ព័ត៌មាន

Waterbug APT ប្លន់យករចនាសម្ព័ន្ធរបស់ក្រុម APT Group ដើម្បីវាយប្រហាររដ្ឋាភិបាល និងអង្គការអន្តរជាតិ

Sunday, ទី14 July, ឆ្នាំ2019 12:07 pm 0

អ្នកវាយប្រហារ APT Waterbug ប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធប្លន់ដើម្បីវាយប្រហាររដ្ឋាភិបាល និង អង្គការអន្ដរជាតិតាមរយៈយុទ្ធនាការជាច្រើនដោយប្រើមេរោគថ្មីដែលអាចប្រើជាសាធារណៈ។   Symantec សង្កេតឃើញការវាយប្រហារគោលដៅក្នុងរយៈពេលមួយឆ្នាំកន្លងមកដោយប្រើប្រាស់ ឧបករណ៍ និងយុទ្ធនាការវាយប្រហារអឺរ៉ុប អាមេរិកឡាទីន និងអាស៊ីខាងត្បូង។

យុទ្ធនាការចម្រុះ

Symantec សង្កេតឃើញយុទ្ធនាការច្រើនដោយប្រើឧបករណ៍ផ្សេងៗគ្នានៅលើយុទ្ធនាការវាយប្រហារ រួមទាំងមេរោគផ្ទាល់ខ្លួន។ យុទ្ធនាការទីមួយ៖ ប្រើមេរោគថ្មីដែលមានឈ្មោះថា Neptun ដើម្បីកំណត់ គោលដៅលើម៉ាស៊ីនមេ។ កម្មវិធីមេរោគ Neptun តំឡើងនៅលើម៉ាស៊ីនមេ ប្តូរហើយទទួល បញ្ជាពីអ្នកវាយប្រហារដោយអកម្ម។ វាមានសមត្ថភាពទាញយកឧបករណ៍បន្ថែមផ្ទុកនូវឯកសារដែល លួច និងប្រតិបត្តិពាក្យបញ្ជា shell commands។

យុទ្ធនាការលើកទីពីរ៖ ប្រើត្រលប់ក្រោយអ្នកបកប្រែ ដែលអាចរកជាសាធារណៈរួមជាមួយឧបករណ៍ផ្ទុកផ្ទាល់ខ្លួនពីត្រលប់ក្រោយផ្ទាល់ខ្លួន និងការ ហៅតាមនីតិវិធីរត់តាមតម្រូវការផ្ទាល់ខ្លួន។ វាហាក់បីដូចជាក្រុមហេគឃរ័ប្រើប្រាស់កម្មវិធី Meterpreter ចាប់តាំងពីឆ្នាំ 2018 មកម៉្លេះ។ យុទ្ធនាការលើកទីបី៖ ជួល RPC backdoor ថ្មីដែលប្រើ PowerShellRunner ដែលមានជាសាធារណៈដើម្បីដំណើរការស្គ្រីប PowerShell ដើម្បីជៀសវាងការ រាវរកឃើញ។

ឧបករណ៍លួច និងស្វែងរកត្រូវប្រើ

–       ឧបករណ៍ផ្ទាល់ខ្លួនដែលរួមបញ្ចូលគ្នានូវ EternalBlue, EternalRomance, DoublePulsar, SMBTouch Neptun

–       ពពួក malware Neptun

–       Visual Basic និងស្គ្រីប PowerShell

–       ឧបករណ៍ដែលមានជាសាធារណៈដូចជាពាក្យបញ្ជា RPC commands, SScan, NBTScan សម្រាប់ការស្កេន network

–       PsExec សម្រាប់ចលនានៅពេលក្រោយ Mimikatzសម្រាប់ការលួចអត្តសញ្ញាណ និង Certutil.exe ដើម្បីឌិកូដឯកសារពីចម្ងាយ។

Symantec រាយឈ្មោះរដ្ឋាភិបាល និងអង្គការអន្តរជាតិដែលត្រូវវាយប្រហារដោយ Waterbug ដែលរួមមានរដ្ឋាភិបាល អង្គការអន្តរជាតិ IT និងវិស័យអប់រំនៅទូទាំងពិភពលោក។  “ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ Crambus របស់ Waterbug ហាក់ដូចជាមានការគ្រប់គ្រងប្រកប ដោយភាពមិនពេញចិត្តមួយក្នុងអំឡុងពេលនៃយុទ្ធនាការវាយប្រហារ។ ការផ្លាស់ប្តូរតាមបំណងរបស់ Mimikatz ត្រូវទាញយកហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយ Crambus”។

ឧបករណ៍មួយផ្សេងទៀត IntelliAdmin ក៏រកឃើញនៅលើបណ្តាញរបស់ជនរងគ្រោះដែលពីមុន ត្រូវប្រើប្រាស់ដោយ Crambus ផ្តល់ឱ្យនូវការបិទកាន់តែច្រើនស្រដៀងគ្នាទៅនឹងក្រុមហ៊ុន Waterbug ដែលសម្រុះសម្រួលដល់ហេដ្ឋារចនាសម្ព័ន្ធ Crambus។  “សមត្ថភាពកែច្នៃឡើងវិញជាញឹកញាប់របស់ Waterbug បង្ហាញពីកម្រិតខ្ពស់នៃការសម្របខ្លួនដោយ ក្រុមមួយដែលកំណត់ដើម្បីជៀសវាងការរាវរក ដោយរក្សាទុកមួយជំហាននៅពីមុខគោលដៅ របស់វា”។

image

image

Tags: