វិធីសាស្រ្តវាយប្រហារ APTs ជាមួយនឹងវីរ៉ុស COVID-19

វីរ៉ុសកូវីដ១៩ (COVID-19) បានក្លាយជាការរាតត្បាតជាសកល ហើយនេះគឺជាពេលវេលាល្អបំផុតសម្រាប់អ្នកវាយប្រហារដើម្បីទាញយកផលប្រយោជន៍ពីការភ័យខ្លាចជារួមរបស់យើងទាំងអស់គ្នា ដើម្បីបង្កើនលទ្ធភាពនៃការវាយប្រហារឱ្យបានជោគជ័យ។ ពួកឧក្រិដ្ឋជនបច្ចេកវិទ្យាបានអនុវត្តន៍យុទ្ធនាការបន្លំសារឥតបានការ (spam email) និងបោកបញ្ជោត (phishing) ដោយប្រើវីរ៉ុសកូវីដ១៩ ដើម្បីជាការទាក់ទាញដល់រដ្ឋាភិបាល និងអង្គភាពមិនមែនរដ្ឋាភិបាល។

ចាប់ពីចុងខែមករាមក ក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា និងក្រុមដែលមានការគាំទ្រពីរដ្ឋ (state-sponsore) ឬក្រុម ​APTs បាននឹងកំពុងប្រើប្រាស់ការបោកបញ្ឆោតពាក់ព័ន្ធទៅនឹងប្រធានបទមេរោគកូវីដ១៩ ធ្វើជាច្រកនៃការវាយប្រហារ ដើម្បីឈានចូលទៅក្នុងប្រព័ន្ធជនរងគ្រោះ និងបើកការវាយប្រហារដោយមេរោគកុំព្យូទ័រ។

នៅក្នុងឯកសារខាងក្រោមនេះ Malwarebytes Lab ផ្តល់ជូននូវទិដ្ឋភាពទូទៅនៃក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យា APT ដែលបាននឹងកំពុងប្រើមេរោគកូវីដ១៩ ជាអន្ទាក់ ហើយ ​Malwarebytes Lab ក៏បានវិភាគបច្ចេកទេសនៃការឆ្លង និងកូដនៃការវាយលុកផងដែរ។ Malwarebytes Lab ចាត់ថ្នាក់ក្រុម​ APTs ដោយផ្អែកលើចក្រនៃការវាយប្រហារ ៤ ផ្សេងគ្នា ដែលត្រូវបានប្រើក្នុងយុទ្ធនាការកូវីដ១៩៖ Template injection, Malicious macros, RTF exploits, and malicious LNK files ។

អ្នកទាំងអស់គ្នាអាចទាញយករបាយការណ៍លំអិតនៅទីេនះ (Download) 

ច្រកនៃការវាយប្រហារមានដូចខាងក្រោម៖

• Template injection: គឺសំដៅទៅដល់បច្ចេកទេសដែលឧក្រិដ្ឋជនបច្ចេកវិទ្យាធ្វើការបង្កប់នូវ script នៅក្នុងឯកសារណាមួយ ដែលមាននូវតំណរភ្ចាប់ (link)​ ទៅកាន់ Office template ដែលមានផ្ទុកមេរោគ។ នៅពេលដែលបើក ឯកសារជា template ត្រូវបានដំណើរការពីចំងាយ។ ក្រុមឧក្រិដ្ឋជន Kimsuky និង Gamaredon APTs ប្រើប្រាស់បច្ចេកទេសនេះ
• Malicious macros: វាគឺជាបច្ចេកទេសដែលមានការពេញនិយមបំផុត។ នៅក្នុងបច្ចេកទេសនេះ macro ត្រូវបានបង្កប់នៅក្នុងឯកសារ ហើយ macro នោះនឹងដំណើរការនៅពេលឯកសារនោះត្រូវបានបើកមើល។ ក្រុមឧក្រិដ្ឋជន Konni (APT37), APT36, Patchwork, Hades, TA505, TA542, Bitter, APT32 (Ocean Lotus) និង Kimsuky គឺប្រើប្រាស់នូវបច្ចេកទេសមួយនេះ
• RTF exploits: RTF គឺជាទម្រង់នៃ text ដែលមានលក្ខណៈបទបែន ដែលអាចអនុញ្ញាតឱ្យមានការបង្កប់នូវរាល់ object type ប្រភេទណាមួយក៏បាននៅក្នុងឯកសារប្រទេសនេះ ដែលវាបណ្តាលឱ្យឯកសារប្រភេទ ​RTF អាចទទួលភាពងាយរងគ្រោះជាច្រើនផងដែរ។ មានក្រុមឧក្រិដ្ឋជនបច្ចេកវិទ្យាមួយចំនួនដែលប្រើប្រាស់បច្ចេកទេសនេះ គឺមានក្រុម Calypso និង Winnti ជាដើម
• Malicious LNK files: LNK file គឺជាប្រភេទនៃ shortcut file ដែលប្រើប្រាស់ដោយ Microsoft Windows ហើយវាត្រូវបានចាត់ទុកជាប្រភេទ Shell ដែលអាចដំណើរការបាន (execute)។ ក្រុមឧក្រិដ្ឋជន Mustang Panda គឺប្រើប្រាស់បច្ចេកទេសមួយនេះ ដើម្បីធ្វើការទំលាក់មេរោគ PlugX RAT ឬ Cobalt Strike ទៅក្នុងប្រព័ន្ធកុំព្យូទ័ររបស់ជនរងគ្រោះ។ ក្រុម Higaisia ក៏ប្រើប្រាស់នូវបច្ចេកទេសមួយនេះផងដែរ។

Malwarebytes Lab នឹងរំពឹងថា នៅក្នុងប៉ុន្មានសប្តាហ៍ខាងមុខទៀតនេះ ឧក្រិដ្ឋជនបច្ចេកវិទ្យា APTs ទាំងអស់នោះ នឹងបន្តប្រើប្រាស់នូវវិបត្តិកូវីដ១៩ ដើម្បីបង្កើតនូវយុទ្ធនាការបោកបញ្ជោតផ្សេងៗទៀត ដោយប្រើប្រាស់នូវបច្ចេកទេសដែលបានរៀបរាប់នៅក្នុងរបាយការណ៍ខាងលើនេះ៕

ប្រភព៖

https://blog.malwarebytes.com/threat-analysis/2020/04/apts-and-covid-19-how-advanced-persistent-threats-use-the-coronavirus-as-a-lure/