ព័ត៌មាន

ក្រុមហេគឃ័ររបស់ចិន APT 10 វាយប្រហារទៅលើស្ថាប័នឯកជន និងរដ្ឋាភិបាលតាមរយៈមេរោគ Malware ដែលមិនធ្លាប់ស្គាល់ពីមុនមក

Wednesday, ទី29 May, ឆ្នាំ2019 14:05 pm 0

ក្រុមអ្នកស្រាវជ្រាវ មេរោគថ្មីប្រឆាំងនឹងរដ្ឋាភិបាល និងអង្គការឯកជនពីក្រុមចារកម្មអ៊ិនធឺរណិត APT 10 ដោយប្រើមេរោគដែលមិនស្គាល់ពីមុនមកជាមួយនឹងសកម្មភាពថ្មីមួយដែលមានលក្ខណៈពិសេស។ ដោយផ្អែកលើទិន្នន័យបង្ហាញថា អ្នកវាយប្រហារ APT 10បើកដំណើរការវាយប្រហារខុសៗគ្នា និងធ្វើការចែកចាយប្រើយុទ្ធសាស្រ្តស្រដៀងគ្នាសម្រាប់ការវាយប្រហារផ្សេងទៀត។ 

ក្រុមហេគ APT 10 កំណត់គោលដៅលើសកម្មភាពពាណិជ្ជកម្មរួមទាំងផ្នែកអាកាសចរណ៍  បច្ចេកវិទ្យាផ្កាយរណប  និងដែនសមុទ្រស្វ័យប្រវត្តិ  រោងចក្រឧស្សាហកម្ម ការផ្គត់ផ្គង់ឧបករណ៍  ឧបករណ៍មន្ទីរពិសោធន៍ ធនាគារ​​ និងផ្នែកហិរញ្ញវត្ថុ។ នាពេលថ្មីៗនេះ ក្រុមហេគឃ័ររបស់ចិនចំនួនពីរនាក់ដែលស្ថិតនៅក្រោយ ក្រុម​ APT 10 hacking Group រងការចោទប្រកាន់ពីបទធ្វើអោយខូចកម្មសិទ្ធិបញ្ញា និងព័ត៌មានអាជីវកម្មសម្ងាត់របស់ភ្នាក់ងាររដ្ឋាភិបាលណាសា និងក្រុមហ៊ុនបច្ចេកវិទ្យាចំនួន ៤៥ផ្សេងទៀតនៅសហរដ្ឋអាមេរិក។ ភ្នាក់ងារគំរាមកំហែងប្រើឈ្មោះ domain ស្រដៀងនឹងក្រុមហ៊ុនបច្ចេកទេសពិតប្រាកដដើម្បីបញ្ឆោតជនរងគ្រោះ និងចាក់បញ្ចូលមេរោគលើម៉ាស៊ីនគោលដៅ។

ដំណើរការចម្លងមេរោគ APT10

នៅពេលមេរោគបញ្ចូលទៅក្នុងប្រព័ន្ធ, ពួកគេផ្តល់នូវការ payload ខុសគ្នាដោយមានជំនួយពីឯកសារខាងក្រោម៖

  • jjs.exe – ប្រតិបត្តិដែលស្របច្បាប់

  • jli.dll – DLL ព្យាបាទ

  • msvcrt100.dll – ស្របច្បាប់ Microsoft C Runtime DLL

  • svchost.bin – ឯកសារប្រព័ន្ធគោលពីរ

អ្នកស្រាវជ្រាវក៏រកឃើញ PlugX និង Quasar ផងដែរដែលមានមេរោគពីចម្ងាយពីរខុសគ្នាក្នុងចំណោមប្រភេទទាំងនេះ។ “PlugX គឺជាមេរោគដែលមានរចនាសម្ព័ន្ធជាម៉ូឌុលដែលមានមុខងារប្រតិបត្ដិការខុសៗគ្នាជាច្រើនដូចជាការបង្កើតការទំនាក់ទំនង និងការអ៊ិនគ្រីបលើបណ្តាញអន្តរកម្មឯកសារប្រតិបត្ដិការពីចម្ងាយ និងប្រតិបត្តិការច្រើនទៀត។ ” កំឡុងដំណាក់កាលដំបូងនៃដំណើរការឆ្លងអ្នកផ្ទុកចាប់ផ្តើមរបំពានលើដំណើរការស្របច្បាប់ (jjs.exe) ហើយចាក់ DLL ដែលមានគ្រោះថ្នាក់នៅក្នុងវិធីសាស្ត្រមួយត្រូវគេស្គាល់ថា DLL Side-Loading ។

ប្រតិបត្តិរបស់អ្នកផ្ទុក

បើយោងតាមការស្រាវជ្រាវ Ensilo  “DLL មានគំនិតអាក្រក់ថតចម្លងឯកសារទិន្នន័យ, svchost.bin, ទៅកាន់មេម៉ូរ៉ីហើយឌីគ្រីបវា។ មាតិកាដែលឌីគ្រីបគឺកោសិកាដែលចាក់ចូលក្នុង svchost.exe និងមានផ្ទុកការផ្ទុកព្យាបាទពិតប្រាកដ។ ប្រភេទដំបូងដែលផ្តល់នូវ PlugX និង Quasar និងការ Downloadload គឺជា Quasar RAT ដែលគេកែប្រែដើម្បីដកស្រង់ពាក្យសម្ងាត់ពីម៉ាស៊ីនជនរងគ្រោះ ដោយប្រើមុខងារបន្ថែមមួយទៀតហៅថា SharpSploit ដែលវាជាបណ្ណាល័យក្រោយការធ្វើអាជីវកម្ម។ NET post- នៅក្នុង C # ។ PlugX ផ្សេងទៀតប្រមូលព័ត៌មានអំពីម៉ាស៊ីន ដែលមានមេរោគដូចជាឈ្មោះកុំព្យូទ័រ  ឈ្មោះអ្នកប្រើ  កំណែប្រព័ន្ធប្រតិបត្តិការ  ការប្រើប្រាស់អង្គចងចាំ  ចំណុចប្រទាក់បណ្តាញ និងធនធាន។

ក្រុមអ្នកស្រាវជ្រាវរកឃើញអ្នកវាយប្រហារ APT10 ដោយប្រើម៉ាស៊ីនមេ C & C ដែលមានទីតាំងនៅកូរ៉េខាងត្បូង និង domain មួយចំនួនដែលគេធ្វើបច្ចុប្បន្នភាពថ្មីៗនេះ។ ដូចគ្នានេះផងដែរវិញ្ញាបនប័ត្រត្រូវគេបង្កប់នៅក្នុងគំរូ Quasar។ 

image

image

Tags: