មេរោគ Tickler
តួសម្តែងការគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរបស់ប្រទេសអ៊ីរ៉ង់បាននឹងកំពុងប្រើប្រាស់ backdoor ផ្ទាល់ខ្លួនដែលត្រូវបានអភិវឌ្ឍថ្មីនៅក្នុងការវាយប្រហារដែលផ្តោតលើអង្គការនានានៅក្នុងសហរដ្ឋអាមេរិក និងអារ៉ាប់រួម។ ក្រុម hacking APT33 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Peach Sandstorm និង Refined Kitten បានដាក់ពង្រាយមេរោគដែលមិនស្គាល់ពីមុន ដែលឥឡូវនេះត្រូវបានតាមដានថាជា Tickler ដើម្បីសម្របសម្រួលបណ្តាញរបស់អង្គការក្នុងរដ្ឋាភិបាល វិស័យការពារជាតិ ផ្កាយរណប ប្រេង និងឧស្ម័ន។ យោងតាមក្រុមអ្នកស្រាវជ្រាវ ក្រុមនេះដែលប្រតិបត្តិការនៅក្រោមកងឆ្មាំបដិវត្តន៍អ៊ីស្លាមអ៊ីរ៉ង់ (IRGC) បានប្រើប្រាស់មេរោគនេះនៅក្នុងយុទ្ធនាការប្រមូលព័ត៌មានសម្ងាត់រវាងខែមេសា និងខែកក្កដា ឆ្នាំ 2024។ ក្នុងអំឡុងពេលនៃការវាយប្រហារទាំងនេះ ពួក Hacker បានប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ Microsoft Azure សម្រាប់ Command-and- ប្រតិបត្តិការត្រួតពិនិត្យ (C2) ដោយពឹងផ្អែកលើការជាវ Azure ក្លែងបន្លំដែលត្រូវបានរំខានដោយក្រុមហ៊ុនចាប់តាំងពីពេលនោះមក។
តារាងមាតិកា
វិស័យសំខាន់ៗដែលកំណត់ដោយប្រតិបត្តិការវាយប្រហារ
នៅចន្លោះខែមេសា និងឧសភា ឆ្នាំ 2024 APT33 បានកំណត់គោលដៅលើអង្គការនានាក្នុងវិស័យការពារជាតិ លំហ ការអប់រំ និងផ្នែករដ្ឋាភិបាល តាមរយៈការវាយប្រហារដោយបាញ់ថ្នាំលេខសម្ងាត់ដោយជោគជ័យ។ ការវាយប្រហារទាំងនេះពាក់ព័ន្ធនឹងការប៉ុនប៉ងចូលប្រើគណនីច្រើនដោយប្រើសំណុំនៃពាក្យសម្ងាត់ដែលប្រើជាទូទៅមានកំណត់ ដើម្បីជៀសវាងការធ្វើឱ្យគណនីចាក់សោរ។
ទោះបីជាសកម្មភាពបាញ់ថ្នាំលេខសម្ងាត់ត្រូវបានគេសង្កេតឃើញនៅទូទាំងវិស័យផ្សេងៗក៏ដោយ អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា Peach Sandstorm បានទាញយកប្រយោជន៍ពីគណនីអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលក្នុងវិស័យអប់រំ ដើម្បីបង្កើតហេដ្ឋារចនាសម្ព័ន្ធប្រតិបត្តិការរបស់ពួកគេ។ តួអង្គគំរាមកំហែងអាចចូលប្រើការជាវ Azure ដែលមានស្រាប់ ឬបង្កើតគណនីថ្មីដោយប្រើគណនីដែលសម្របសម្រួលដើម្បីរៀបចំហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេ។ ហេដ្ឋារចនាសម្ព័ន្ធ Azure នេះត្រូវបានប្រើក្នុងប្រតិបត្តិការបន្ថែមទៀតដែលផ្តោតលើវិស័យរដ្ឋាភិបាល វិស័យការពារជាតិ និងអវកាស។
ក្នុងរយៈពេលមួយឆ្នាំកន្លងមកនេះ Peach Sandstorm បានជ្រៀតចូលដោយជោគជ័យនូវអង្គការមួយចំនួននៅក្នុងវិស័យទាំងនេះ ដោយប្រើឧបករណ៍ដែលបានបង្កើតផ្ទាល់ខ្លួន។
Tickler Malware កំណត់ដំណាក់កាលសម្រាប់ការគំរាមកំហែងមេរោគបន្ថែម
Tickler ត្រូវបានកំណត់ថាជា backdoor ពហុដំណាក់កាលផ្ទាល់ខ្លួន ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំឡើងមេរោគបន្ថែមលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ យោងតាមក្រុមហ៊ុន Microsoft បន្ទុកព្យាបាទដែលភ្ជាប់ទៅនឹង Tickler អាចប្រមូលព័ត៌មានប្រព័ន្ធ ប្រតិបត្តិពាក្យបញ្ជា លុបឯកសារ និងទាញយក ឬបង្ហោះឯកសារទៅ និងពីម៉ាស៊ីនមេ Command and Control (C&C) ។
យុទ្ធនាការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត APT33 ពីមុន
នៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2023 ក្រុមគម្រាមកំហែងអ៊ីរ៉ង់បានប្រើយុទ្ធសាស្ត្រស្រដៀងគ្នានេះ ដើម្បីបំពានបណ្តាញអ្នកម៉ៅការការពារទូទាំងពិភពលោក ដោយដាក់ពង្រាយមេរោគ FalseFont backdoor malware ។ ប៉ុន្មានខែមុននេះ អ្នកស្រាវជ្រាវបានចេញការព្រមានអំពីយុទ្ធនាការ APT33 មួយផ្សេងទៀត ដែលបាននិងកំពុងកំណត់គោលដៅលើអង្គការរាប់ពាន់នៅទូទាំងពិភពលោក តាមរយៈការវាយប្រហារដោយបាញ់ពាក្យសម្ងាត់យ៉ាងទូលំទូលាយចាប់តាំងពីខែកុម្ភៈ ឆ្នាំ 2023 ដែលបណ្តាលឱ្យមានការរំលោភលើវិស័យការពារជាតិ ផ្កាយរណប និងឱសថ។
ដើម្បីបង្កើនសុវត្ថិភាពប្រឆាំងនឹងការលួចបន្លំ និងការលួចគណនី Microsoft បានប្រកាសថាចាប់ពីថ្ងៃទី 15 ខែតុលា ការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) នឹងក្លាយជាកាតព្វកិច្ចសម្រាប់ការប៉ុនប៉ងចូល Azure ទាំងអស់។
មេរោគ Backdoor អាចនាំឱ្យមានផលវិបាកធ្ងន់ធ្ងរដល់ជនរងគ្រោះ
មេរោគ backdoor បង្កហានិភ័យយ៉ាងសំខាន់ដល់ទាំងអ្នកប្រើប្រាស់ និងស្ថាប័ននីមួយៗ ដោយផ្តល់នូវការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ នៅពេលដំឡើងរួច មេរោគ backdoor បង្កើតចំណុចចូលលាក់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហាររំលងវិធានការសុវត្ថិភាពបែបប្រពៃណី និងទទួលបានការគ្រប់គ្រងលើបណ្តាញជនរងគ្រោះ។ ការកើនឡើងនេះអាចនាំឱ្យមានផលវិបាកធ្ងន់ធ្ងរជាច្រើន។
ទីមួយ មេរោគ backdoor អនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រមូលព័ត៌មានរសើប រួមទាំងទិន្នន័យផ្ទាល់ខ្លួន កំណត់ត្រាហិរញ្ញវត្ថុ និងកម្មសិទ្ធិបញ្ញា។ ទិន្នន័យដែលប្រមូលបាននេះអាចត្រូវបានប្រើសម្រាប់ការលួចអត្តសញ្ញាណ ការក្លែងបន្លំហិរញ្ញវត្ថុ ឬចារកម្មសាជីវកម្ម។ លើសពីនេះ Malware អាចជួយសម្រួលដល់ការវាយប្រហារបន្ថែមទៀត ដោយបើកដំណើរការដំឡើងកម្មវិធីព្យាបាទបន្ថែម រួមទាំង ransomware ដែលអាចអ៊ិនគ្រីបឯកសារសំខាន់ៗ និងទាមទារថ្លៃលោះសម្រាប់ការចេញផ្សាយរបស់ពួកគេ។
ទីពីរ មេរោគ backdoor អាចបំផ្លាញភាពសុចរិតរបស់ប្រព័ន្ធ និងរំខានដល់ប្រតិបត្តិការ។ អ្នកវាយប្រហារអាចរៀបចំ ឬលុបឯកសារសំខាន់ៗ រំខានដល់ការកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធ និងបិទឧបករណ៍សុវត្ថិភាព ដែលនាំឱ្យមានការផ្អាកប្រតិបត្តិការ និងការបាត់បង់ហិរញ្ញវត្ថុយ៉ាងសំខាន់។ ការរំខាននេះអាចជាការខូចខាតជាពិសេសសម្រាប់វិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ដូចជាការថែទាំសុខភាព ហិរញ្ញវត្ថុ និងថាមពល ដែលការដាច់ប្រព័ន្ធអាចប៉ះពាល់ដល់សុវត្ថិភាព និងសេវាកម្មសាធារណៈ។
លើសពីនេះទៅទៀត មេរោគ backdoor ជារឿយៗជួយសម្រួលដល់ការឃ្លាំមើលសម្ងាត់ និងចារកម្ម។ អ្នកវាយប្រហារអាចតាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ ចាប់យកការចុចគ្រាប់ចុច និងចូលប្រើ webcam feeds ដោយមិនចាំបាច់ដឹងពីជនរងគ្រោះ ដែលនាំឱ្យមានការបំពានលើឯកជនភាព និងព័ត៌មានសម្ងាត់។
សរុបមក មេរោគ backdoor បង្ហាញពីហានិភ័យធ្ងន់ធ្ងរ ដោយធ្វើឱ្យខូចសុវត្ថិភាពទិន្នន័យ សុចរិតភាពនៃប្រតិបត្តិការ និងភាពឯកជន។ សមត្ថភាពរបស់វាក្នុងការផ្តល់នូវការចូលប្រើប្រាស់ជាបន្តបន្ទាប់ និងគ្មានការអនុញ្ញាត ធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងដ៏ខ្លាំងក្លាដែលតម្រូវឱ្យមានវិធានការសុវត្ថិភាពដ៏រឹងមាំ និងការត្រួតពិនិត្យយ៉ាងប្រុងប្រយ័ត្ន ដើម្បីកាត់បន្ថយផលប៉ះពាល់របស់វា។