Operation “Beebus” by Chinese
មេរោគមួយហៅថា “Beebus” ដែលមានគោលដៅវាយប្រហារច្បាស់លាស់ ចំពោះ ឧស្សាហកម្មអាវកាស (aerospace) និងការពារ (defence) ត្រូវបានរកឃើញដោយ ក្រុមអ្នកស្រាវជ្រាវនៃក្រុមហ៊ុន FireEye។ Beebus ត្រូវបានគេកសាងឡើង ដើម្បីលួចយក ព័ត៌មាន រួចចាប់ផ្តើមធ្វើការជ្រៀតចូល តាមរយៈ អ៊ីម៉ែល (spear-phishing email)។
ប្រតិបត្តិការ Beebus គឺមានការទាក់ទងយ៉ាងជិតសិទ្ធិ ជាមួយនឹង Operation Shady RAT ដែលត្រូវបានរកឃើញ ដំបូងនៅក្នុងខែមេសា ឆ្នាំ២០១១។ ការវាយប្រហារគឺបានធ្វើ ឡើងដោយប្រើប្រាស់ spear phishing attack និង drive-by downloads គឺជាមធ្យោបាយសម្រាប់ជ្រៀតចូលទៅក្នុង ប្រព័ន្ធរបស់អ្នក ប្រើប្រាស់។ អ៊ីម៉ែលដែលមាន ភ្ជាប់ ជាមួយនូវឯកសារ ឬ PDFs ត្រូវបានបញ្ជូនទៅគោលដៅ ដោយប្រើប្រាស់នូវ ចំនុចខ្សោយដែលមាននៅក្នង ប្រព័ន្ធ មេរោគនោះត្រូវបានបញ្ជូល មានលក្ខណៈជា Trojan backdoors។ មេរោគនោះនឹងធ្វើការទំនាក់ទំនង ជាមួយនឹង command and control server។
ក្រុមហ៊ុន FireEye បានរកឃើញការវាយប្រហារនេះ នៅក្នុងប្រព័ន្ធរបស់អតិថិនជន ហើយចំណុចខ្សោយនោះ បណ្តាលឲ្យមានការបញ្ជូល file DLL មួយឈ្មោះថា ntshrui.DLL នៅក្នុង C:\Windows។ វាមានមុខងារ ក្នុងការចាប់យកព័ត៌មានពីប្រព័ន្ធ ដូចជា processor, disk, memory, OS, process ID, process start time និងព័ត៌មាន អ្នកប្រើប្រាស់បច្ចុប្បន្ន និងមុខងារផ្សេងទៀត ដែលអាចធ្វើការទាញយក (download) និងដំណើរការ (execute) កម្មវិធីផ្សេងៗ និងធ្វើបច្ចុប្បន្នភាព។
ឯកសារដើមប្រភេទ PDF ត្រូវបានគេកែប្រែដោយប្រើប្រាស់ Ghostscript tool សម្រាប់បង្កើតឯកសារ PDF បង្កប់មេរោគ។ ការស្រាវជ្រាវជឿជាក់ថា Beebus គឺជាយុទ្ធនាការ របស់ចិន ពីព្រោះវាមានលក្ខណៈស្រដៀងនឹង Operation Shady RAT។
ប្រភព និងឯកសារពាក់ព័ន្ធ៖
– http://blog.fireeye.com/research/2013/02/operation-beebus.html
– http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf