ព័ត៌មាន

ក្រុមហេគឃ័រ APT អ៊ីរ៉ង់វាយប្រហារទៅលើអង្គការរបស់រដ្ឋាភិបាលតាមរយៈឯកសារ Excel ដើម្បីលួចយកអត្តសញ្ញាណផ្សេងៗ

 ក្រុមអ្នកស្រាវជ្រាវសង្កេតឃើញមេរោគ(malware)ថ្មីមួយឈ្មោះថា ForeLord មានប្រភពមកពី Hacker APT អ៊ីរ៉ង់តាមរយៈឯកសារ MS Excel ដើម្បីវាយប្រហារលើរដ្ឋាភិបាល។ ធ្លាប់មានការរាយការណ៍នៅឆ្នាំមុនអំពីក្រុមគំរាមកំហែងដូចគ្នានេះ ដែលមានការកេងប្រវ័ញ្ចថ្មីបំផុតទៅចង្កោមមេរោគ និងបច្ចេកទេស និងនីតិវិធី (TTP) ដើម្បីកំណត់គោលដៅលើរដ្ឋាភិបាល និងវិស័យទូរគមនាគមន៍។ 

image

ក្រុមអ្នកស្រាវជ្រាវសង្កេតឃើញយុទ្ធនាការបន្តបន្ទាប់នៅរវាងពាក់កណ្តាលឆ្នាំ២០១៩ និងពាក់កណ្តាលខែមករា ឆ្នាំ២០២០ ដែលជាគោលដៅរបស់រដ្ឋាភិបាលនៅក្នុងប្រទេសទួរគី   ហ្ស៊កដានី និងអ៊ីរ៉ាក់។  ForeLord ជាកម្មវិធីមេរោគចូលដំណើរការពីចម្ងាយដែលជារឿយៗវាត្រូវបានគេបញ្ជូនតាមរយៈឯកសារមេរោគ ដែលមានផ្ទុកម៉ាក្រូមួយជាមួយនឹងសមត្ថភាពខ្លាំង។ 

គោលដៅចម្លងមេរោគ ForeLord

នៅក្នុងដំណាក់កាលដំបូងនៃការវាយប្រហារ ក្រុមអ្នកគំរាមគំហែងបើកដំណើរការអ៊ីម៉េល នាំយកប័ណ្ណសារ ZIP មានផ្ទុកឯកសារ Excel ។ ឯកសារ excel មានគំនិតអាក្រក់ដើរតួជាម៉ាក្រូ ដែលទម្លាក់មេរោគ ForeLord RAT ក្នុងពេលតែមួយឯកសារព្យាបាទប្រើ cmd.exe ប្រតិបត្តិស្គ្រីបដើម្បីបន្ថែមកូនសោនៅក្នុងបញ្ជីឈ្មោះដើម្បីអាចដំណើរការរាល់ពេលជនរងគ្រោះចាប់ផ្តើមប្រព័ន្ធឡើងវិញ។

image

ការគំរាមកំហែងដោយប្រើពាក្យបញ្ជាដែលមានមូលដ្ឋានលើ DNS និងម៉ាស៊ីនដើម្បីផ្ទេរទិន្នន័យ និងឈ្មោះ Forelord ដែលបានមកពីការឆ្លើយតបមួយរបស់ DNS lordlordlordlord នៅក្នុងផ្នែកមួយនៃពិធីសារ C២។ នៅពេលដែលតួអង្គគំរាមកំហែងទទួលបានការចូលដំណើរការដំបូង ពួកគេទម្លាក់ឧបករណ៍មួយចំនួនរួមមាន PasswordDumper.exe, PASS32.dll, Mimikatz និងផ្សេងទៀតដើម្បីប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណទាំងនោះនៅលើបណ្តាញនិងបង្កើតរនាំង SSL បញ្ច្រាសដើម្បីផ្តល់នូវបណ្តាញចូលប្រើបន្ថែម។ ជាពិសេសឧបករណ៍សាកល្បងជ្រៀតចូលប្រភពបើកចំហត្រូវបានគេស្គាល់ថា CredNinja.ps1 ប្រើប្រាស់សម្រាប់ការវាយប្រហារនេះដើម្បីប្រមូលព័ត៌មានសម្ងាត់។ អ្នកគំរាមគំហែងបានប្រើបញ្ជីគណនីរបស់អ្នកប្រើប្រាស់ដែលមានសុពលភាពពី domain គោលដៅ ដោយភ្ជាប់ជាមួយបញ្ជីពាក្យសម្ងាត់ខ្សោយដើម្បីកំណត់គណនីដែលអាចចូលដំណើរការបាន។ ទីបំផុត ពួកគេប្រើឧបករណ៍មួយទៀតហៅថា Secure Socket Funneling ដែលជាឧបករណ៍បណ្តាញ និងប្រអប់ឧបករណ៍ដើម្បីបញ្ជូនទិន្នន័យដែលបានលួចពីរន្ធច្រើនតាមរយៈរន្ធ TLS ដែលមានសុវត្ថិភាពតែមួយទៅកុំព្យូទ័រពីចម្ងាយ។

ធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពទៅប្រព័ន្ធទាំងអស់ជាពិសេសប្រព័ន្ធអ៊ីនធឺរណិត។ ការពារព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់នៅក្នុងបរិស្ថានតាមរយៈការបណ្តុះបណ្តាល ការយល់ដឹងរបស់អ្នកក្នុងការប្រើប្រាស់តាមកាលកំណត់ និងការផ្ទៀងផ្ទាត់កត្តាច្រើន (MFA) ។ ប្រើ MFA សម្រាប់ដំណោះស្រាយចូលប្រើពីចម្ងាយ និងការចូលប្រើអ៊ីមែលតាមអ៊ីនធឺណិតរួមទាំង Office៣៦៥។ដោយសារការបំពានរបស់អ៊ីរ៉ង់ភាគច្រើនមានពាក់ព័ន្ធនឹងមេរោគ ឬការបំពានឧបករណ៍ប្រព័ន្ធដើមដោយប្រើបច្ចេកវិទ្យាស្វែងរកចំណុចចុងក្រោយ ដែលអាចរកឃើញប្រភេទសកម្មភាពទាំងនោះ។