ISAC Cambodia (InfoSec)
DocumentsGeneralKnowledgeSecurity NewsUncategorized

វិធីសាស្រ្តវាយប្រហារ APTs ជាមួយនឹងវីរ៉ុស COVID-19

វីរ៉ុសកូវីដ១៩ (COVID-19) បានក្លាយជាការរាតត្បាតជាសកល ហើយនេះគឺជាពេលវេលាល្អបំផុតសម្រាប់អ្នកវាយប្រហារដើម្បីទាញយកផលប្រយោជន៍ពីការភ័យខ្លាចជារួមរបស់យើងទាំងអស់គ្នា ដើម្បីបង្កើនលទ្ធភាពនៃការវាយប្រហារឱ្យបានជោគជ័យ។ ពួកឧក្រិដ្ឋជនបច្ចេកវិទ្យាបានអនុវត្តន៍យុទ្ធនាការបន្លំសារឥតបានការ (spam email) និងបោកបញ្ជោត (phishing) ដោយប្រើវីរ៉ុសកូវីដ១៩ ដើម្បីជាការទាក់ទាញដល់រដ្ឋាភិបាល និងអង្គភាពមិនមែនរដ្ឋាភិបាល។

ចាប់ពីចុងខែមករាមក ក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា និងក្រុមដែលមានការគាំទ្រពីរដ្ឋ (state-sponsore) ឬក្រុម ​APTs បាននឹងកំពុងប្រើប្រាស់ការបោកបញ្ឆោតពាក់ព័ន្ធទៅនឹងប្រធានបទមេរោគកូវីដ១៩ ធ្វើជាច្រកនៃការវាយប្រហារ ដើម្បីឈានចូលទៅក្នុងប្រព័ន្ធជនរងគ្រោះ និងបើកការវាយប្រហារដោយមេរោគកុំព្យូទ័រ។

នៅក្នុងឯកសារខាងក្រោមនេះ Malwarebytes Lab ផ្តល់ជូននូវទិដ្ឋភាពទូទៅនៃក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា APT ដែលបាននឹងកំពុងប្រើមេរោគកូវីដ១៩ ជាអន្ទាក់ ហើយ ​Malwarebytes Lab ក៏បានវិភាគបច្ចេកទេសនៃការឆ្លង និងកូដនៃការវាយលុកផងដែរ។ Malwarebytes Lab ចាត់ថ្នាក់ក្រុម​ APTs ដោយផ្អែកលើចក្រនៃការវាយប្រហារ ៤ ផ្សេងគ្នា ដែលត្រូវបានប្រើក្នុងយុទ្ធនាការកូវីដ១៩៖ Template injection, Malicious macros, RTF exploits, and malicious LNK files ។

អ្នកទាំងអស់គ្នាអាចទាញយករបាយការណ៍លំអិតនៅទីេនះ (Download) 

ច្រកនៃការវាយប្រហារមានដូចខាងក្រោម៖

  • Template injection: គឺសំដៅទៅដល់បច្ចេកទេសដែលឧក្រិដ្ឋជនបច្ចេកវិទ្យាធ្វើការបង្កប់នូវ script នៅក្នុងឯកសារណាមួយ ដែលមាននូវតំណរភ្ចាប់ (link)​ ទៅកាន់ Office template ដែលមានផ្ទុកមេរោគ។ នៅពេលដែលបើក ឯកសារជា template ត្រូវបានដំណើរការពីចំងាយ។ ក្រុមឧក្រិដ្ឋជន Kimsuky និង Gamaredon APTs ប្រើប្រាស់បច្ចេកទេសនេះ
  • Malicious macros: វាគឺជាបច្ចេកទេសដែលមានការពេញនិយមបំផុត។ នៅក្នុងបច្ចេកទេសនេះ macro ត្រូវបានបង្កប់នៅក្នុងឯកសារ ហើយ macro នោះនឹងដំណើរការនៅពេលឯកសារនោះត្រូវបានបើកមើល។ ក្រុមឧក្រិដ្ឋជន Konni (APT37), APT36, Patchwork, Hades, TA505, TA542, Bitter, APT32 (Ocean Lotus) និង Kimsuky គឺប្រើប្រាស់នូវបច្ចេកទេសមួយនេះ
  • RTF exploits: RTF គឺជាទម្រង់នៃ text ដែលមានលក្ខណៈបទបែន ដែលអាចអនុញ្ញាតឱ្យមានការបង្កប់នូវរាល់ object type ប្រភេទណាមួយក៏បាននៅក្នុងឯកសារប្រទេសនេះ ដែលវាបណ្តាលឱ្យឯកសារប្រភេទ ​RTF អាចទទួលភាពងាយរងគ្រោះជាច្រើនផងដែរ។ មានក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យាមួយចំនួនដែលប្រើប្រាស់បច្ចេកទេសនេះ គឺមានក្រុម Calypso និង Winnti ជាដើម
  • Malicious LNK files: LNK file គឺជាប្រភេទនៃ shortcut file ដែលប្រើប្រាស់ដោយ Microsoft Windows ហើយវាត្រូវបានចាត់ទុកជាប្រភេទ Shell ដែលអាចដំណើរការបាន (execute)។ ក្រុមឧក្រិដ្ឋជន Mustang Panda គឺប្រើប្រាស់បច្ចេកទេសមួយនេះ ដើម្បីធ្វើការទំលាក់មេរោគ PlugX RAT ឬ Cobalt Strike ទៅក្នុងប្រព័ន្ធកុំព្យូទ័ររបស់ជនរងគ្រោះ។ ក្រុម Higaisia ក៏ប្រើប្រាស់នូវបច្ចេកទេសមួយនេះផងដែរ។

Malwarebytes Lab នឹងរំពឹងថា នៅក្នុងប៉ុន្មានសប្តាហ៍ខាងមុខទៀតនេះ ឧក្រិដ្ឋជនបច្ចេកវិទ្យា APTs ទាំងអស់នោះ នឹងបន្តប្រើប្រាស់នូវវិបត្តិកូវីដ១៩ ដើម្បីបង្កើតនូវយុទ្ធនាការបោកបញ្ជោតផ្សេងៗទៀត ដោយប្រើប្រាស់នូវបច្ចេកទេសដែលបានរៀបរាប់នៅក្នុងរបាយការណ៍ខាងលើនេះ៕

ប្រភព៖

https://blog.malwarebytes.com/threat-analysis/2020/04/apts-and-covid-19-how-advanced-persistent-threats-use-the-coronavirus-as-a-lure/

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button