ព័ត៌មាន

Group-IB: ក្រុមហេគឃ័រវាយលុកទីផ្សារអាស៊ីអាគ្នេយ៍ និងសឹង្ហបុរីក្នុងឆ្នាំ 2018

Group-IB ដែលជាក្រុមហ៊ុនអន្តរជាតិមួយដែលមានឯកទេសក្នុងការទប់ស្កាត់ការ វាយប្រហារតាមអ៊ីនធ័រណែតនៅលើគេហទំព័រ Money2020 Asia បង្ហាញពីការវិភាគនៃទេសភាព ឧក្រិដ្ឋកម្មបច្ចេកវិទ្យានៅអាស៊ីក្នុងឆ្នាំ 2018 និងសន្និដ្ឋានថា cybercriminals កើនឡើងនៅអាស៊ីជា ទូទៅ និងសិង្ហបុរីជាពិសេស។

image

ក្រុម IB រកឃើញឧបករណ៍ថ្មីដែលប្រើដោយក្រុម Lazarus gang និងវិភាគលើការវាយប្រហារថ្មីៗរបស់កូរ៉េខាងជើងទៅលើអាស៊ី។ ក្រុមអ្នកជំនាញនៅក្រុម IB រកឃើញ កាតចំនួន 19 928 សន្លឹករបស់ធនាគារសឹង្ហបូរីដែលបង្ហាញខ្លួនសម្រាប់លក់នៅក្នុងគេហទំព័រងងឹត នៅឆ្នាំ 2018 និងរកឃើញលិខិតសម្គាល់របស់គេហទំព័ររដ្ឋាភិបាលរាប់រយដែលត្រូវលួចដោយ ពួកហេគឃរ័កាលពី 2 ឆ្នាំមុន។ ចំនួននៃកាតដែលលេចធ្លាយកើនឡើងក្នុងឆ្នាំ 2018 ស្មើនឹង 56%។ តម្លៃទីផ្សាររបស់ប័ណ្ណធនាគារសិង្ហបុរីដែលលួចក្នុងឆ្នាំ 2018 ប៉ាន់ប្រមាណថាមានចំនួនជិត 640 000 ដុល្លារ។

Lazarus ទៅបញ្ឆោតនៅអាស៊ី។ ពពួក malware ថ្មីនៅក្នុងឃ្លាំងរបស់ក្រុម arsenal   យោងតាមរបាយការណ៍បទល្មើសឧក្រិដ្ឋកម្មរបស់សម្ព័ន្ធក្រុម Group-IB Hi-Tech ឆ្នាំ 2018 អាស៊ី អាគ្នេយ៍ និងសិង្ហបុរីជាពិសេសគឺជាតំបន់មួយក្នុងចំណោមតំបន់វាយប្រហារដែលសកម្មបំផុតនៅក្នុង ពិភពលោក។ ក្នុងរយៈពេលមួយឆ្នាំក្រុមគាំទ្រដោយរដ្ឋចំនួន 21 ដែលច្រើនជាងសហរដ្ឋអាមេរិក និង អឺរ៉ុបគេរកឃើញនៅក្នុងតំបន់នេះដែលក្នុងនោះជនល្មើស Lazarus ដែលជាអ្នកគំរាមកំហែងដោយរដ្ឋ កូរ៉េខាងជើង។ Group-IB បង្កើតឡើងថា Lazarus ទទួលខុសត្រូវចំពោះការវាយប្រហារគោលដៅ មួយចំនួនចុងក្រោយបំផុតលើអង្គការហិរញ្ញវត្ថុនៅអាស៊ី។ ក្រុមស៊ើបអង្កេតការគំរាមកំហែងក្រុម IB រកឃើញនិងវិភាគការវាយប្រហារថ្មីបំផុតរបស់ក្រុមបងធំដែលរកឃើញដោយអ្នកជំនាញក្រុមហ៊ុននៅធនាគារមួយក្នុងទ្វីបអាស៊ី។ នៅខែមករាឆ្នាំ 2019 អ្នកជំនាញក្រុម IB ទទួលព័ត៌មានអំពីគំរូមេរោគ ដែលមិនស្គាល់ពីមុនដែលប្រើក្នុងការវាយប្រហារនេះដែលគេដាក់ឈ្មោះថាឧបករណ៍គ្រប់គ្រង RATv3.ps (RAT- remote administration tool)។ យោងតាមរបាយការណ៍របស់ក្រុម – IB នៅលើ Lazarus ក្រុមនេះគេប្រើប្រាស់យ៉ាងសកម្មតាំងពីឆ្នាំ 2016 មកម្ល៉េះ។ នៅក្នុងដំណាក់កាលដំបូងនេះ Trojan គេទាញយកទៅកុំព្យូទ័ររបស់ជនរងគ្រោះជាផ្នែកមួយនៃដំណាក់កាលទី 2 នៃការវាយប្រហារ ដែលគេហៅថា cybercriminals supposedly ឆ្លងមេរោគគេហទំពរ័មួយដែលទៅទស្សនាដោយ ជនរងគ្រោះជាមួយនឹង Trojan Ratankba ដែលជាឧបករណ៍តែមួយគត់ដែលត្រូវប្រើដោយ Lazarus។ ក្រុមអ្នកជំនាញក្រុម IB កត់សម្គាល់ថា RATv3.ps ថ្មីអាចត្រូវប្រើប្រាស់ដោយពួក Hacker កូរ៉េខាងជើងនៅក្នុងការវាយប្រហារថ្មីៗនេះនៅចុងឆ្នាំ 2018 ។ យ៉ាងហោចណាស់មាន RATs មួយត្រូវផ្តល់តាមរយៈធនធានវៀតណាមស្របច្បាប់ដែលអាចពាក់ព័ន្ធនឹងការវាយប្រហារផ្សេងទៀត។

Malware ថ្មីដែលរកឃើញថ្មីរបស់ Lazarus គឺមានមុខងារច្រើនណាស់: វាមានលទ្ធភាពទាញយក ទិន្នន័យពីកុំព្យូទ័ររបស់ជនរងគ្រោះទាញយក និងប្រតិបត្តិកម្មវិធី និងពាក្យសម្ងាត់តាមរយៈ shell ដើរ តួជា keylogger ដើម្បីទាញយកពាក្យសម្ងាត់របស់ជនរងគ្រោះ ការផ្លាស់ប្តូរ ការបង្កើត និងការលុប ឯកសារបញ្ចូលកូដចូលទៅក្នុងកុំព្យូទ័រផ្សេងទៀត។ ដំណើរការ និងការពិនិត្យ screencasting នេះជា យោបល់របស់ Dmitry Volkov ក្រុម – IB CTO និងជាប្រធានគ្រប់គ្រងការគំរាមកំហែងវៃឆ្លាត។ ដូច្នេះ ក្នុងករណីដែល Lazarus អាចសន្សំប្រាំបួន។ វាពិបាកណាស់ក្នុងការទប់ស្កាត់ការវាយប្រហារ របស់ពួកគេនៅពេលដែលវាកើតឡើង។ អ្នកត្រូវរៀបចំឱ្យល្អនិងដឹងពីកលល្បិច និងឧបករណ៍ របស់ពួកគេ។ ជាពិសេសវាមានសារៈសំខាន់ខ្លាំងណាស់ដើម្បីឱ្យមានសូចនាករនៃការសម្រុះសម្រួល ដែលមិនអាចរកជាសាធារណៈដែលអាចត្រូវប្រមូលផ្តុំដោយវិធីដោះស្រាយបញ្ហាការគំរាមកំហែងដោយម៉ាស៊ីនស្វ័យប្រវត្តិ។ ដោយសារការកើនឡើងសកម្មភាពរបស់ក្រុមនៅក្នុងតំបន់នៅឆ្នាំ 2018 យើងជឿថា Lazarus នឹងបន្តធ្វើការវាយប្រហារប្រឆាំងនឹងធនាគារដែលនឹងនាំឱ្យមានការទូទាត់តាម SWIFT ខុសច្បាប់ ហើយនឹងទំនងជាសាកល្បងនូវការវាយប្រហារលើការដំណើរការកាតដោយផ្តោត សំខាន់លើអាស៊ី និងប៉ាស៊ីហ្វិក។ ” ក្រុមអ្នកស្រាវជ្រាវអ៊ីនធរ័ណែតជាច្រើនកត់សម្គាល់ថានៅឆ្នាំ 2018  Lazarus ធ្វើយុទ្ធនាការសកលដែលគេស្គាល់ថា “Rising sun”។ យុទ្ធនាការព្យាបាទប៉ះពាល់ដល់ជិត 100 អង្គការនៅជុំវិញពិភពលោករួមទាំងសិង្ហបុរី។ ការខិតខំប្រឹងប្រែងថ្មីរបស់ក្រុមបងធំយកឈ្មោះ របស់វាចេញពីកុំព្យូទ័រដែលទាញយកទៅកុំព្យូទ័ររបស់ជនរងគ្រោះ។ វាត្រូវគេរកឃើញថា Rising Sun បង្កើតឡើងនៅលើមូលដ្ឋាននៃគ្រួសារ Trojan Duuzer ដែលក៏ជា cybercriminals ពីក្រុម Lazarus។ អ្នកផ្សព្វផ្សាយពពួក malware ដែលជាផ្នែកមួយនៃយុទ្ធនាការនេះគឺសំដៅលើប្រមូលព័ត៌មានពីកុំព្យូទ័រ របស់ជនរងគ្រោះយោងតាមពាក្យបញ្ជាជាច្រើន។ យោងតាមរបាយការណ៍និន្នាការឧក្រិដ្ឋកម្មរបស់ សម្ព័ន្ធក្រុម Group-IB Hi-Tech ឆ្នាំ 2018 Lazarus មិនដូចអ្នកដើរតួគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋ ដទៃទេ មិនឃ្លាតឆ្ងាយពីការវាយលុកទេ។ ប្រទេសសឹង្ហបុរីដែលជាប្រទេសមួយក្នុងចំណោមបណ្តា ប្រទេសដែលទទួលខុសត្រូវច្រើនបំផុតក្នុងពិភព crypto មិនទាក់ទាញ មិនត្រឹមតែសហគ្រិន អ៊ីនធ័រណែតរាប់ពាន់នាក់ប៉ុណ្ណោះទេ ហើយថែមទាំងគំរាមកំហែងដល់អ្នកដើរតួនានាផងដែរ។ យើង រំពឹងថា APTsផ្សេងទៀតដូចជាSilence, MoneyTaker, និង Cobalt នឹងធ្វើការគ្រប់គ្រងការវាយប្រហារ ជាច្រើនលើការផ្លាស់ប្តូររូបិយប័ណ្ណក្នុងពេលឆាប់ៗខាងមុខ” បើយោងតាមDmitryVolkov។

តើអ្នកធ្លាប់ pwned? 

ក្រុមស៊ើបអង្កេតការគំរាមកំហែងក្រុម IB កំណត់អត្តសញ្ញាណសិទ្ធិទទួលរាប់រយដងពីភ្នាក់ងារ រដ្ឋាភិបាលសឹង្ហបូរី និងស្ថាប័នអប់រំក្នុងកំឡុងឆ្នាំ 2017 និង 2018។ ការចូល និងពាក្យសម្ងាត់របស់ អ្នកប្រើពីទីភ្នាក់ងារបច្ចេកវិទ្យារដ្ឋាភិបាល (https://www.tech [.] gov.sg), ក្រសួងអប់រំ (https://www.moe.sgov.sg/), ក្រសួងសុខាភិបាល (https: //www.moh [.] gov.sg/), គេហទំពរ័កម្លាំង ប៉ូលីសសិង្ហបុរី (https: //polwel[.]org.sg/about/), ប្រព័ន្ធគ្រប់គ្រងការសិក្សានៅសកលវិទ្យាល័យ សិង្ហបុរី (ivle.nus [.] edu.sg) និងធនធានជាច្រើនផ្សេងទៀតត្រូវគេលួចយកដោយ cybercriminals។ ក្រុម CERT-GIB (ក្រុមឆ្លើយតបផ្នែកសង្រ្គោះបន្ទាន់នៃកុំព្យូទ័រ) ទៅដល់សិង្ហបុរី CERT ដើម្បីយក ព័ត៌មាននេះ។ “គណនីអ្នកប្រើប្រាស់ពីធនធានរដ្ឋាភិបាលត្រូវលក់នៅលើវេទិកាឬប្រើក្នុងការវាយប្រហារគោលដៅលើភ្នាក់ងាររដ្ឋាភិបាលក្នុងគោលបំណងដើម្បីចារកម្ម ឬការបំផ្លិចបំផ្លាញ។សូម្បីតែគណនីសម្រប សម្រួលមួយ លុះត្រាតែរកឃើញនៅពេលវេលាត្រឹមត្រូវ អាចនាំឱ្យមានការរំខាននៃប្រតិបត្តិការផ្ទៃក្នុង ឬការលេចធ្លាយនៃអាថ៌កំបាំងរបស់រដ្ឋាភិបាល, ” Dmitry Volkov។ Cybercriminals លួចទិន្នន័យអ្នក ប្រើប្រាស់ដោយប្រើ spyware ពិសេសក្នុងគោលបំណងទទួលទិន្នន័យផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ របស់អ្នកប្រើ។ យោងតាមទិន្នន័យក្រុមធនាគារ IB PONY FORMGRABBER, QBot និង AZORult ក្លាយជាអ្នកលួចចម្លង Trojan ដែលមានប្រជាប្រិយភាពបំផុតក្នុងចំណោម cybercriminals ។

Pony Formgrabber យកព័ត៌មានសម្ងាត់ចូលពីឯកសារកំណត់រចនាសម្ព័ន្ធមូលដ្ឋានទិន្នន័យឃ្លាំង សម្ងាត់នៃកម្មវិធីជាង 70 នៅលើកុំព្យូទ័រជនរងគ្រោះហើយបន្ទាប់មកផ្ញើព័ត៌មានលួចទៅម៉ាស៊ីនមេ C & C របស់ឧក្រិដ្ឋជន។ Trojan-stealer មួយផ្សេងទៀត – AZORult ក្រៅពីលួចពាក្យសម្ងាត់ពីកម្មវិធីរុករក ដែលមានប្រជាប្រិយភាព វាមានលទ្ធភាពលួចទិន្នន័យកាបូបលុយ។ មេរោគ Wbb ប្រមូលព័ត៌មាន ចូលតាមរយៈការប្រើ keylogger លួចយកឯកសារ cookie និងវិញ្ញាបនបត្រអ៊ីនធរ័ណេតសកម្ម និង បញ្ជូនអ្នកប្រើទៅកាន់គេហទំព័រក្លែងក្លាយ។ ផែ្នកទាំងអស់នេះមានលទ្ធភាពធ្វើអោយខូចដល់លិខិត សម្គាល់នៃកាបូបអេឡិចត្រូនិក និងការផ្លាស់ប្តូរអ្នកប្រើអ៊ិនគ្រីប។ ព័ត៌មានបន្ថែមអំពី Trojans ដែល ប្រើនិងគោលដៅរបស់វាអាចចូលប្រើប្រាស់តាមរយៈការគំរាមកំហែងពីក្រុម – IB ។  ការលេចធ្លាយ ព័ត៌មានជាសាធារណៈគឺជាប្រភពដ៏ធំមួយទៀតនៃលិខិតសម្គាល់អ្នកប្រើដែលសម្របសម្រួលពី គេហទំព័ររបស់រដ្ឋាភិបាល។ ក្រុមក្រុម IB វិភាគការរំលោភបំពានទិន្នន័យសាធារណៈដ៏ធំថ្មីៗនេះ និង រកឃើញ 3689 កំណត់ត្រា (អ៊ីម៉ែល និងពាក្យសម្ងាត់) ដែលទាក់ទងទៅនឹងគណនីគេហទំព័រ រដ្ឋាភិបាលសិង្ហបុរី។

សេដ្ឋកិច្ចទីផ្សារងងឹត។ ចំនួននៃកាតដែលសម្របសម្រួលរបស់ធនាគារសឹង្ហបូរីមានការកើនឡើង  នៅឆ្នាំ 2018 ក្រុម IB រកឃើញចំនួនសរុបនៃ 19,928 កាតទូទាត់សម្របសម្រួលដែលទាក់ទងទៅនឹង ធនាគារសិង្ហបុរីនៅលើកាតងងឹត។ ប្រទេសសឹង្ហបូរីដែលជាមជ្ឈមណ្ឌលហិរញ្ញវត្ថុដ៏សំខាន់មួយនៅ អាស៊ីអាគ្នេយ៍កំពុងទាក់ទាញការចាប់អារម្មណ៍ពីអ្នកគាំទ្រដែលមានការជម្រុញហិរញ្ញវត្ថុយ៉ាងច្រើន ជារៀងរាល់ឆ្នាំ។ យោងតាមទិន្នន័យរបស់ក្រុម IB ប្រៀបធៀបទៅឆ្នាំ 2017 ចំនួននៃសន្លឹកកាត ដែលលេចធ្លាយកើនឡើងក្នុងឆ្នាំ 2018 ស្មើនឹង 56%។ តម្លៃទីផ្សារក្រោមដីរបស់ប័ណ្ណធនាគាររបស់សិង្ហបុរីដែលត្រូវសម្របសម្រួលនៅឆ្នាំ 2018 ប៉ាន់ ប្រមាណថាមានចំនួនជិត 640.000 ដុល្លារ។ ក្រុមស៊ើបអង្កេតការគំរាមកំហែងក្រុម IB សង្កេតឃើញថា មានភាពមិនប្រក្រតីពីរនៅក្នុងតំបន់សឹង្ហបុរីដោយច្បាប់ចម្លងឌីជីថលដែលគ្មានការអនុញ្ញាតត្រូវ លក់នៅលើបណ្តាញងងឹតនៅឆ្នាំ 2018 ។ ស្ទើរតែ 500 កន្លែងដែលទាក់ទងទៅនឹងធនាគារកំពូល របស់ប្រទេសសិង្ហបុរីលេចឡើងនៅលើផ្នែកមួយនៃមជ្ឈមណ្ឌលងងឹតដ៏ពេញនិយមបំផុតនៃការ លួចទិន្នន័យកាត Joker&#039s Stash ។ នៅលើ overage តម្លៃក្នុងមួយ dump នៅក្នុងការលេចធ្លាយនេះ គឺខ្ពស់ និងរក្សានៅ 45 $ ។ តម្លៃខ្ពស់គឺដោយសារតែភាគច្រើននៃកាតដែលត្រូវបង់បុព្វលាភ (ឧទាហរណ៍ផ្លាទីន និងហត្ថលេខា។ ល។ )។

ការរំលោភដ៏ធ្ងន់ធ្ងរមួយទៀតកើតឡើងនៅថ្ងៃទី 23 ខែវិច្ឆិកានៅពេលដែលពត៌មានលំអិតរបស់ ធនាគារចំនួន 1147 នៅប្រទេសសឹង្ហបុរីត្រូវបង្កើតឡើងសម្រាប់ដាក់លក់នៅលើសន្លឹកកាត។ អ្នកលក់ ចង់ 50 ដុល្លាក្នុងមួយ item – 50% នៃកាតដែលត្រូវគេលួចត្រូវសម្គាល់ជាបុព្វលាភ។  ការគំរាមកំហែងក្រុម IB ការស៊ើបអង្កេតបន្តរកឃើញ និងវិភាគទិន្នន័យដែលផ្ទុកឡើងទៅប័ណ្ណពាស ពេញពិភពលោក។ យោងតាមរបាយការណ៍ប្រចាំឆ្នាំ 2018 ស្តីពីនិន្នាការឧក្រិដ្ឋកម្មប្រចាំឆ្នាំ -2014 របស់ក្រុមហ៊ុន Group-IB ជាទូទៅពីខែមិថុនាឆ្នាំ 2017 ដល់ខែសីហាឆ្នាំ 2018 ព័ត៌មានលំអិតនៃប័ណ្ណ ទូទាត់ចំនួន 1,8 លានកើនឡើងជារៀងរាល់ខែ។