ការអាប់ដេតកម្មវិធី Antivirus ក្លែងក្លាយត្រូវប្រើប្រាស់ក្នុងការចែកចាយមេរោគ Cobalt Strike នៅក្នុងប្រទេសអ៊ុយក្រែន

ក្រុមឆ្លើយតបគ្រោះអាសន្នកុំព្យូទ័ររបស់អ៊ុយក្រែនកំពុងព្រមានថា ក្រុមហេគឃ័រកំពុងតែចែកចាយនូវការអាប់ដេត Windows antivirus ក្លែងក្លាយដើម្បីតម្លើងនូវមេរោគ Cobalt Strike និងមេរោគ malware ផ្សេងទៀត។ នៅក្នុងអ៊ីម៉ែលក្លែងបន្លំ (phishing emails) បន្លំធ្វើជាទីភ្នាក់ងាររដ្ឋាភិបាលរបស់ប្រទេសអ៊ុយក្រែនដែលចង់បង្កើនទៅលើសុវត្ថិភាពទៅលើបណ្តាញតាមរយៈការជូនដំណឹងអោយអតិថិជនធ្វើការដោនឡូតនូវ “BitdefenderWindowsUpdatePackage.exe” ដែលមានទំហំ 60MB។

 image

សម្រាប់  emails នេះគឺមានផ្ទុកនូវ link មួយទៅកាន់វេបសាយរបស់ប្រទេសបារាំងដែលមានភ្ជាប់ជាមួយនឹងប៊ូតុង download សម្រាប់អាប់ដេតទៅលើកម្មវិធី Antivirus ។ សម្រាប់វេបសាយមួយទៀតគឺ  nirsoft[.]me ត្រូវរកឃើញដោយ  MalwareHunterTeam ដែលក្លែងបន្លំជា C&C Server នៅក្នុងយុទ្ធនាការនេះ។

 នៅពេលដែលជនរងគ្រោះចុចដោនឡូត និងចុចនៅលើការអាប់ដេត BitDefender Windows ក្លែងក្លាយនេះ អេក្រង់នឹងបង្ហាញនូវសារមួយអោយអ្នកប្រើប្រាស់ចុចតម្លើងនូវ &#039Windows Update Package&#039 ។ នៅក្នុងការអាប់ដេតនេះគឺតម្រូវអោយអ្នកប្រើប្រាស់ធ្វើការដោនឡូត និងតម្លើងនូវ one.exe file [VirusTotal] ចេញពី  Discord CDN ដែលជាប្រភពនៃមេរោគ Cobalt Strike ។ វាក៏មានការចែកចាយនូវ  Go downloader (dropper.exe) សម្រាប់តម្លើងនូវមេរោគ  GraphSteel backdoor (microsoft-cortana.exe)និង GrimPlant backdoor (oracle-java.exe) ៕

Leave a Reply

Your email address will not be published. Required fields are marked *