ព័ត៌មាន

ហេគឃ័រ Lazarus APT វាយប្រហារលើអង្គភាពរបស់ជប៉ុនដោយបញ្ជាពីចម្ងាយលើ “SMBMAP” ក្រោយពីធ្វើការឈ្លានពានលើបណ្តាញ

អ្នកស្រាវជ្រាវពី JPCERT/CC សង្កេតឃើញថា មេរោគដ៏មានគ្រោះថ្នាក់បំផុតនៅក្នុងពិភពលោក APT វាយប្រហារលើអង្គភាពជប៉ុនដោយប្រើប្រាស់មេរោគផ្សេងៗក្រោយពីហេគ  ឃ័រទាំងនោះបានបំពានលើប្រព័ន្ធរួច។ ក្រុម Lazarus ក៏ត្រូវបានគេស្គាល់ផងដែរថា Hidden Cobra ដែលជាក្រុមហេគឃ័ររបស់កូរ៉េខាងជើង ហើយពួកគេធ្លាប់បានចូលរួមនៅក្នុងការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺរណិតរបស់រដ្ឋាភិបាល និងវិស័យឯកជនជាច្រើននៅជុំវិញពិភពលោកចាប់តាំងពីឆ្នាំ២០០៩ ។

 image

គេជឿថា ក្រុមហេគឃ័រ Lazarus ធ្វើការនៅក្រោមការិយាល័យស៊ើបអង្កេតរបស់រដ្ឋកូរ៉េខាងជើងដែលឧបត្ថម្ភដោយរដ្ឋកូរ៉េខាងជើង និងបានប្រើប្រាស់វិធីសាស្រ្តវាយប្រហារផ្សេងៗជាច្រើនដូចជា Zerodays, spearphishing, malware, disinformation, backdoors, និង droppers ។

  លក្ខណៈរបស់មេរោគ APT

អ្នកវាយប្រហារអ៊ីនគ្រីបប្រព័ន្ធ Strings ទាំងអស់របស់មេរោគជាមួយនឹង AES128 និងកូដអ៊ីនគ្រីបផ្សេងទៀត។  ក្រោយពីមានការឆ្លងមេរោគបានជោគជ័យ វានឹងផ្ញើរសំណើរ HTTP ទៅម៉ាស៊ីនមេ C2។ ក្រោយមកទៀតមេរោគផ្តោតលើការទាញយកម៉ូឌុលពីម៉ាស៊ីន C2 តាមរយៈគោលបំណងផ្សេងៗ។ នៅពេលដែលវាទាញយកបានជោគជ័យ វានឹងស្នើរសុំការបញ្ជាពីម៉ាស៊ីន C2 ជាកន្លែងដែលអ្នកវាយប្រហារផ្ញើរពាក្យបញ្ចា។

image

ការទាញយកម៉ូឌុលនោះរួច មេរោគនឹងដំណើរការដូចខាងក្រោម៖

-ធ្វើប្រតិបត្តិការហ្វាល(បង្កើត លុប ចម្លង សម្រួល)

-ធ្វើប្រតិបត្តិការលើដំណើរការ (បង្កើតបញ្ចី បង្កប់ និងលុប)

-ទាញយកហ្វាលចូល ឬចេញពីឧបករណ៍

-បង្កើត និងទាញយក ZIP​ ហ្វាល

-ប្រតិបត្តិពាក្យបញ្ជាតាមចិត្ត

-ផ្ទុកព័ត៌មានពីឌីស

-សម្រួលលើម៉ោងរបស់ប្រព័ន្ធ

នៅទីបំផុតអ្នកវាយប្រហារចែកចាយការឆ្លង និងប្រើប្រាស់ព័ត៌មានគណនីដោយមានជំនួយពីឧបករណ៍ Python“ SMBMAP” ដែលពួកគេអាចចូលទៅកាន់ម៉ាស៊ីនពីចម្ងាយតាមរយៈ SMB  ក្រោយពីបំលែងវាជាឯកសារ Windows PE ជាមួយនឹង Pyinstaller ៕