យុទ្ធនាការវាយប្រហារ BabyShark
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញការវាយប្រហារជាបន្តបន្ទាប់ និងវិវត្តន៍ដោយក្រុមហេគឃ័រកូរ៉េខាងជើង Kimsuky ដែលកំពុងប្រើយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដ៏ឧឡារិកដែលគេស្គាល់ថា ClickFix ដើម្បីផ្សព្វផ្សាយមេរោគ BabyShark ។ យុទ្ធនាការទាំងនេះផ្តោតលើអ្នកជំនាញសន្តិសុខជាតិ និងប្រើប្រាស់ទាំងការបោកបញ្ឆោតមនុស្ស និងការបំបាំងកាយបច្ចេកទេស ដើម្បីទទួលបានសិទ្ធិប្រើប្រាស់រយៈពេលវែងទៅកាន់ប្រព័ន្ធជនរងគ្រោះ។
តារាងមាតិកា
កំណត់គោលដៅអ្នកជំនាញជាមួយ Spear-Phishing Lures
ក្រុមគម្រាមកំហែង Kimsuky បានដាក់ពង្រាយយ៉ាងសកម្មនូវ spear-phishing emails ចាប់តាំងពីខែមករា ឆ្នាំ 2025 ដោយដំបូងឡើយផ្តោតលើអ្នកជំនាញសន្តិសុខជាតិកូរ៉េខាងត្បូង។ អ្នកវាយប្រហារក្លែងបន្លំជាអ្នកតំណាងពីការបោះពុម្ពផ្សាយពាណិជ្ជកម្មជាភាសាអាឡឺម៉ង់ស្របច្បាប់ និងទាក់ទាញជនរងគ្រោះដោយសំណើសម្ភាសន៍ក្លែងក្លាយ។ អ៊ីមែលទាំងនេះមានតំណភ្ជាប់ទៅកាន់បណ្ណសារ RAR ដ៏អាក្រក់ ដែលនៅពេលបើករួច ដាក់ពង្រាយស្គ្រីប Visual Basic (VBS)។ ស្គ្រីបនេះបើកដំណើរការឯកសារ Google Docs ដែលអាចបញ្ឆោតឱ្យមានភាពស្របច្បាប់ ខណៈពេលដែលកំពុងដំណើរការកូដដោយស្ងៀមស្ងាត់ ដើម្បីបង្កើតភាពជាប់លាប់តាមរយៈកិច្ចការដែលបានកំណត់ពេល និងលួចព័ត៌មានប្រព័ន្ធ។
បុគ្គលបោកប្រាស់ និងកែប្រែ ClickFix វ៉ារ្យ៉ង់
នៅខែមីនា ឆ្នាំ 2025 លោក Kimsuky បានបង្កើនកិច្ចខិតខំប្រឹងប្រែងរបស់ខ្លួនដោយក្លែងបន្លំជាមន្ត្រីសន្តិសុខជាតិជាន់ខ្ពស់របស់សហរដ្ឋអាមេរិក។ អ៊ីមែលបន្លំថ្មីមានលក្ខណៈពិសេសជា PDF ជាមួយនឹងបញ្ជីសំណួរប្រជុំដែលប្រឌិត និងបញ្ឆោតអ្នកទទួលឱ្យបញ្ចូល 'លេខកូដផ្ទៀងផ្ទាត់' ដើម្បីចូលប្រើមាតិកាសុវត្ថិភាពដែលគេសន្មត់ថាបាន។ នេះតំណាងឱ្យការផ្លាស់ប្តូរនៅក្នុងវិធីសាស្ត្រ ClickFix ពីការជួសជុលកំហុសក្លែងក្លាយទៅការបញ្ចូលលេខកូដ បង្កើនការបំភាន់នៃភាពស្របច្បាប់។
នៅខែមេសា ឆ្នាំ 2025 កំណែប្រែមួយផ្សេងទៀតបានលេចចេញមក លើកនេះ ក្លែងបន្លំជាអ្នកការទូតជប៉ុន និងយោងការប្រជុំដែលបានស្នើឡើងជាមួយឯកអគ្គរដ្ឋទូតជប៉ុនប្រចាំនៅសហរដ្ឋអាមេរិក ការវាយប្រហារម្តងទៀតបានប្រើទំព័រ Google Docs បោកបញ្ឆោតដើម្បីបិទបាំងការប្រតិបត្តិពាក្យបញ្ជា PowerShell ដែលស្រពិចស្រពិល ដែលអនុញ្ញាតឱ្យបន្តការទាញយកទិន្នន័យ និងការដាក់ពង្រាយបន្ទុកតាមរយៈទំនាក់ទំនង C2 ជាប់លាប់។
អាវុធក្លែងក្លាយ ផតថលការងារ និងការលេចឡើង
នៅក្នុងការកែប្រែកាន់តែល្អិតល្អន់ Kimsuky បានចាប់ផ្តើមប្រើប្រាស់គេហទំព័រក្លែងក្លាយ ដែលក្លែងបន្លំជាគេហទំព័រការងារស្រាវជ្រាវការពារជាតិ។ គេហទំព័រទាំងនេះបានបង្ហាញបញ្ជីការងារក្លែងក្លាយ ដែលនៅពេលចុច បង្កឱ្យការលេចឡើងនូវរចនាប័ទ្ម ClickFix ជំរុញឱ្យអ្នកប្រើប្រាស់បើកប្រអប់ដំណើរការវីនដូ និងប្រតិបត្តិពាក្យបញ្ជា PowerShell ។
ពាក្យបញ្ជានេះបានណែនាំអ្នកប្រើប្រាស់ឱ្យដំឡើង Chrome Remote Desktop ដោយផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើពីចម្ងាយពេញលេញតាមរយៈ SSH តាមរយៈដែន C2 kida.plusdocs.kro.kr ។ ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៅលើម៉ាស៊ីនមេ C2 បានបង្ហាញទិន្នន័យជនរងគ្រោះដែលត្រូវបានលាតត្រដាង ដែលគេជឿថាមានប្រភពមកពីប្រព័ន្ធកូរ៉េខាងត្បូងដែលត្រូវបានសម្របសម្រួល។ លើសពីនេះ IP របស់ចិនដែលភ្ជាប់ទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធនេះមានផ្ទុកនូវកំណត់ត្រាសោរ និងបណ្ណសារ Proton Drive ZIP ដែលផ្តល់ BabyShark តាមរយៈខ្សែសង្វាក់ពហុដំណាក់កាលដ៏ស្មុគស្មាញ។
ការច្នៃប្រឌិតថ្មីៗ៖ CAPTCHA ក្លែងក្លាយ និងការប្រើប្រាស់ AutoIt
ថ្មីៗនេះ ត្រឹមខែមិថុនា ឆ្នាំ 2025 Kimsuky បានចាប់ផ្តើមទាញយកទំព័រផ្ទៀងផ្ទាត់ Naver CAPTCHA ក្លែងក្លាយ។ ទំព័រក្លែងក្លាយទាំងនេះបានណែនាំអ្នកប្រើប្រាស់ឱ្យបិទភ្ជាប់ពាក្យបញ្ជា PowerShell ទៅក្នុងប្រអប់ Run ដោយដំណើរការស្គ្រីប AutoIt ដែលប្រមូលព័ត៌មានរសើប។ នេះបង្ហាញឱ្យឃើញបន្ថែមទៀតនូវការប្រើប្រាស់ឧបករណ៍ដែលមានមូលដ្ឋានលើស្គ្រីប និងវិស្វកម្មសង្គមក្នុងការសម្របខ្លួនរបស់ក្រុមដើម្បីរក្សាជំហររបស់ពួកគេនៅក្នុងបរិយាកាសជនរងគ្រោះ។
ការពង្រីករណសិរ្សបន្លំ៖ ការក្លែងបន្លំសិក្សា និងការវាយប្រហារ HWP
លើសពី ClickFix, Kimsuky ក៏ត្រូវបានភ្ជាប់ទៅយុទ្ធនាការបន្លំដែលក្លែងបន្លំជាការឆ្លើយឆ្លងសិក្សា។ អ៊ីមែលទាំងនេះហាក់ដូចជាសំណើដើម្បីពិនិត្យមើលឯកសារស្រាវជ្រាវ និងរួមបញ្ចូលឯកសារ HWP ដែលការពារដោយពាក្យសម្ងាត់។ នៅពេលបើក ឯកសារព្យាបាទនឹងប្រើវត្ថុ OLE ដែលបានបង្កប់ ដើម្បីដំណើរការស្គ្រីប PowerShell ។ ស្គ្រីបនេះធ្វើការត្រួតពិនិត្យប្រព័ន្ធលម្អិត និងដាក់ពង្រាយ AnyDesk ដែលជាឧបករណ៍ផ្ទៃតុពីចម្ងាយស្របច្បាប់ ដើម្បីរក្សាការចូលប្រើពីចម្ងាយជាប់រហូត។
គន្លឹះសំខាន់ៗ៖ យុទ្ធសាស្ត្រ និងបច្ចេកទេសភ្លាមៗ
ការវាយប្រហារផ្នែកវិស្វកម្មសង្គមរបស់ Kimsuky ពឹងផ្អែកលើ៖
- ការក្លែងធ្វើជាតួរអង្គ និងស្ថាប័នដែលគួរឱ្យទុកចិត្ត (អ្នកសារព័ត៌មាន អ្នកការទូត អ្នកសិក្សា)
- ការប្រើប្រាស់ឯកសារក្លែងក្លាយ (Google Docs, PDFs, HWP document) ដើម្បីបិទបាំងសកម្មភាពព្យាបាទ
- ការរៀបចំអ្នកប្រើប្រាស់ឱ្យដំណើរការពាក្យបញ្ជា PowerShell តាមរយៈកំហុសក្លែងក្លាយ ប្រអប់បញ្ចូលការផ្ទៀងផ្ទាត់ ឬទំព័រ CAPTCHA
លក្ខណៈបច្ចេកទេសនៃយុទ្ធនាការរួមមាន ៖
- ការចូលប្រើប្រាស់ជាប់លាប់តាមរយៈកិច្ចការដែលបានកំណត់ពេល និងកម្មវិធីចូលប្រើពីចម្ងាយ (AnyDesk, Chrome Remote Desktop)
- ការចែកចាយមេរោគ BabyShark ច្រើនដំណាក់កាល
- ការប្រើប្រាស់ឧបករណ៍ស្វ័យប្រវត្តិកម្មដែលមានមូលដ្ឋានលើស្គ្រីបដូចជា AutoIt
- ភាពងាយរងគ្រោះផ្នែកហេដ្ឋារចនាសម្ព័ន្ធដែលបានកេងប្រវ័ញ្ចបង្ហាញទិន្នន័យជនរងគ្រោះដែលត្រូវបានលួច
សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងដែលវិវត្តន៍ឥតឈប់ឈរ
យុទ្ធនាការ BabyShark បង្ហាញពីភាពរហ័សរហួនរបស់ Kimsuky ក្នុងការវិវត្តន៍បច្ចេកទេសវិស្វកម្មសង្គមរបស់ពួកគេ និងប្រើប្រាស់កម្មវិធីស្របច្បាប់ និងហេដ្ឋារចនាសម្ព័ន្ធសាធារណៈសម្រាប់គោលបំណងព្យាបាទ។ យុទ្ធសាស្ត្រ ClickFix គូសបញ្ជាក់ពីរបៀបដែលតួអង្គគំរាមកំហែងបន្តកេងប្រវ័ញ្ចអាកប្បកិរិយារបស់មនុស្ស ក៏ដូចជាភាពងាយរងគ្រោះនៃប្រព័ន្ធ។ ការប្រុងប្រយ័ត្ន យុទ្ធសាស្ត្រការពារជាស្រទាប់ និងការអប់រំអ្នកប្រើប្រាស់នៅតែមានសារៈសំខាន់ក្នុងការកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយអ្នកគំរាមកំហែងដ៏ទំនើបបែបនេះ។
