EdgeStepper Backdoor
តួអង្គគម្រាមគំហែងតាមជួររបស់ចិនដែលគេស្គាល់ថាជា PlushDaemon ត្រូវបានភ្ជាប់ទៅនឹងបណ្តាញ Backdoor របស់ Go-based ដែលទើបរកឃើញថ្មីដែលមានឈ្មោះថា EdgeStepper ដែលជាឧបករណ៍ដែលត្រូវបានបង្កើតឡើងដើម្បីគាំទ្រដល់ប្រតិបត្តិការរបស់សត្រូវនៅកណ្តាល (AitM) ។ ដោយរៀបចំចរាចរបណ្តាញនៅកម្រិត DNS ក្រុមនេះបានពង្រីកសមត្ថភាពរបស់ខ្លួនក្នុងការស្ទាក់ចាប់ និងបញ្ជូនបន្តលំហូរទិន្នន័យសម្រាប់យុទ្ធនាការជ្រៀតចូលគោលដៅនៅទូទាំងតំបន់ជាច្រើន។
តារាងមាតិកា
EdgeStepper៖ ប្តូរទិសចរាចរណ៍ទៅកាន់រចនាសម្ព័ន្ធព្យាបាទ
EdgeStepper ដើរតួជាយន្តការប្លន់កម្រិតបណ្តាញ។ នៅពេលដាក់ពង្រាយ វាបញ្ជូនរាល់សំណើ DNS ទៅថ្នាំងព្យាបាទខាងក្រៅ។ ឧបាយកលនេះបង្វែរចរាចរណ៍ដែលមានបំណងសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធអាប់ដេតកម្មវិធីស្របច្បាប់ ហើយបញ្ជូនបន្តទៅប្រព័ន្ធដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។
នៅខាងក្នុង ឧបករណ៍ដំណើរការតាមរយៈម៉ូឌុលចម្បងពីរ។ អ្នកចែកចាយដោះស្រាយអាសយដ្ឋានរបស់ថ្នាំង DNS ព្យាបាទ (ឧទាហរណ៍ test.dsc.wcsset.com) ខណៈពេលដែលអ្នកគ្រប់គ្រងកំណត់រចនាសម្ព័ន្ធច្បាប់តម្រងកញ្ចប់តាមរយៈ iptables ដើម្បីអនុវត្តការបញ្ជូនបន្ត។ ក្នុងករណីខ្លះ ថ្នាំង DNS និងថ្នាំងលួចគឺដូចគ្នា ហើយបណ្តាលឱ្យសេវា DNS ត្រឡប់អាសយដ្ឋាន IP ផ្ទាល់ខ្លួនរបស់វា កំឡុងពេលដំណើរការបន្លំ។
ប្រតិបត្តិការយូរអង្វែង និងការកំណត់គោលដៅសកល
សកម្មតាំងពីឆ្នាំ 2018 មក PlushDaemon បានផ្តោតលើអង្គការនានានៅទូទាំងសហរដ្ឋអាមេរិក នូវែលសេឡង់ កម្ពុជា ហុងកុង តៃវ៉ាន់ កូរ៉េខាងត្បូង និងចិនដីគោក។ សកម្មភាពរបស់វាត្រូវបានរាយការណ៍ជាផ្លូវការជាលើកដំបូងនៅក្នុងខែមករា ឆ្នាំ 2025 ក្នុងអំឡុងពេលស៊ើបអង្កេតលើការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលពាក់ព័ន្ធនឹងអ្នកផ្តល់សេវា VPN របស់កូរ៉េខាងត្បូង IPany ។ ឧប្បត្តិហេតុនោះបានបង្ហាញពីរបៀបដែលអ្នកវាយប្រហារដាក់ពង្រាយ implant ពហុមុខងារ SlowStepper ប្រឆាំងនឹងទាំងក្រុមហ៊ុន semiconductor និងក្រុមហ៊ុនអភិវឌ្ឍន៍កម្មវិធីដែលមិនស្គាល់អត្តសញ្ញាណ។
ជនរងគ្រោះបន្ថែមដែលត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងការស្រាវជ្រាវក្រោយៗមករួមមានសាកលវិទ្យាល័យនៅទីក្រុងប៉េកាំង ក្រុមហ៊ុនផលិតគ្រឿងអេឡិចត្រូនិចនៅតៃវ៉ាន់ ក្រុមហ៊ុនរថយន្ត និងសាខាក្នុងតំបន់នៃសហគ្រាសផលិតជប៉ុន។ អ្នកវិភាគក៏បានកត់ត្រាសកម្មភាពបន្ថែមទៀតនៅក្នុងប្រទេសកម្ពុជាក្នុងឆ្នាំ 2025 ដែលអង្គការចំនួនពីរទៀត មួយនៅក្នុងវិស័យរថយន្ត និងមួយទៀតដែលចងភ្ជាប់ជាមួយក្រុមហ៊ុនផលិតរបស់ជប៉ុន ត្រូវបានកំណត់គោលដៅជាមួយ SlowStepper ។
ការពុល AitM៖ យុទ្ធសាស្ត្រចូលបឋមរបស់ PlushDaemon
ក្រុមនេះពឹងផ្អែកយ៉ាងខ្លាំងលើការបំពុល AitM ជាបច្ចេកទេសនៃការឈ្លានពានដំបូងរបស់ខ្លួន ដែលជានិន្នាការត្រូវបានចែករំលែកកាន់តែខ្លាំងឡើងក្នុងចំណោមក្រុម APT ដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនផ្សេងទៀតដូចជា LuoYu, Evasive Panda, BlackTech, TheWizards APT, Blackwood និង FontGoblin ។ PlushDaemon ផ្តួចផ្តើមខ្សែសង្វាក់វាយប្រហាររបស់ខ្លួនដោយការសម្របសម្រួលឧបករណ៍បណ្តាញគែមដែលជនរងគ្រោះទំនងជាភ្ជាប់តាមរយៈ។ ការសម្របសម្រួលជាធម្មតាកើតចេញពីភាពងាយរងគ្រោះដែលមិនបានជួសជុល ឬការផ្ទៀងផ្ទាត់ខ្សោយ។
នៅពេលដែលឧបករណ៍ស្ថិតនៅក្រោមការគ្រប់គ្រង EdgeStepper ត្រូវបានដំឡើងដើម្បីគ្រប់គ្រងចរាចរ DNS ។ ថ្នាំង DNS ព្យាបាទវាយតម្លៃសំណើចូល ហើយនៅពេលរកឃើញដែនដែលភ្ជាប់ជាមួយការអាប់ដេតកម្មវិធី ឆ្លើយតបជាមួយអាសយដ្ឋាន IP របស់ថ្នាំងលួច។ ការដំឡើងនេះអនុញ្ញាតឱ្យមានការចែកចាយបន្ទុកដោយព្យាបាទ ដោយមិនចាំបាច់ធ្វើឱ្យមានការសង្ស័យភ្លាមៗនោះទេ។
បណ្តាញអាប់ដេតដែលត្រូវបានប្លន់ និងខ្សែសង្វាក់ដាក់ពង្រាយ
យុទ្ធនាការរបស់ PlushDaemon ពិនិត្យជាពិសេសទៅលើយន្តការអាប់ដេតដែលប្រើប្រាស់ដោយកម្មវិធីចិនជាច្រើន រួមទាំង Sogou Pinyin ដើម្បីប្តូរទិសចរាចរណ៍បច្ចុប្បន្នភាពស្របច្បាប់។ តាមរយៈឧបាយកលនេះ អ្នកវាយប្រហារចែកចាយ DLL ព្យាបាទដែលមានឈ្មោះថា LittleDaemon (popup_4.2.0.2246.dll) ដែលបម្រើជាការផ្សាំក្នុងដំណាក់កាលដំបូង។ ប្រសិនបើប្រព័ន្ធមិនទាន់រៀបចំ SlowStepper backdoor ទេ LittleDaemon ទាក់ទងថ្នាំងអ្នកវាយប្រហារ ហើយទាញយកកម្មវិធីទាញយកដែលហៅថា DaemonicLogistics។
តួនាទីរបស់ DaemonicLogistics គឺត្រង់៖ ទាញយក និងប្រតិបត្តិ SlowStepper ។ នៅពេលដែលសកម្ម SlowStepper ផ្តល់នូវសមត្ថភាពយ៉ាងទូលំទូលាយដែលរួមមានការប្រមូលព័ត៌មានលំអិតរបស់ប្រព័ន្ធ ការទទួលបានឯកសារ ការស្រង់ចេញព័ត៌មានសម្ងាត់របស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត ទាញទិន្នន័យពីកម្មវិធីផ្ញើសារជាច្រើន និងការដកខ្លួនវាចេញប្រសិនបើចាំបាច់។
ពង្រីកសមត្ថភាពតាមរយៈការផ្សាំដែលសម្របសម្រួល
មុខងាររួមបញ្ចូលគ្នារបស់ EdgeStepper, LittleDaemon, DaemonicLogistics និង SlowStepper បំពាក់ PlushDaemon ជាមួយនឹងឧបករណ៍ដ៏ទូលំទូលាយដែលមានសមត្ថភាពសម្របសម្រួលអង្គការនានាទូទាំងពិភពលោក។ ការប្រើប្រាស់សំរបសំរួលរបស់ពួកគេផ្តល់ឱ្យក្រុមនូវការចូលប្រើប្រាស់ជាបន្តបន្ទាប់ សមត្ថភាពលួចទិន្នន័យ និងហេដ្ឋារចនាសម្ព័ន្ធដែលអាចបត់បែនបានសម្រាប់ប្រតិបត្តិការឆ្លងតំបន់រយៈពេលវែង។
ការសង្កេតសំខាន់ៗ
ប្រតិបត្តិការរបស់ PlushDaemon បង្ហាញពីប្រធានបទជាប់លាប់ជាច្រើន។ ក្រុមនេះពឹងផ្អែកយ៉ាងខ្លាំងលើការបំពុលរបស់សត្រូវនៅកណ្តាលដែលជាវិធីសាស្ត្រដែលពេញចិត្តក្នុងការទទួលបានទីតាំងដំបូង ដោយប្រើវាដើម្បីស្ទាក់ចាប់ និងបញ្ជូនបន្តចរាចរណ៍នៅគែមបណ្តាញ។ នៅពេលដែលគោលដៅមួយត្រូវបានសម្របសម្រួល តួអង្គគំរាមកំហែងពឹងផ្អែកលើ SlowStepper ជាការផ្សាំក្រោយការជ្រៀតចូលដ៏សំខាន់របស់វា ដោយទាញយកអត្ថប្រយោជន៍ពីការប្រមូលទិន្នន័យយ៉ាងទូលំទូលាយ និងមុខងារត្រួតពិនិត្យប្រព័ន្ធ។ ប្រសិទ្ធភាពនៃដំណើរការការងារនេះត្រូវបានពង្រឹងដោយសមត្ថភាពរបស់ EdgeStepper ក្នុងការរៀបចំការឆ្លើយតប DNS ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្វែរចរាចរណ៍ការធ្វើបច្ចុប្បន្នភាពកម្មវិធីស្របច្បាប់ដោយស្ងាត់ស្ងៀមឆ្ពោះទៅរកហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួនរបស់ពួកគេ។
