TOUGHPROGRESS Malware

អ្នកស្រាវជ្រាវបានរកឃើញថា តួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋចិន APT41 កំពុងប្រើប្រាស់មេរោគដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីហៅថា TOUGHPROGRESS ។ មេរោគដ៏ស្មុគ្រស្មាញនេះប្រើប្រាស់ Google Calendar ជាឆានែល Command-and-Control (C2) ដែលអនុញ្ញាតឱ្យ APT41 បញ្ចូលគ្នានូវសកម្មភាពមិនមានសុវត្ថិភាពជាមួយនឹងចរាចរណ៍ស្របច្បាប់។

ការរកឃើញនៃយុទ្ធនាការបំបាំងកាយ

សកម្មភាពនេះត្រូវបានរកឃើញជាលើកដំបូងនៅចុងខែតុលា ឆ្នាំ 2024 ដោយ TOUGHPROGRESS បង្ហោះនៅលើគេហទំព័ររបស់រដ្ឋាភិបាលដែលត្រូវបានសម្របសម្រួល។ វាត្រូវបានដាក់ពង្រាយជាពិសេសដើម្បីកំណត់គោលដៅអង្គភាពរដ្ឋាភិបាលផ្សេងទៀត ដោយទាញយកអត្ថប្រយោជន៍ពីសេវាកម្មពពក ដើម្បីបិទបាំងប្រតិបត្តិការរបស់ខ្លួន និងគេចពីការរកឃើញ។

APT41: សត្រូវដែលធ្លាប់ស្គាល់

APT41 ដែលត្រូវបានតាមដានផងដែរដូចជា Axiom, Blackfly, Brass Typhoon (អតីត Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda, និង Winnti គឺជាក្រុមប្រទេសដែលមានកេរ្តិ៍ឈ្មោះល្បីល្បាញសម្រាប់ការវាយប្រហារលើការដឹកជញ្ជូនសកល ដឹកជញ្ជូន យានយន្ត ប្រព័ន្ធផ្សព្វផ្សាយ វិស័យ និងបច្ចេកវិទ្យា។

នៅខែកក្កដា ឆ្នាំ 2024 APT41 បានកំណត់គោលដៅលើស្ថាប័នជាច្រើននៅក្នុងប្រទេសអ៊ីតាលី អេស្ប៉ាញ តៃវ៉ាន់ ថៃ ទួរគី និងចក្រភពអង់គ្លេស ដោយប្រើការរួមបញ្ចូលគ្នានៃសំបកគេហទំព័រ និងឧបករណ៍ទម្លាក់ដូចជា ANTSWORD BLUEBEAM DUSTPAN និង DUSTTRAP ។ កាលពីដើមខែមីនា ឆ្នាំ 2024 ក្រុមរងមួយនៅក្នុង APT41 បានកំណត់គោលដៅក្រុមហ៊ុនជប៉ុនក្នុងវិស័យផលិតកម្ម សម្ភារៈ និងថាមពល ដែលជាផ្នែកមួយនៃយុទ្ធនាការដែលគេស្គាល់ថា RevivalStone ។

ខ្សែសង្វាក់វាយប្រហារបោកបញ្ឆោត

ខ្សែសង្វាក់វាយប្រហារដែលបានចងក្រងជាឯកសារចុងក្រោយបង្អស់ ចាប់ផ្តើមដោយ spear-phishing emails ផ្តល់តំណភ្ជាប់ទៅកាន់បណ្ណសារ ZIP ដែលបង្ហោះនៅលើគេហទំព័ររដ្ឋាភិបាលដែលត្រូវបានសម្របសម្រួល។ នៅខាងក្នុងឯកសារ ZIP គឺជាថតឯកសារ និងផ្លូវកាត់វីនដូ (LNK) ដែលក្លែងបន្លំជាឯកសារ PDF ។ បញ្ជីនេះហាក់ដូចជាមានរូបភាពចំនួនប្រាំពីរនៃ arthropods ('1.jpg' ទៅ '7.jpg') ។

ការឆ្លងចាប់ផ្តើមនៅពេលដែលជនរងគ្រោះចុចលើ LNK ដោយបង្កឱ្យមានការបញ្ឆោត PDF ដែលអះអាងថាប្រភេទសត្វដែលបានរាយបញ្ជីត្រូវតែត្រូវបានប្រកាសសម្រាប់ការនាំចេញ។ ទោះយ៉ាងណាក៏ដោយ '6.jpg' និង '7.jpg' គឺជារូបភាពក្លែងក្លាយ។ តាមពិត ឯកសារទីមួយគឺជាបន្ទុកដែលបានអ៊ិនគ្រីប ឌិគ្រីបដោយឯកសារទីពីរ DLL ដែលប្រតិបត្តិនៅពេលដែល LNK ត្រូវបានធ្វើឱ្យសកម្ម។ មេរោគនេះប្រើយុទ្ធសាស្ត្របំបាំងកាយដូចជា ការផ្ទុកសម្រាប់តែអង្គចងចាំ ការអ៊ិនគ្រីប ការបង្ហាប់ និងការគ្រប់គ្រងលំហូរដែលរំខាន ដើម្បីជៀសវាងការរកឃើញ។

ដំណាក់កាលទាំងបីនៃការប្រើប្រាស់មេរោគ

មេរោគមានធាតុផ្សំបីផ្សេងគ្នា ដែលនីមួយៗមានតួនាទីសំខាន់៖

• PLUSDROP៖ DLL ដែលឌិគ្រីប និងប្រតិបត្តិដំណាក់កាលបន្ទាប់ក្នុងអង្គចងចាំ។
• PLUSINJECT៖ ដំណើរការដំណើរការប្រហោងនៅលើដំណើរការ 'svchost.exe' ស្របច្បាប់ ដើម្បីចាក់បញ្ចូលបន្ទុកចុងក្រោយ។

• TOUGHPROGRESS៖ មេរោគចម្បង ដែលប្រើប្រាស់ Google Calendar សម្រាប់ C2។

ការទាញយក Google Calendar សម្រាប់ពាក្យបញ្ជា និងការគ្រប់គ្រង

TOUGHPROGRESS ធ្វើអន្តរកម្មជាមួយប្រតិទិន Google ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដើម្បីអាន និងសរសេរព្រឹត្តិការណ៍ រក្សាទុកទិន្នន័យដែលបានប្រមូលផលនៅក្នុងការពិពណ៌នាព្រឹត្តិការណ៍ជាមួយនឹងព្រឹត្តិការណ៍សូន្យនាទីកំណត់ទៅជាកាលបរិច្ឆេទកូដរឹង (2023-05-30) ។ ពាក្យបញ្ជាដែលបានអ៊ិនគ្រីបដែលដាក់ក្នុងព្រឹត្តិការណ៍ប្រតិទិននៅថ្ងៃទី 30 និង 31 ខែកក្កដា ឆ្នាំ 2023 ត្រូវបានស្ទង់មតិដោយមេរោគ ឌិគ្រីប ប្រតិបត្តិលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ លទ្ធផល​ត្រូវ​បាន​សរសេរ​ត្រឡប់​ទៅ​ប្រតិទិន​វិញ​ដើម្បី​ឱ្យ​អ្នក​វាយប្រហារ​យក​មក​វិញ។

Google ចាត់វិធានការ

Google បាន​ធ្វើ​អន្តរាគមន៍​ដោយ​ការ​លុប​ប្រតិទិន Google ដែល​ក្លែង​បន្លំ និង​ការ​បញ្ចប់​គម្រោង Workspace ដែល​ពាក់ព័ន្ធ ដោយ​មាន​ប្រសិទ្ធភាព​រុះរើ​ហេដ្ឋារចនាសម្ព័ន្ធ​ព្យាបាទ​នេះ។ អង្គការដែលរងផលប៉ះពាល់ត្រូវបានជូនដំណឹង ប៉ុន្តែទំហំនៃយុទ្ធនាការនេះនៅតែមិនទាន់ដឹងនៅឡើយ។

ប្រវត្តិនៃការរំលោភបំពានលើពពករបស់ APT41

ឧបទ្ទវហេតុនេះមិនមែនជាលើកទីមួយទេដែល APT41 រៀបចំសេវាកម្មរបស់ Google សម្រាប់គោលបំណងព្យាបាទ។ នៅខែមេសា ឆ្នាំ 2023 APT41 បានកំណត់គោលដៅទៅលើស្ថាប័នប្រព័ន្ធផ្សព្វផ្សាយតៃវ៉ាន់ ដោយផ្តល់ឧបករណ៍ Google Command and Control (GC2) តាមរយៈឯកសារដែលការពារដោយពាក្យសម្ងាត់នៅលើ Google Drive ។ នៅពេលដាក់ពង្រាយ GC2 បានអនុញ្ញាតឱ្យអ្នកវាយប្រហារអានពាក្យបញ្ជាពី Google សន្លឹក និងស្រង់ទិន្នន័យដោយប្រើ Google Drive ។