ISAC Cambodia (InfoSec)
GeneralSecurity News

របាយការណ៍: ប្រតិបត្តិការចារកម្ម LOTUS BLOSSOM

ប្រតិបត្តិការចារកម្ម Lotus Blossom ត្រូវបានគេចាត់ទុកថាគឺជាប្រតិបត្តិការចារកម្មតាមប្រព័ន្ធអិុនធឺណិតមួយប្រឆាំងទៅនឹងរដ្ឋាភិបាល និងយោធានៅក្នុងតំបន់ អាសីុអាគ្នេយ៍ (southeast asia) ដែលមានរយៈពេលប្រមាណច្រើនជាងបីឆ្នាំរួចមកហើយ។ រដ្ឋដែលត្រូវបានកំណត់អត្តសញ្ញាណជាគោលដៅនៃការវាយប្រហារនៅក្នុងយុទ្ធនាការនេះមាន Hong Kong, Taiwan, Vietnam, the Philippines និង Indonesia។ ក្រុមនៃប្រតិបត្តិការនេះ បានប្រើប្រាស់នូវមេរោគ Trojan មួយដែលមានឈ្មោះថា Elise ។

ក្រុមខាងលើនេះ បានប្រើប្រាស់វិធីសាស្ត្រ spear phishing ក្នុងការវាយប្រហារទៅកាន់អ្នកប្រើប្រាស់ ដោយច្រើនតែប្រើប្រាស់នូវឯកសារ office document ដែលមានផ្ទុកមេរោគ និងឯកសារផ្សេងៗទៀតដែលគិតថាជាផលប្រយោជន៍នៃក្រុមគោលដៅ។ បច្ចេកទេសនេះជាទូទៅគឺធ្វើការបញ្ជូនអ៊ីម៉ែល ដែលមានភ្ជាប់ attachment ផ្ទូកទៅដោយមេរោគវាយប្រហារទៅលើចំនុចខ្សោយរបស់ Microsoft Office (CVE-2012-0158) ។ ឯកសារដែលភ្ជាប់មកជាមួយនោះមានដូចជា៖

– ឯកសារតារាងបញ្ជីមន្ត្រីជាន់ខ្ពស់កងទ័ពជើងទឹកហ្វីលីពីន ដែលមានថ្ងៃខែឆ្នាំកំណើត និងលេខទូរស័ព្ទ
– ឯកសារប្រតិបត្តិការមនុស្សធម៌នៅក្នុងកងទ័ពជើងគោកហ្វីលីពីន ដែលមានបោះត្រា “Secret”
– លិខិតអញ្ជើញចូលរួមទស្សនាខ្សែភាពយន្តនៅ Norwegian embassy

ទោះបីជាមិនការកំណត់បុគ្គលណាជាក់លាក់ណាមួយដែលទទួលខុសត្រូវសម្រាប់ការវាយប្រហារនេះក៏ដោយ ភស្តុតាងនានាបានបញ្ជាក់ថា គឺរដ្ឋាភិបាលមួយ (nation state) ដែលមានចំណាប់អារម្មណ៍ខ្លាំងក្នុងតំបន់អាសីុអាគ្នេយ៍។ មេរោគ Elise គឺជាប្រភេទមេរោគដែលត្រូវបានបង្កើតឡើងជាក់លាក់មួយ (custom) ដែលមិនអាចត្រូវបានទិញលក់នៅក្នុងអនឡាញឡើយ ។ មេរោគនេះ គឺត្រូវបានប្រើប្រាស់ដោយក្រុម Lotus Blossom ហើយគឺត្រូវបានបង្កើតឡើងប្រើប្រាស់សម្រាប់តែប្រតិបត្តិការមួយនេះប៉ុណ្ណោះ។

ព័ត៌មានលំអិតស្តីពីប្រតិបត្តិការនេះ

ប្រតិបត្តិការ Lotus Blossom គឺមានគោលដៅវាយប្រហារទៅលើប្រទេសក្នុងតំបន់អាស៊ីអាគ្នេយ៍ ដោយរួមមានស្ថាប័នរដ្ឋាភិបាល និងយោធា ចាប់ផ្តើមក្នុងឆ្នាំ ២០១២ ហើយបន្តមកដល់ឆ្នាំ២០១៥ ។ សកម្មភាពនានាដែលបានរៀបរាប់នៅក្នុងរបាយការណ៍នេះគឺពាក់ព័ន្ធខ្លាំងទៅលើវៀតណាម និងហ្វីលីពីនក្នុងឆ្នាំ ២០១៣ និង ២០១៤ ។

រាល់ការវាយប្រហារទាំងអស់គឺប្រើប្រាស់នូវមេរោគឈ្មោះ Elise ដែលជាត្រូវបានបញ្ចូលទៅក្នុងណេតវើក។ បន្ទាប់មកពួកគេ អាចធ្វើការបញ្ចូលនូវកម្មវិធីផ្សេងៗទៀត ដែលអាចទាញយកទិន្នន័យចេញពីណេតវើក។ ប្រតិបត្តិការនេះគឺពឹងផ្នែកទាំងស្រុងទៅលើបច្ចេកទេស spear phishing ដែលបោកបញ្ជោតអ្នកប្រើប្រាស់ឲ្យបើកនូវឯកសារដែលមានផ្ទុកមេរោគក្នុងនោះ។

ក្នុងពេលដែលក្រុមវាយប្រហារ Lotus Blossom ហាក់ដូចជាធ្វើការចេញពីក្រុមតែមួយ ប៉ុន្តែហេដ្ឋារចនាសម្ព័ន្ធ (infrastructure) ដែលបានប្រើប្រាស់ដើម្បីវាយប្រហារទៅលើរដ្ឋនិមួយៗ គឺត្រូវបានចែកដាច់ពីគ្នា ។ រាល់ ​Trojan និមួយៗត្រូវបានភ្ជាប់ទៅកាន់ command and control (c2) IP addresses និង domains ដែលត្រូវបានកំណត់នៅក្នុង Trojan’s configuration file ។

Screenshot 2016-03-14 21.29.22

សម្រាប់ព័ត៌មានលំអិតបន្ថែមទៀត សូមចូលទៅកាន់របាយការណ៍លំអិត

ប្រភព: https://www.paloaltonetworks.com / ប្រែសម្រួលដោយក្រុមការងារវេបសាយ SecuDemy.com

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button