ការវាយប្រហារតាមអ៊ីនធឺណិត TA416
ចាប់តាំងពីពាក់កណ្តាលឆ្នាំ ២០២៥ មក ភ្នាក់ងារគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិនបានលេចចេញជាថ្មី ដោយផ្តោតយ៉ាងខ្លាំងទៅលើរដ្ឋាភិបាល និងអង្គភាពការទូតអឺរ៉ុប បន្ទាប់ពីសកម្មភាពថយចុះជិតពីរឆ្នាំនៅក្នុងតំបន់។ យុទ្ធនាការនេះត្រូវបានសន្មតថាជារបស់ TA416 ដែលជាចង្កោមគំរាមកំហែងមួយដែលក៏ជាប់ទាក់ទងជាមួយ DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 និង Vertigo Panda ផងដែរ។
ប្រតិបត្តិការទាំងនេះភាគច្រើនផ្តោតលើបេសកកម្មការទូតដែលមានទំនាក់ទំនងជាមួយសហភាពអឺរ៉ុប និងណាតូនៅទូទាំងប្រទេសជាច្រើន។ យុទ្ធនាការទាំងនេះមានរលកសម្របសម្រួលដែលពាក់ព័ន្ធនឹងការតាមដានកំហុសគេហទំព័រ និងការចែកចាយមេរោគ ដែលបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ដែលមានរចនាសម្ព័ន្ធ និងជាប់លាប់។
តារាងមាតិកា
ការពង្រីកវិសាលភាពដែលជំរុញដោយភាពតានតឹងភូមិសាស្ត្រនយោបាយ
TA416 បានពង្រីកវិសាលភាពប្រតិបត្តិការរបស់ខ្លួនហួសពីអឺរ៉ុប ដោយចាប់ផ្តើមយុទ្ធនាការប្រឆាំងនឹងរដ្ឋាភិបាល និងអង្គការការទូតនៅមជ្ឈិមបូព៌ា បន្ទាប់ពីការកើនឡើងនៃជម្លោះរវាងសហរដ្ឋអាមេរិក-អ៊ីស្រាអែល-អ៊ីរ៉ង់ ក្នុងខែកុម្ភៈ ឆ្នាំ២០២៦។
ការពង្រីកនេះឆ្លុះបញ្ចាំងពីកិច្ចខិតខំប្រឹងប្រែងជាយុទ្ធសាស្ត្រមួយដើម្បីប្រមូលព័ត៌មានសម្ងាត់ក្នុងតំបន់ដ៏រសើប ដោយបង្ហាញពីរបៀបដែលអាទិភាពកំណត់គោលដៅរបស់ក្រុមនេះស្របគ្នាយ៉ាងជិតស្និទ្ធជាមួយនឹងការវិវត្តន៍ភូមិសាស្ត្រនយោបាយដែលកំពុងវិវត្ត។
ប្រព័ន្ធអេកូឡូស៊ីគំរាមកំហែងដែលត្រួតស៊ីគ្នា និងបច្ចេកទេសរួម
TA416 ចែករំលែកការត្រួតស៊ីគ្នាផ្នែកបច្ចេកទេសគួរឱ្យកត់សម្គាល់ជាមួយចង្កោមគំរាមកំហែងកម្រិតខ្ពស់មួយផ្សេងទៀតដែលត្រូវបានគេស្គាល់ជាទូទៅថា Mustang Panda ដែលត្រូវបានគេហៅថា CerenaKeeper, Red Ishtar និង UNK_SteadySplit។ ក្រុមទាំងពីរត្រូវបានតាមដានរួមគ្នាក្រោមចំណាត់ថ្នាក់ទូលំទូលាយជាងនេះដូចជា Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX និង Twill Typhoon។
ខណៈពេលដែល TA416 ត្រូវបានផ្សារភ្ជាប់ជាចម្បងជាមួយនឹងបំរែបំរួលមេរោគ PlugX ដែលបានប្ដូរតាមបំណង Mustang Panda តែងតែដាក់ពង្រាយឧបករណ៍ដូចជា TONESHELL, PUBLOAD និង COOLCLIENT។ ទោះបីជាមានភាពខុសគ្នាទាំងនេះក៏ដោយ ក្រុមទាំងពីរពឹងផ្អែកយ៉ាងខ្លាំងទៅលើការផ្ទុក DLL ចំហៀងជាបច្ចេកទេសប្រតិបត្តិស្នូល ដោយបង្ហាញពីវិធីសាស្រ្តប្រតិបត្តិការរួមគ្នា។
