដោយសម្ងាត់ទៅកាន់ប្រព័ន្ធជាក់លាក់ ដោយគេចចេញពីការរកឃើញដោយអ្នកប្រើប្រាស់ និងកម្មវិធីសុវត្ថិភាព។
ចាប់តាំងពីឆ្នាំ 2018 TA558 បានបង្កការគំរាមកំហែងយ៉ាងសំខាន់ ដោយផ្តោតជាសំខាន់ទៅលើផ្នែកបដិសណ្ឋារកិច្ច និងអង្គភាពទេសចរណ៍នៅទូទាំងពិភពលោក ដោយផ្តោតលើអាមេរិកឡាទីន។ ថ្មីៗនេះ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញពីការខិតខំប្រឹងប្រែងចុងក្រោយរបស់ពួកគេ ដែលមានឈ្មោះថា 'SteganoAmor' ដែលបង្ហាញពីការពឹងផ្អែកយ៉ាងខ្លាំងរបស់វាទៅលើ steganography ។ ការវិភាគបានបង្ហាញពីការវាយប្រហារជាង 320 ដែលទាក់ទងនឹងយុទ្ធនាការនេះ ដែលប៉ះពាល់ដល់វិស័យ និងប្រទេសផ្សេងៗគ្នា។
តារាងមាតិកា
SteganoAmor ចាប់ផ្តើមជាមួយនឹងការផ្សព្វផ្សាយអ៊ីម៉ែលក្លែងបន្លំ
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបោកបញ្ឆោតដែលផ្ទុកឯកសារភ្ជាប់ដែលហាក់ដូចជាគ្មានការបង្កគ្រោះថ្នាក់ ជាធម្មតានៅក្នុងទម្រង់ Excel ឬ Word ដោយប្រើប្រាស់ភាពងាយរងគ្រោះ CVE-2017-11882 ។ គុណវិបត្តិនេះដែលប៉ះពាល់ដល់កម្មវិធីនិពន្ធសមីការ Microsoft Office និងត្រូវបានជួសជុលក្នុងឆ្នាំ 2017 បម្រើជាគោលដៅរួម។ អ៊ីមែលទាំងនេះត្រូវបានបញ្ជូនពីម៉ាស៊ីនមេ SMTP ដែលត្រូវបានសម្របសម្រួល ដើម្បីបង្កើនភាពស្របច្បាប់របស់ពួកគេ និងកាត់បន្ថយលទ្ធភាពនៃការត្រូវបានរារាំង។
ក្នុងករណីដែលកំណែ Microsoft Office ហួសសម័យកំពុងប្រើប្រាស់ ការកេងប្រវ័ញ្ចបង្កឱ្យមានការទាញយក Visual Basic Script (VBS) ពី 'បិទភ្ជាប់នៅពេលបើកសេវាកម្ម file.ee' ស្របច្បាប់។ ក្រោយមក ស្គ្រីបនេះត្រូវបានប្រតិបត្តិដើម្បីទាញយកឯកសាររូបភាព (JPG) ដែលមានផ្ទុកបន្ទុកដែលបានអ៊ិនកូដមូលដ្ឋាន -64 ។ នៅក្នុងស្គ្រីបដែលបានបង្កប់នៅក្នុងរូបភាព កូដ PowerShell ជួយសម្រួលដល់ការទាញយកឯកសារចុងក្រោយ ដែលលាក់នៅក្នុងឯកសារអត្ថបទ និងបានអ៊ិនកូដជាទម្រង់ base64 បញ្ច្រាស។
ការគំរាមកំហែងដែលបង្កគ្រោះថ្នាក់ជាច្រើនត្រូវបានដាក់ពង្រាយជាបន្ទុកចុងក្រោយ
ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញឡើងវិញជាច្រើននៃខ្សែសង្វាក់វាយប្រហារ ដោយនីមួយៗណែនាំក្រុមមេរោគជាច្រើនប្រភេទ។ ក្នុងចំណោមនោះមាន AgentTesla ដែលមានមុខងារជា spyware ដែលមានសមត្ថភាពចាក់សោរសោ និងលួចព័ត៌មានសម្ងាត់។ FormBook ដែលមានឯកទេសក្នុងការប្រមូលព័ត៌មាន និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។ Remcos បើកដំណើរការការគ្រប់គ្រងម៉ាស៊ីនពីចម្ងាយ និងការឃ្លាំមើល។ LokiBot កំណត់គោលដៅទិន្នន័យរសើបពីកម្មវិធីផ្សេងៗ។ Gulo a der បម្រើជាអ្នកទាញយកសម្រាប់បន្ទុកបន្ទាប់បន្សំ Snake Keylogger ចាប់យកការចុចគ្រាប់ចុច និងព័ត៌មានសម្ងាត់ និង XWorm ផ្តល់សិទ្ធិចូលប្រើពីចម្ងាយទៅកាន់កុំព្យូទ័រដែលត្រូវបានសម្របសម្រួល។
ការផ្ទុកចុងក្រោយ និងស្គ្រីបក្លែងបន្លំ តែងតែស្វែងរកកន្លែងជ្រកកោនក្នុងសេវាកម្មពពកល្បីឈ្មោះដូចជា Google Drive ដើម្បីទាញយកកេរ្តិ៍ឈ្មោះដ៏អំណោយផលរបស់ពួកគេ និងគេចពីការរកឃើញប្រឆាំងនឹងមេរោគ។ ព័ត៌មានដែលបានប្រមូលផលត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ FTP ស្របច្បាប់ដែលត្រូវបានសម្របសម្រួល ដោយបិទបាំងចរាចរណ៍ឱ្យមានលក្ខណៈធម្មតា។ ការវាយប្រហារជាង 320 ត្រូវបានកំណត់អត្តសញ្ញាណ ដោយផ្តោតលើប្រទេសនៅអាមេរិកឡាទីន ទោះបីជាវិសាលភាពកំណត់គោលដៅពង្រីកនៅទូទាំងពិភពលោកក៏ដោយ។
Phishing នៅតែជាឧបករណ៍ដ៏មានឥទ្ធិពលបំផុតនៅក្នុងក្រុម Arsenal នៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
ការវាយប្រហារបន្លំមួយខ្សែដែលធ្វើឡើងដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលផ្តោតលើស្ថាប័នរដ្ឋាភិបាលនៅទូទាំងប្រទេសរុស្ស៊ី បេឡារុស កាហ្សាក់ស្ថាន អ៊ូសបេគីស្ថាន កៀហ្ស៊ីស៊ីស្ថាន តាជីគីស្ថាន និងអាមេនី ត្រូវបានអ្នកជំនាញ infosec បំភ្លឺ។ ការវាយប្រហារទាំងនេះដាក់ពង្រាយមេរោគដែលហៅថា LazyStealer ដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីទាញយកព័ត៌មានសម្ងាត់ពី Google Chrome ។ ក្រុមអ្នកស្រាវជ្រាវកំពុងតាមដានការវាយប្រហារជាបន្តបន្ទាប់នេះ ដែលហៅថា Lazy Koala ដែលត្រូវបានគេដាក់ឈ្មោះតាមឧបករណ៍បញ្ជាដែលបានអះអាងពី Telegram bots ដែលទទួលទិន្នន័យលួចចម្លង។
លើសពីនេះ ការវិភាគលើលក្ខណៈប្រជាសាស្រ្តរបស់ជនរងគ្រោះ និងលក្ខណៈ malware បង្ហាញពីការភ្ជាប់សក្តានុពលទៅនឹងក្រុម hacking ផ្សេងទៀតដែលគេស្គាល់ថា YoroTrooper (ត្រូវបានគេស្គាល់ផងដែរថា SturgeonPhisher)។ ឧបករណ៍ចម្បងដែលប្រើប្រាស់ដោយក្រុមនេះគឺជាអ្នកលួចដែលប្រើវិធានការការពារដើម្បីគេចពីការរកឃើញ រារាំងការវិភាគ ប្រមូលទិន្នន័យដែលលួចចម្លងទាំងអស់ និងបញ្ជូនវាតាមរយៈ Telegram ។ Telegram ត្រូវបានអ្នកប្រព្រឹត្តព្យាបាទនិយមកាន់តែខ្លាំងឡើងជាមធ្យោបាយទំនាក់ទំនងសុវត្ថិភាព។
