Documents General Knowledge Security News Uncategorized

វិធីសាស្រ្តវាយប្រហារ APTs ជាមួយនឹងវីរ៉ុស COVID-19

PhannarithApril 16, 2020

257 1 minute read

វីរ៉ុសកូវីដ១៩ (COVID-19) បានក្លាយជាការរាតត្បាតជាសកល ហើយនេះគឺជាពេលវេលាល្អបំផុតសម្រាប់អ្នកវាយប្រហារដើម្បីទាញយកផលប្រយោជន៍ពីការភ័យខ្លាចជារួមរបស់យើងទាំងអស់គ្នា ដើម្បីបង្កើនលទ្ធភាពនៃការវាយប្រហារឱ្យបានជោគជ័យ។ ពួកឧក្រិដ្ឋជនបច្ចេកវិទ្យាបានអនុវត្តន៍យុទ្ធនាការបន្លំសារឥតបានការ (spam email) និងបោកបញ្ជោត (phishing) ដោយប្រើវីរ៉ុសកូវីដ១៩ ដើម្បីជាការទាក់ទាញដល់រដ្ឋាភិបាល និងអង្គភាពមិនមែនរដ្ឋាភិបាល។

ចាប់ពីចុងខែមករាមក ក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា និងក្រុមដែលមានការគាំទ្រពីរដ្ឋ (state-sponsore) ឬក្រុម APTs បាននឹងកំពុងប្រើប្រាស់ការបោកបញ្ឆោតពាក់ព័ន្ធទៅនឹងប្រធានបទមេរោគកូវីដ១៩ ធ្វើជាច្រកនៃការវាយប្រហារ ដើម្បីឈានចូលទៅក្នុងប្រព័ន្ធជនរងគ្រោះ និងបើកការវាយប្រហារដោយមេរោគកុំព្យូទ័រ។

នៅក្នុងឯកសារខាងក្រោមនេះ Malwarebytes Lab ផ្តល់ជូននូវទិដ្ឋភាពទូទៅនៃក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា APT ដែលបាននឹងកំពុងប្រើមេរោគកូវីដ១៩ ជាអន្ទាក់ ហើយ Malwarebytes Lab ក៏បានវិភាគបច្ចេកទេសនៃការឆ្លង និងកូដនៃការវាយលុកផងដែរ។ Malwarebytes Lab ចាត់ថ្នាក់ក្រុម APTs ដោយផ្អែកលើចក្រនៃការវាយប្រហារ ៤ ផ្សេងគ្នា ដែលត្រូវបានប្រើក្នុងយុទ្ធនាការកូវីដ១៩៖ Template injection, Malicious macros, RTF exploits, and malicious LNK files ។

អ្នកទាំងអស់គ្នាអាចទាញយករបាយការណ៍លំអិតនៅទីេនះ (Download)

ច្រកនៃការវាយប្រហារមានដូចខាងក្រោម៖

Template injection: គឺសំដៅទៅដល់បច្ចេកទេសដែលឧក្រិដ្ឋជនបច្ចេកវិទ្យាធ្វើការបង្កប់នូវ script នៅក្នុងឯកសារណាមួយ ដែលមាននូវតំណរភ្ចាប់ (link) ទៅកាន់ Office template ដែលមានផ្ទុកមេរោគ។ នៅពេលដែលបើក ឯកសារជា template ត្រូវបានដំណើរការពីចំងាយ។ ក្រុមឧក្រិដ្ឋជន Kimsuky និង Gamaredon APTs ប្រើប្រាស់បច្ចេកទេសនេះ
Malicious macros: វាគឺជាបច្ចេកទេសដែលមានការពេញនិយមបំផុត។ នៅក្នុងបច្ចេកទេសនេះ macro ត្រូវបានបង្កប់នៅក្នុងឯកសារ ហើយ macro នោះនឹងដំណើរការនៅពេលឯកសារនោះត្រូវបានបើកមើល។ ក្រុមឧក្រិដ្ឋជន Konni (APT37), APT36, Patchwork, Hades, TA505, TA542, Bitter, APT32 (Ocean Lotus) និង Kimsuky គឺប្រើប្រាស់នូវបច្ចេកទេសមួយនេះ
RTF exploits: RTF គឺជាទម្រង់នៃ text ដែលមានលក្ខណៈបទបែន ដែលអាចអនុញ្ញាតឱ្យមានការបង្កប់នូវរាល់ object type ប្រភេទណាមួយក៏បាននៅក្នុងឯកសារប្រទេសនេះ ដែលវាបណ្តាលឱ្យឯកសារប្រភេទ RTF អាចទទួលភាពងាយរងគ្រោះជាច្រើនផងដែរ។ មានក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យាមួយចំនួនដែលប្រើប្រាស់បច្ចេកទេសនេះ គឺមានក្រុម Calypso និង Winnti ជាដើម
Malicious LNK files: LNK file គឺជាប្រភេទនៃ shortcut file ដែលប្រើប្រាស់ដោយ Microsoft Windows ហើយវាត្រូវបានចាត់ទុកជាប្រភេទ Shell ដែលអាចដំណើរការបាន (execute)។ ក្រុមឧក្រិដ្ឋជន Mustang Panda គឺប្រើប្រាស់បច្ចេកទេសមួយនេះ ដើម្បីធ្វើការទំលាក់មេរោគ PlugX RAT ឬ Cobalt Strike ទៅក្នុងប្រព័ន្ធកុំព្យូទ័ររបស់ជនរងគ្រោះ។ ក្រុម Higaisia ក៏ប្រើប្រាស់នូវបច្ចេកទេសមួយនេះផងដែរ។

Malwarebytes Lab នឹងរំពឹងថា នៅក្នុងប៉ុន្មានសប្តាហ៍ខាងមុខទៀតនេះ ឧក្រិដ្ឋជនបច្ចេកវិទ្យា APTs ទាំងអស់នោះ នឹងបន្តប្រើប្រាស់នូវវិបត្តិកូវីដ១៩ ដើម្បីបង្កើតនូវយុទ្ធនាការបោកបញ្ជោតផ្សេងៗទៀត ដោយប្រើប្រាស់នូវបច្ចេកទេសដែលបានរៀបរាប់នៅក្នុងរបាយការណ៍ខាងលើនេះ៕

ប្រភព៖

https://blog.malwarebytes.com/threat-analysis/2020/04/apts-and-covid-19-how-advanced-persistent-threats-use-the-coronavirus-as-a-lure/

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Phannarith

Related Articles

IT Data Analyst

Millions of cyber attacks happening around the world

Beer Selling Industry Hacked

ជួសជុលជាបន្ទាន់៖ ចំនុចខ្សោយក្នុង vCenter របស់ VMware អាចឱ្យមានការដំណើរការកូដពីចំងាយ