ខ្សែសង្វាក់នៃការឆ្លងមេរោគដែលអាចសម្របខ្លួនបាន និងបច្ចេកទេសចែកចាយ
TA416 បានបង្ហាញពីកម្រិតខ្ពស់នៃភាពបត់បែនដោយវិវឌ្ឍជាបន្តបន្ទាប់នូវខ្សែសង្វាក់ឆ្លងរបស់វា។ បច្ចេកទេសដែលត្រូវបានគេសង្កេតឃើញនៅទូទាំងយុទ្ធនាការរួមមានការរំលោភបំពានលើទំព័រផ្ទៀងផ្ទាត់ Cloudflare Turnstile ការកេងប្រវ័ញ្ចយន្តការបញ្ជូនបន្ត OAuth និងការប្រើប្រាស់ឯកសារគម្រោង C# ដែលមានគំនិតអាក្រក់។
ក្រុមនេះចែកចាយមេរោគតាមរយៈអ៊ីមែលបន្លំដែលផ្ញើចេញពីគណនីអ៊ីមែលឥតគិតថ្លៃ។ សារទាំងនេះច្រើនតែរួមបញ្ចូលតំណភ្ជាប់ទៅកាន់បណ្ណសារព្យាបាទដែលបង្ហោះនៅលើវេទិកាដូចជា Microsoft Azure Blob Storage, Google Drive, ដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ឬបរិស្ថាន SharePoint ដែលរងការសម្របសម្រួល។
បច្ចេកទេសឈ្លបយកការណ៍សំខាន់មួយពាក់ព័ន្ធនឹងការប្រើប្រាស់កំហុសគេហទំព័រ ដែលជាធាតុតាមដានតូចៗដែលមើលមិនឃើញដែលបានបង្កប់នៅក្នុងអ៊ីមែល។ នៅពេលបើក សំណើទាំងនេះបង្កឱ្យមានសំណើ HTTP ដែលបង្ហាញទិន្នន័យមេតារបស់អ្នកទទួលដូចជាអាសយដ្ឋាន IP ភ្នាក់ងារអ្នកប្រើប្រាស់ និងពេលវេលាចូលប្រើ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបញ្ជាក់ពីការចូលរួម និងកែលម្អការកំណត់គោលដៅ។
ការរំលោភបំពាន OAuth និងការចែកចាយមេរោគដែលមានមូលដ្ឋានលើពពក
នៅចុងឆ្នាំ ២០២៥ យុទ្ធនាការ TA416 បានទាញយកអត្ថប្រយោជន៍ពីចំណុចបញ្ចប់ការអនុញ្ញាត Microsoft OAuth ស្របច្បាប់។ ជនរងគ្រោះដែលចុចលើតំណភ្ជាប់ phishing ត្រូវបានបញ្ជូនបន្តតាមរយៈលំហូរផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលទុកចិត្ត មុនពេលត្រូវបានបញ្ជូនបន្តដោយស្ងាត់ៗទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលបង្ហោះឯកសារផ្ទុកទិន្នន័យដែលមានគំនិតអាក្រក់។
នៅដើមឆ្នាំ ២០២៦ ក្រុមនេះបានកែលម្អវិធីសាស្រ្តរបស់ខ្លួនបន្ថែមទៀតដោយចែកចាយបណ្ណសារតាមរយៈ Google Drive និងឧទាហរណ៍ SharePoint ដែលលួចចូល។ បណ្ណសារទាំងនេះមានផ្ទុកឯកសារដែលអាចប្រតិបត្តិបានរបស់ Microsoft MSBuild ស្របច្បាប់ រួមជាមួយនឹងឯកសារគម្រោង C# ព្យាបាទ ដែលបង្កើតផ្លូវប្រតិបត្តិដ៏បោកបញ្ឆោត ប៉ុន្តែមានប្រសិទ្ធភាព។
ការកេងប្រវ័ញ្ច MSBuild និងការដាក់ពង្រាយ Payload ច្រើនដំណាក់កាល
ឧបករណ៍ប្រើប្រាស់ MSBuild ដើរតួនាទីយ៉ាងសំខាន់នៅក្នុងខ្សែសង្វាក់ឆ្លងរបស់ TA416។ នៅពេលប្រតិបត្តិ វានឹងកំណត់ទីតាំង និងចងក្រងឯកសារគម្រោងដោយស្វ័យប្រវត្តិនៅក្នុងថតឯកសារការងារ។ នៅក្នុងការវាយប្រហារទាំងនេះ ឯកសារ CSPROJ ព្យាបាទដើរតួជាកម្មវិធីទាញយកដែលឌិកូដ URL ដែលបានអ៊ិនកូដ Base64 និងទាញយកសមាសធាតុ payload បន្ថែម។
ដំណើរការនេះពាក់ព័ន្ធនឹងការទាញយកកញ្ចប់ DLL ដែលផ្ទុកចំហៀង រក្សាទុកវានៅក្នុងថតឯកសារបណ្ដោះអាសន្ន និងការប្រតិបត្តិប្រព័ន្ធគោលពីរស្របច្បាប់ដែលផ្ទុកមេរោគ PlugX។ វិធីសាស្រ្តពហុដំណាក់កាលនេះបង្កើនការលួចលាក់ និងធ្វើឱ្យការរកឃើញមានភាពស្មុគស្មាញ។
សមត្ថភាព និងការតស៊ូរបស់ PlugX Backdoor
PlugX នៅតែជាសមាសធាតុកណ្តាលនៃប្រតិបត្តិការរបស់ TA416 ដែលត្រូវបានដាក់ពង្រាយជាប់លាប់នៅទូទាំងយុទ្ធនាការទោះបីជាមានការប្រែប្រួលនៃយន្តការចែកចាយក៏ដោយ។ មេរោគនេះបង្កើតការទំនាក់ទំនងដែលបានអ៊ិនគ្រីបជាមួយហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ ហើយអនុវត្តការត្រួតពិនិត្យប្រឆាំងការវិភាគមុនពេលប្រតិបត្តិដើម្បីគេចពីការរកឃើញ។
មុខងាររបស់វាអនុញ្ញាតឱ្យមានការគ្រប់គ្រងប្រព័ន្ធយ៉ាងទូលំទូលាយ និងការលួចយកទិន្នន័យ។ សមត្ថភាពស្នូលរួមមាន៖
- ការប្រមូលព័ត៌មានប្រព័ន្ធលម្អិត
- ការដកខ្លួនចេញដើម្បីគេចពីការវិភាគផ្នែកកោសល្យវិច្ច័យ
- ការកែប្រែចន្លោះពេលទំនាក់ទំនងជាមួយម៉ាស៊ីនបម្រើពាក្យបញ្ជា
- ការទាញយក និងការប្រតិបត្តិ payloads បន្ថែម
- ការបង្កើតការចូលប្រើសែលបញ្ច្រាសសម្រាប់ឧបករណ៍បញ្ជាពីចម្ងាយ
ការវិវត្តន៍ជាបន្តបន្ទាប់ និងការកំណត់គោលដៅជាយុទ្ធសាស្ត្រ
ការវិលត្រឡប់របស់ TA416 ទៅកាន់គោលដៅអឺរ៉ុប បន្ទាប់ពីផ្តោតលើអាស៊ីអាគ្នេយ៍ និងម៉ុងហ្គោលី បង្ហាញពីការសង្កត់ធ្ងន់ឡើងវិញលើការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ដែលទាក់ទងនឹងសហភាពអឺរ៉ុប និងណាតូ។ ក្នុងពេលជាមួយគ្នានេះ ការពង្រីកប្រតិបត្តិការទៅកាន់មជ្ឈិមបូព៌ា បញ្ជាក់ពីការឆ្លើយតបរបស់ក្រុមចំពោះជម្លោះសកល។
ឆន្ទៈរបស់ភ្នាក់ងារគំរាមកំហែងក្នុងការបង្កើតបច្ចេកទេសឡើងវិញ ចាប់ពីទំព័រផ្ទៀងផ្ទាត់ក្លែងក្លាយ រហូតដល់ការរំលោភបំពាន OAuth និងការប្រតិបត្តិផ្អែកលើ MSBuild បង្ហាញពីការប្តេជ្ញាចិត្តជាប់លាប់ចំពោះការគេចវេស និងប្រសិទ្ធភាពប្រតិបត្តិការ។ ការកែលម្អជាបន្តបន្ទាប់នៃមេរោគ PlugX របស់វាបន្ថែមទៀតបញ្ជាក់ពីតួនាទីរបស់វាជាការគំរាមកំហែងចារកម្មតាមអ៊ីនធឺណិតដ៏ទំនើប និងអាចសម្របខ្លួនបាន។
