ព័ត៌មាន

Cyber Command របស់សហរដ្ឋអាមេរិកព្រមានអំពីក្រុមហេគឃ័រដែលជ្រៀតចូលទៅក្នុងចំណុចខ្សោយរបស់កម្មវិធី Outlook

Sunday, ទី14 July, ឆ្នាំ2019 11:07 am 0

US Cyber ​​Command ចេញសេចក្តីជូនដំណឹងមួយតាមរយៈ Twitter កាលពីថ្ងៃទី2 អំពីការគំរាម កំហែងរបស់ Outlook ចំពោះមេរោគនៅលើបណ្តាញរបស់រដ្ឋាភិបាល។ ភាពងាយរងគ្រោះនេះគឺ CVE-2017-11774 ដែលជាកំហុសសុវត្ថិភាពមួយដែល Microsoft កែតម្រូវនៅក្នុង Outlook នៅ ក្នុងខែតុលា 2017 បំណះកាលពីថ្ងៃអង្គារ។ កំហុស Outlook ដែលត្រូវរកឃើញ និងលម្អិតដោយ ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពពី SensePost អនុញ្ញាតឱ្យអ្នកដើរតួគំរាមកំហែងដើម្បីគេចចេញពីប្រអប់ Outlook និងដំណើរការកូដព្យាបាទនៅលើប្រព័ន្ធប្រតិបត្តិការ។

ការគំរាមគំហែងរបស់ Outlook ត្រូវប្រើដោយហេគឃរ័ជនជាតិអ៊ីរ៉ង់ កំហុសនេះត្រូវរាយការណ៍ជាឯកជនដោយក្រុមអ្នកស្រាវជ្រាវ SensePost នៅក្នុងការដួលរលំនៃ ឆ្នាំ 2017 ប៉ុន្តែនៅត្រឹមឆ្នាំ 2018 វាត្រូវគេប្រើអាវុធដោយក្រុម hack ដែលឧបត្ថម្ភដោយរដ្ឋអ៊ីរ៉ង់ ដែលត្រូវគេស្គាល់ថា APT33 (ឬ Elfin) ដែលត្រូវគេស្គាល់ជាទូទៅសម្រាប់ការអភិវឌ្ឍមេរោគ Shamoon disk-wiping malware។

នៅពេលនោះនៅចុងខែធ្នូ ឆ្នាំ 2018 ពួកហេគឃរ័ ATP33 ត្រូវ ដាក់ពង្រាយ Backdoor នៅលើម៉ាស៊ីនមេដែលពួកគេក្រោយមកត្រូវប្រើដើម្បីជំរុញការកេងប្រវ័ញ្ច CVE-2017-11774 ទៅប្រអប់ទទួលរបស់អ្នកប្រើ ដូច្នេះពួកគេអាចចម្លងប្រព័ន្ធរបស់អ្នកប្រើជាមួយ មេរោគ។  “នៅពេលដែលសត្រូវមានសិទ្ធិបញ្ជាក់ត្រឹមត្រូវពួកគេអាចកំណត់អត្តសញ្ញាណជា សាធារណៈ Outlook Web Access (OWA) ឬ Office 365 ដែលមិនត្រូវការពារដោយការ ផ្ទៀងផ្ទាត់ពហុកត្តា។ “សត្រូវប្រើអានុភាពដែលលួច និងឧបករណ៍ដូចជា RULER ដើម្បីផ្តល់ [CVE-2017-11774] កេងប្រវ័ញ្ចតាមរយៈលក្ខណៈស្របច្បាប់របស់ផ្សារហ៊ុន” របាយការណ៍របស់ FireEye រាយការណ៍។

ការវាយប្រហារដោយប្រើប្រាស់ភាពងាយរងគ្រោះ CVE-2017-11774 កើតឡើងក្នុងពេលតែមួយ ដែលរបាយការណ៍បង្ហាញពីការមើលឃើញថ្មីៗនៃមេរោគ Malware ដែលបំផ្លាញមេរោគ disk Shamoon ដ៏ល្បីឈ្មោះ ឧបករណ៍ hacking មួយទៀតដែលបង្កើតឡើងដោយក្រុម APT33 ។

មិនមានការតភ្ជាប់ណាមួយត្រូវបង្ហាញនៅពេលនោះអំពីទំនាក់ទំនងរវាងរបាយការណ៍ APT33 របស់ FireEye និងការដាក់ពង្រាយ Shamoon ឡើយ។ ទោះជាយ៉ាងណាក៏ដោយអ្នកស្រាវជ្រាវ Chronicle Security ម៉ាក Brandon Levene ប្រាប់ ZDNet នៅក្នុងអ៊ីម៉ែលមួយនៅថ្ងៃនេះថា គំរូមេរោគដែលផ្ទុកឡើងដោយពាក្យសម្ងាត់តាមប្រព័ន្ធអ៊ីនធឺរណិតទំនងជាទាក់ទងទៅនឹងសកម្មភាព Shamoon ដែលកើតឡើងនៅខែមករា ឆ្នាំ 2017។

លោក Levene និយាយថាបីនៃគំរូ មេរោគចំនួន 5 គឺជាឧបករណ៍ដែលត្រូវប្រើសម្រាប់ការចាត់ចែងនៃម៉ាស៊ីនមេបណ្តាញដែល កេងប្រវ័ញ្ចខណៈពេលដែលពីរប្រភេទទៀតគឺជាអ្នកទាញយក ដែលប្រើប្រាស់ PowerShell ដើម្បីផ្ទុក PUPY RAT ដែលទំនងជានៅលើប្រព័ន្ធមេរោគ។ លោក Levene ប្រាប់ ZDNet ថា ប្រសិនបើការ សង្កេតលើ CVE-2017-11774 រួមគ្នាជាមួយគំរូមេរោគទាំងនេះពិតប្រាកដមែន វាបង្ហាញពីរបៀបដែល អ្នកវាយប្រហារ APT33 / Shamoon អាចសម្រុះសម្រួលគោលដៅរបស់ពួកគេ។ នៅពេលដែលការ វាយប្រហារ Shamoon កើតឡើងកាលពីមុន លោក Levene និយាយថា វាត្រូវគេប៉ាន់ ប្រមាណយ៉ាងខ្លាំងថា ការលួចបន្លំមានពាក់ព័ន្ធ ប៉ុន្តែមិនមានព័ត៌មានច្រើននៅជុំវិញវ៉ាក់សាំងនៃការ ឆ្លងមេរោគដំបូងត្រូវផ្សព្វផ្សាយក្រៅពីរបាយការណ៍របស់ FireEye ដែលប៉ានស្មានលើ វ៉ាក់សាំងនោះទេ ជាជាងផ្តល់ភស្តុតាងដែលមិនអាចប្រកែកនោះទេ។

សកម្មភាពហេគរបស់អ៊ីរ៉ង់កើនឡើង

គណនី Twitter របស់បញ្ជាការត្រួតពិនិត្យប្រព័ន្ធអ៊ីនធឺរណិតមិនផ្តល់ការដាស់តឿនអំពីក្រុមហេគឃរ័ ដែលជម្រុញផ្នែកហិរញ្ញវត្ថុសំដៅទៅសហរដ្ឋអាមេរិក និងផ្តោតលើតែសត្រូវរបស់រដ្ឋតែប៉ុណ្ណោះ។ សរុបមកគំរូអេឡិចត្រូនិចដែលត្រូវចែកចាយដោយ US Cyber ​​Command នៅថ្ងៃនេះភ្ជាប់ការ វាយប្រហារថ្មីដែលទីភ្នាក់ងារនេះកំពុងមើលឃើញនូវគំរូ malware APT33 ចាស់ៗទំនងជាត្រូវ ដាក់ពង្រាយនៅក្នុងការវាយប្រហារថ្មីប្រឆាំងនឹងអង្គភាពរបស់អាមេរិក។ ខណៈពេលដែល US Cyber ​​Command មិនដាក់ឈ្មោះ APT33 តាមឈ្មោះ Levene ក៏ដូចជា Palo Alto Networks (នៅលើ Twitter) និង FireEye (នៅលើ Twitter [1, 2] និងនៅក្នុងការសន្ទនាឯកជនជាមួយ ZDNet)។ ពាក្យបញ្ជារបស់ Us cyber twitter ក៏មកបន្ទាប់ពី Symantec ព្រមានអំពីការកើនឡើង សកម្មភាពពី APT33 ត្រឡប់មកវិញនៅខែមីនា។ លើសពីនេះកាលពីពីរសប្តាហ៍មុន CISA ក៏ ចេញនូវការព្រមានស្រដៀងគ្នាមួយដែរអំពីការកើនឡើងសកម្មភាពពីអ្នកគាំទ្រអ៊ីរ៉ង់ និងជាពិសេស អំពីការប្រើប្រាស់កម្មវិធីកម្ចាត់មេរោគ disk-wiping ដូចជា Shamoon, cyber-weapon បឋមរបស់ APT33។

ក្រៅពីការវិភាគមេរោគដែលវាយប្រហារបណ្តាញរដ្ឋាភិបាលសហរដ្ឋអាមេរិកបញ្ជាការអវកាសអាមេរិកក៏ទទួលខុសត្រូវលើប្រតិបត្តិការអ៊ីនធឺរណិតវាយលុកផងដែរ។ កាលពីពីរសប្តាហ៍មុនភ្នាក់ងារ DOD បើកការវាយប្រហារតាមអ៊ីនធឺរណិតមួយដែលសំដៅទៅប្រព័ន្ធរ៉ុក្កែត និងមីស៊ីលរបស់អ៊ីរ៉ង់បន្ទាប់ ពីកងទ័ពអ៊ីរ៉ង់បាញ់ទម្លាក់យន្តហោះគ្មានមនុស្សបើករបស់អាមេរិក។ ជាមួយនឹងពួកហេគឃរ័អ៊ីរ៉ង់ ដែលផ្ដោតសំខាន់លើបណ្តាញរដ្ឋាភិបាល និងសហរដ្ឋអាមេរិកដែលវាយប្រហារមកវិញ អ្នកអាច និយាយថាប្រទេសទាំងពីរកំពុងស្ថិតក្នុងភាពស្ងប់ស្ងាត់ និងជាសង្រ្គាម Cyber មិនផ្លូវការ។

ផ្នែកមួយលោក Levene ចង្អុលបង្ហាញថា នេះគឺជាលើកទីមួយហើយដែល US Cyber ​​Command ចែករំលែកពពួក malware non-Russian តាមរយៈគណនី Twitter របស់ខ្លួន។ ទីភ្នាក់ងារនេះចាប់ផ្តើមបោះពុម្ភផ្សាយគំរូមេរោគនៅលើ VirusTotal និងចេញផ្សាយការជូន ដំណឹងរបស់ Twitter កាលពីរដូវស្លឹកឈើជ្រុះ ជាការចាត់ទុកថាវាជាវិធីលឿនជាងមុនក្នុងការ ផ្សព្វផ្សាយការព្រមានសន្តិសុខទាក់ទងនឹងការវាយប្រហារតាមអ៊ីនធឺរណិតដែលកំពុងបន្ត និងការធ្វើ ឱ្យវិស័យឯកជនរបស់អាមេរិកមានការកត់សម្គាល់។

image

image

Tags: