ក្រុមអ្នកស្រាវជ្រាវ មេរោគថ្មីប្រឆាំងនឹងរដ្ឋាភិបាល និងអង្គការឯកជនពីក្រុមចារកម្មអ៊ិនធឺរណិត APT 10 ដោយប្រើមេរោគដែលមិនស្គាល់ពីមុនមកជាមួយនឹងសកម្មភាពថ្មីមួយដែលមានលក្ខណៈពិសេស។ ដោយផ្អែកលើទិន្នន័យបង្ហាញថា អ្នកវាយប្រហារ APT 10បើកដំណើរការវាយប្រហារខុសៗគ្នា និងធ្វើការចែកចាយប្រើយុទ្ធសាស្រ្តស្រដៀងគ្នាសម្រាប់ការវាយប្រហារផ្សេងទៀត។
ក្រុមហេគ APT 10 កំណត់គោលដៅលើសកម្មភាពពាណិជ្ជកម្មរួមទាំងផ្នែកអាកាសចរណ៍ បច្ចេកវិទ្យាផ្កាយរណប និងដែនសមុទ្រស្វ័យប្រវត្តិ រោងចក្រឧស្សាហកម្ម ការផ្គត់ផ្គង់ឧបករណ៍ ឧបករណ៍មន្ទីរពិសោធន៍ ធនាគារ និងផ្នែកហិរញ្ញវត្ថុ។ នាពេលថ្មីៗនេះ ក្រុមហេគឃ័ររបស់ចិនចំនួនពីរនាក់ដែលស្ថិតនៅក្រោយ ក្រុម APT 10 hacking Group រងការចោទប្រកាន់ពីបទធ្វើអោយខូចកម្មសិទ្ធិបញ្ញា និងព័ត៌មានអាជីវកម្មសម្ងាត់របស់ភ្នាក់ងាររដ្ឋាភិបាលណាសា និងក្រុមហ៊ុនបច្ចេកវិទ្យាចំនួន ៤៥ផ្សេងទៀតនៅសហរដ្ឋអាមេរិក។ ភ្នាក់ងារគំរាមកំហែងប្រើឈ្មោះ domain ស្រដៀងនឹងក្រុមហ៊ុនបច្ចេកទេសពិតប្រាកដដើម្បីបញ្ឆោតជនរងគ្រោះ និងចាក់បញ្ចូលមេរោគលើម៉ាស៊ីនគោលដៅ។
ដំណើរការចម្លងមេរោគ APT10
នៅពេលមេរោគបញ្ចូលទៅក្នុងប្រព័ន្ធ, ពួកគេផ្តល់នូវការ payload ខុសគ្នាដោយមានជំនួយពីឯកសារខាងក្រោម៖
jjs.exe – ប្រតិបត្តិដែលស្របច្បាប់
jli.dll – DLL ព្យាបាទ
msvcrt100.dll – ស្របច្បាប់ Microsoft C Runtime DLL
svchost.bin – ឯកសារប្រព័ន្ធគោលពីរ
អ្នកស្រាវជ្រាវក៏រកឃើញ PlugX និង Quasar ផងដែរដែលមានមេរោគពីចម្ងាយពីរខុសគ្នាក្នុងចំណោមប្រភេទទាំងនេះ។ “PlugX គឺជាមេរោគដែលមានរចនាសម្ព័ន្ធជាម៉ូឌុលដែលមានមុខងារប្រតិបត្ដិការខុសៗគ្នាជាច្រើនដូចជាការបង្កើតការទំនាក់ទំនង និងការអ៊ិនគ្រីបលើបណ្តាញអន្តរកម្មឯកសារប្រតិបត្ដិការពីចម្ងាយ និងប្រតិបត្តិការច្រើនទៀត។ ” កំឡុងដំណាក់កាលដំបូងនៃដំណើរការឆ្លងអ្នកផ្ទុកចាប់ផ្តើមរបំពានលើដំណើរការស្របច្បាប់ (jjs.exe) ហើយចាក់ DLL ដែលមានគ្រោះថ្នាក់នៅក្នុងវិធីសាស្ត្រមួយត្រូវគេស្គាល់ថា DLL Side-Loading ។
ប្រតិបត្តិរបស់អ្នកផ្ទុក
បើយោងតាមការស្រាវជ្រាវ Ensilo “DLL មានគំនិតអាក្រក់ថតចម្លងឯកសារទិន្នន័យ, svchost.bin, ទៅកាន់មេម៉ូរ៉ីហើយឌីគ្រីបវា។ មាតិកាដែលឌីគ្រីបគឺកោសិកាដែលចាក់ចូលក្នុង svchost.exe និងមានផ្ទុកការផ្ទុកព្យាបាទពិតប្រាកដ។ ប្រភេទដំបូងដែលផ្តល់នូវ PlugX និង Quasar និងការ Downloadload គឺជា Quasar RAT ដែលគេកែប្រែដើម្បីដកស្រង់ពាក្យសម្ងាត់ពីម៉ាស៊ីនជនរងគ្រោះ ដោយប្រើមុខងារបន្ថែមមួយទៀតហៅថា SharpSploit ដែលវាជាបណ្ណាល័យក្រោយការធ្វើអាជីវកម្ម។ NET post- នៅក្នុង C # ។ PlugX ផ្សេងទៀតប្រមូលព័ត៌មានអំពីម៉ាស៊ីន ដែលមានមេរោគដូចជាឈ្មោះកុំព្យូទ័រ ឈ្មោះអ្នកប្រើ កំណែប្រព័ន្ធប្រតិបត្តិការ ការប្រើប្រាស់អង្គចងចាំ ចំណុចប្រទាក់បណ្តាញ និងធនធាន។
ក្រុមអ្នកស្រាវជ្រាវរកឃើញអ្នកវាយប្រហារ APT10 ដោយប្រើម៉ាស៊ីនមេ C & C ដែលមានទីតាំងនៅកូរ៉េខាងត្បូង និង domain មួយចំនួនដែលគេធ្វើបច្ចុប្បន្នភាពថ្មីៗនេះ។ ដូចគ្នានេះផងដែរវិញ្ញាបនប័ត្រត្រូវគេបង្កប់នៅក្នុងគំរូ Quasar។