ពួក Hacker កូរ៉េខាងជើងដាក់ពង្រាយ VeilShell Backdoor ថ្មីនៅក្នុងការវាយប្រហារដោយសម្ងាត់នៅទូទាំងអាស៊ីអាគ្នេយ៍
នៅក្នុងវិវរណៈថ្មីដ៏ត្រជាក់មួយ ក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់កូរ៉េខាងជើង ត្រូវបានគេប្រទះឃើញប្រើប្រាស់មេរោគ backdoor ថ្មីមួយដែលមានឈ្មោះថា VeilShell ដើម្បីប្រតិបត្តិការវាយប្រហារតាមអ៊ីនធឺណិតលួចលាក់នៅទូទាំងអាស៊ីអាគ្នេយ៍។ អ្នកជំនាញផ្នែកសន្តិសុខបានភ្ជាប់សកម្មភាពនេះទៅនឹង APT37 ដែលជាក្រុម hacking ដ៏ល្បីល្បាញដែលប្រតិបត្តិការក្រោមឈ្មោះក្លែងក្លាយជាច្រើនដូចជា InkySquid, Reaper, RedEyes និង ScarCruft ។ ជាមួយនឹងតំណភ្ជាប់ទៅកាន់ក្រសួងសន្តិសុខរដ្ឋរបស់ប្រទេសកូរ៉េខាងជើង APT37 បានសកម្មតាំងពីឆ្នាំ 2012 ហើយមានភាពល្បីល្បាញសម្រាប់យុទ្ធនាការតាមអ៊ីនធឺណិតដ៏ទំនើបរបស់ខ្លួនដែលផ្តោតលើវិស័យរដ្ឋាភិបាល និងសាជីវកម្ម។
តារាងមាតិកា
យុទ្ធនាការ SHROUDED #SLEEP
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានដាក់ឈ្មោះប្រតិបត្តិការចុងក្រោយនេះថា SHROUDED#SLEEP ដែលជាឈ្មោះសមរម្យសម្រាប់ការបំបាំងកាយ និងការអត់ធ្មត់ដែលបង្ហាញដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទាំងនេះ។ ក្រុមនេះត្រូវបានគេជឿថានឹងកំពុងធ្វើយុទ្ធនាការនេះដោយផ្តោតជាក់លាក់លើប្រទេសកម្ពុជា និងប្រទេសផ្សេងទៀតនៅអាស៊ីអាគ្នេយ៍។ តាមរយៈការប្រើប្រាស់ VeilShell ដែល ជា Trojan ចូលប្រើពីចម្ងាយ (RAT) អ្នកវាយប្រហារមានគោលបំណងដើម្បីទទួលបានការគ្រប់គ្រងពេញលេញនៃម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល ដោយមានសមត្ថភាពបណ្តេញទិន្នន័យ រៀបចំការចុះបញ្ជីប្រព័ន្ធ និងកំណត់ពេលភារកិច្ចដោយសម្ងាត់។
តើ VeilShell ដំណើរការយ៉ាងដូចម្តេច?
ទិដ្ឋភាពលេចធ្លោមួយនៃការវាយប្រហារនេះគឺរបៀបដែល VeilShell ចូលទៅក្នុងប្រព័ន្ធគោលដៅរបស់វា។ ខណៈពេលដែលវានៅតែមិនច្បាស់អំពីរបៀបដែលបន្ទុកដំបូងត្រូវបានចែកចាយ អ្នកជំនាញសង្ស័យថាក្រុមនេះប្រើ spear-phishing emails ដែលជាវិធីសាស្រ្តដែលមានគោលដៅខ្ពស់ក្នុងការបញ្ឆោតបុគ្គលឱ្យចុចលើតំណភ្ជាប់ព្យាបាទ ឬទាញយកឯកសារដែលមានមេរោគ។ បន្ទុកដំណាក់កាលទី 1 ទំនងជាត្រូវបានបញ្ជូនតាមរយៈប័ណ្ណសារហ្ស៊ីបដែលមានឯកសារផ្លូវកាត់វីនដូ (LNK) ។
នៅពេលដែលអ្នកប្រើប្រាស់ដែលមិនសង្ស័យបានបើកដំណើរការឯកសារ LNK វាចាប់ផ្តើមសកម្មភាពជាបន្តបន្ទាប់។ កូដ PowerShell—ជាភាសាស្គ្រីបដែលប្រើជាទូទៅនៅក្នុងបរិស្ថានវីនដូ—ដំណើរការនៅពីក្រោយឆាក ដោយទាញយកសមាសធាតុបន្ថែមដែលលាក់នៅក្នុងឯកសារ។ ដើម្បីជៀសវាងការបង្កើនការសង្ស័យ ការវាយប្រហាររំខានអ្នកប្រើប្រាស់ជាមួយនឹងឯកសារដែលមើលទៅគ្មានកំហុស ដូចជាឯកសារ Microsoft Excel ឬ PDF ខណៈពេលដែលវាដំឡើងសមាសធាតុមេរោគដែលមានគ្រោះថ្នាក់ជាងនេះនៅក្នុងផ្ទៃខាងក្រោយ។
ការគំរាមកំហែងពិតប្រាកដបានមកពី DomainManager.dll ដែលជាឯកសារព្យាបាទត្រូវបានដាក់ជាយុទ្ធសាស្ត្រនៅក្នុងថតឯកសារចាប់ផ្ដើមវីនដូ ដែលជាកន្លែងដែលវាធានាបាននូវការតស៊ូដោយការដំណើរការរាល់ពេលដែលប្រព័ន្ធចាប់ផ្ដើមឡើងវិញ។ ឯកសារនេះទាក់ទងជាមួយម៉ាស៊ីនមេបញ្ជាពីចម្ងាយ (C2) ដែលផ្តល់ឱ្យអ្នកវាយប្រហារគ្រប់គ្រងលើឧបករណ៍ដែលមានមេរោគ។ ពីទីនោះ ពួកគេអាចឈ្លបយកការណ៍លើឯកសារ ផ្ទុកទិន្នន័យរសើប ទាញយកឧបករណ៍ព្យាបាទច្រើនទៀត និងថែមទាំងលុប ឬប្តូរឈ្មោះឯកសារដើម្បីគ្របដណ្តប់បទរបស់ពួកគេ។
AppDomainManager Injection: បច្ចេកទេសលួចលាក់
អ្វីដែលកំណត់ការវាយប្រហារនេះខុសពីការវាយប្រហារតាមអ៊ីនធឺណិតផ្សេងទៀតគឺការប្រើប្រាស់ដ៏ឆ្លាតវៃនៃបច្ចេកទេសហៅថា AppDomainManager injection។ ខណៈពេលដែលវាស្តាប់ទៅហាក់ដូចជាស្មុគស្មាញ វិធីសាស្ត្រសំខាន់អនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការកូដព្យាបាទរាល់ពេលដែលកម្មវិធីស្របច្បាប់ចាប់ផ្តើម ដោយមិនមានការជូនដំណឹងណាមួយឡើយ។ យុទ្ធសាស្ត្រនេះថ្មីៗនេះត្រូវបានប្រើប្រាស់ដោយក្រុម Hacker មួយផ្សេងទៀតដែលតម្រង់ជួរជាមួយប្រទេសចិន ដែលបង្ហាញថាបច្ចេកទេសនេះកំពុងទទួលបានប្រជាប្រិយភាពក្នុងចំណោមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទូទាំងពិភពលោក។
ហ្គេមវែង៖ របៀបដែល APT37 គេចពីការរកឃើញ
ហេតុផលមួយដែលយុទ្ធនាការនេះមិនអាចរកឃើញអស់រយៈពេលជាយូរគឺការអត់ធ្មត់របស់អ្នកវាយប្រហារ។ បន្ទាប់ពីដាក់ឱ្យប្រើប្រាស់ VeilShell ដោយជោគជ័យ ពួកគេមិនដំណើរការវាភ្លាមៗទេ។ ផ្ទុយទៅវិញ មេរោគនេះនៅស្ងៀមរហូតដល់ប្រព័ន្ធត្រូវបានដំណើរការឡើងវិញ។ ការធ្វើឱ្យសកម្មដែលពន្យារពេលនេះ រួមផ្សំជាមួយនឹងរយៈពេលនៃការគេងយូរ (ផ្អាកក្នុងការប្រតិបត្តិ) ធ្វើឱ្យមេរោគពិបាករកឃើញដោយឧបករណ៍សុវត្ថិភាពប្រពៃណី។ បច្ចេកទេសទាំងនេះជួយឱ្យពួក Hacker ជៀសវាងការរកឃើញក្នុងរយៈពេលយូរ ដែលអនុញ្ញាតឱ្យពួកគេប្រមូលព័ត៌មានសម្ងាត់ និងរក្សាការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ផលប៉ះពាល់ និងការគំរាមកំហែងនាពេលអនាគត
របកគំហើញថ្មីនេះ បន្ថែមលើការព្រួយបារម្ភកាន់តែខ្លាំងឡើងលើសមត្ថភាពអ៊ីនធឺណិតរបស់កូរ៉េខាងជើង។ ក្រុមដូចជា APT37, Lazarus , និង Kimsuky សុទ្ធតែត្រូវបានផ្សារភ្ជាប់ទៅនឹង ការវាយប្រហារតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋដែលមានគោលបំណងធ្វើចារកម្ម ចំណេញផ្នែកហិរញ្ញវត្ថុ និងការបំផ្លិចបំផ្លាញ។ ជាមួយនឹងការកើនឡើងនៃការប្រើប្រាស់ឧបករណ៍ស្មុគ្រស្មាញដូចជា VeilShell ក្រុមទាំងនេះបង្កការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិតជាសកល។
អ្នកជំនាញព្រមានថា យុទ្ធនាការនេះអាចរីករាលដាលយ៉ាងងាយស្រួលហួសពីអាស៊ីអាគ្នេយ៍ ដោយសារក្រុម Hacker របស់កូរ៉េខាងជើងមានប្រវត្តិវាយប្រហារតំបន់ជាច្រើន រួមទាំងសហរដ្ឋអាមេរិក និងអឺរ៉ុបផងដែរ។ ជាការពិត ប៉ុន្មានថ្ងៃមុនការរកឃើញរបស់ VeilShell ក្រុមកូរ៉េខាងជើងមួយផ្សេងទៀតដែលត្រូវបានគេស្គាល់ថា Andariel បានបើកការវាយប្រហារប្រឆាំងនឹងអង្គការរបស់សហរដ្ឋអាមេរិកនៅក្នុងយុទ្ធនាការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ។
ការការពារប្រឆាំងនឹង VeilShell និងការគំរាមកំហែងស្រដៀងគ្នា
សម្រាប់ស្ថាប័ន និងបុគ្គល នេះបង្ហាញពីសារៈសំខាន់នៃការរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការប៉ុនប៉ងលួចបន្លំលំពែង និងធានាថាប្រព័ន្ធទាំងអស់ត្រូវបានធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់ជាមួយនឹងបំណះសុវត្ថិភាពចុងក្រោយបំផុត។ នេះគឺជាគន្លឹះមួយចំនួនដើម្បីកាត់បន្ថយហានិភ័យនៃការវាយប្រហារបែបនេះ៖
- សូមប្រយ័ត្នចំពោះអ៊ីមែលដែលមិនបានរំពឹងទុក៖ ប្រសិនបើអ្នកទទួលបានអ៊ីមែលដែលមានឯកសារភ្ជាប់ ឬតំណដែលអ្នកមិនរំពឹងទុក សូមគិតពីរដងមុនពេលចុចវា។
- រក្សាកម្មវិធីឱ្យទាន់សម័យ៖ ការជួសជុលប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីជាប្រចាំអាចជួយបិទគម្លាតសុវត្ថិភាពដែលអ្នកវាយប្រហារកេងប្រវ័ញ្ច។
សរុបសេចក្តីមក មេរោគ VeilShell និងយុទ្ធនាការ SHROUDED#SLEEP គឺជាការរំឮកយ៉ាងច្បាស់អំពីការគំរាមកំហែងដែលមិនធ្លាប់មាននៅក្នុងពិភពសុវត្ថិភាពអ៊ីនធឺណិត។ ដោយរក្សាការប្រុងប្រយ័ត្ន និងចាត់វិធានការសន្តិសុខយ៉ាងសកម្ម បុគ្គល និងអាជីវកម្មអាចស្ថិតនៅមួយជំហានមុនអ្នកបង្កគ្រោះថ្នាក់ទាំងនេះ។