យុទ្ធនាការវាយប្រហារប្រតិបត្តិការ Olalampo

ក្រុមគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយរដ្ឋអ៊ីរ៉ង់ MuddyWater ដែលត្រូវបានតាមដានផងដែរថាជា Earth Vetala, Mango Sandstorm និង MUDDYCOAST បានចាប់ផ្តើមយុទ្ធនាការតាមអ៊ីនធឺណិតថ្មីមួយដែលមានឈ្មោះថា Operation Olalampo។ ប្រតិបត្តិការនេះផ្តោតជាចម្បងលើអង្គការ និងបុគ្គលនៅទូទាំងតំបន់មជ្ឈិមបូព៌ា និងអាហ្វ្រិកខាងជើង (MENA)។

យុទ្ធនាការនេះត្រូវបានរកឃើញជាលើកដំបូងនៅថ្ងៃទី 26 ខែមករា ឆ្នាំ 2026 ហើយបានណែនាំក្រុមគ្រួសារមេរោគថ្មីជាច្រើន ខណៈពេលដែលកំពុងប្រើប្រាស់សមាសធាតុដែលធ្លាប់ភ្ជាប់ជាមួយក្រុមនេះឡើងវិញ។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខរាយការណ៍ថា សកម្មភាពនេះឆ្លុះបញ្ចាំងពីការបន្តនៃគំរូប្រតិបត្តិការដែលបានបង្កើតឡើងរបស់ MuddyWater ដែលពង្រឹងវត្តមានជាប់លាប់របស់ខ្លួននៅទូទាំងតំបន់ META (មជ្ឈិមបូព៌ា តួកគី និងអាហ្វ្រិក)។

វ៉ិចទ័រឆ្លង និងខ្សែសង្វាក់វាយប្រហារ

យុទ្ធនាការនេះអនុវត្តតាមវិធីសាស្រ្តឈ្លានពានដែលធ្លាប់ស្គាល់ ស្របនឹងប្រតិបត្តិការ MuddyWater មុនៗ។ ការចូលប្រើដំបូងជាធម្មតាចាប់ផ្តើមជាមួយអ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់ Microsoft Office ព្យាបាទ។ ឯកសារទាំងនេះបង្កប់កូដម៉ាក្រូដែលត្រូវបានរចនាឡើងដើម្បីឌិគ្រីប និងប្រតិបត្តិបន្ទុកទិន្នន័យនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះ ដែលនៅទីបំផុតផ្តល់ការគ្រប់គ្រងពីចម្ងាយដល់អ្នកវាយប្រហារ។

ការវាយប្រហារផ្សេងៗគ្នាជាច្រើនត្រូវបានគេសង្កេតឃើញ៖

• ឯកសារ Microsoft Excel ដ៏ព្យាបាទមួយជំរុញឱ្យជនរងគ្រោះបើកដំណើរការម៉ាក្រូ ដែលបង្កឱ្យមានការដាក់ពង្រាយ CHAR backdoor ដែលមានមូលដ្ឋានលើ Rust។
• វ៉ារ្យ៉ង់ដែលពាក់ព័ន្ធមួយផ្តល់នូវកម្មវិធីទាញយក GhostFetch ដែលបន្ទាប់មកដំឡើងការផ្សាំ GhostBackDoor។
• ខ្សែសង្វាក់នៃការឆ្លងមេរោគទីបីប្រើប្រាស់ល្បិចកលដូចជាសំបុត្រយន្តហោះ ឬរបាយការណ៍ប្រតិបត្តិការ ជាជាងការធ្វើពុតជាក្រុមហ៊ុនថាមពល និងសេវាកម្មសមុទ្រនៅមជ្ឈិមបូព៌ា ដើម្បីចែកចាយកម្មវិធីទាញយក HTTP_VIP។ វ៉ារ្យ៉ង់នេះដំឡើងកម្មវិធីកុំព្យូទ័រលើតុពីចម្ងាយ AnyDesk សម្រាប់ការចូលប្រើជាអចិន្ត្រៃយ៍។

លើសពីនេះ ក្រុមនេះត្រូវបានគេសង្កេតឃើញថាកំពុងកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលទើបបង្ហាញថ្មីៗនៅក្នុងម៉ាស៊ីនមេដែលប្រឈមមុខនឹងអ៊ីនធឺណិត ដើម្បីទទួលបានសិទ្ធិចូលប្រើដំបូងទៅកាន់បរិស្ថានគោលដៅ។

ឃ្លាំង​មេរោគ៖ ឧបករណ៍​កែច្នៃ​តាម​តម្រូវការ និង​ការ​ផ្សាំ​ម៉ូឌុល

ប្រតិបត្តិការ Olalampo ពឹងផ្អែកលើប្រព័ន្ធអេកូឡូស៊ីមេរោគពហុដំណាក់កាលដែលមានរចនាសម្ព័ន្ធ ដែលត្រូវបានរចនាឡើងសម្រាប់ការឈ្លបយកការណ៍ ការតស៊ូ និងការបញ្ជាពីចម្ងាយ។ ឧបករណ៍ចម្បងដែលបានកំណត់អត្តសញ្ញាណនៅក្នុងយុទ្ធនាការនេះរួមមាន៖

GhostFetch – កម្មវិធីទាញយកដំណាក់កាលទីមួយដែលកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធដែលរងការសម្របសម្រួលដោយការផ្ទៀងផ្ទាត់ចលនាកណ្ដុរ និងគុណភាពបង្ហាញអេក្រង់ រកឃើញឧបករណ៍បំបាត់កំហុស កំណត់អត្តសញ្ញាណវត្ថុបុរាណរបស់ម៉ាស៊ីននិម្មិត និងពិនិត្យមើលកម្មវិធីកំចាត់មេរោគ។ វាទាញយក និងប្រតិបត្តិបន្ទុកបន្ទាប់បន្សំដោយផ្ទាល់នៅក្នុងអង្គចងចាំ។

GhostBackDoor – ការបង្កប់ដំណាក់កាលទីពីរដែលផ្តល់ដោយ GhostFetch។ វាអាចឱ្យមានការចូលប្រើសែលអន្តរកម្ម ប្រតិបត្តិការអាន/សរសេរឯកសារ និងអាចចាប់ផ្តើម GhostFetch ឡើងវិញ។

HTTP_VIP – កម្មវិធីទាញយកដើមដែលអនុវត្តការឈ្លបយកការណ៍ប្រព័ន្ធ និងភ្ជាប់ទៅដែនខាងក្រៅ "codefusiontech(dot)org" សម្រាប់ការផ្ទៀងផ្ទាត់។ វាដាក់ពង្រាយ AnyDesk ពីម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ (C2)។ កំណែថ្មីជាងនេះបង្កើនមុខងារជាមួយនឹងការប្រមូលទិន្នន័យជនរងគ្រោះ ការប្រតិបត្តិសែលអន្តរកម្ម ការផ្ទេរឯកសារ ការចាប់យកក្ដារតម្បៀតខ្ទាស់ និងចន្លោះពេល beacon ដែលអាចកំណត់រចនាសម្ព័ន្ធបាន។

CHAR – ច្រកខាងក្រោយដែលមានមូលដ្ឋានលើ Rust ដែលគ្រប់គ្រងតាមរយៈ bot Telegram ដែលត្រូវបានកំណត់ថាជា 'Olalampo' (ឈ្មោះអ្នកប្រើប្រាស់៖ stager_51_bot)។ វាគាំទ្រការរុករកថត និងការប្រតិបត្តិពាក្យបញ្ជា cmd.exe ឬ PowerShell។

មុខងារ PowerShell ដែលភ្ជាប់ជាមួយ CHAR អនុញ្ញាតឱ្យមានការប្រតិបត្តិនៃប្រូកស៊ីបញ្ច្រាស SOCKS5 ឬទ្វារក្រោយបន្ថែមដែលមានឈ្មោះថា Kalim។ វាក៏ជួយសម្រួលដល់ការលួចយកទិន្នន័យកម្មវិធីរុករក និងបើកដំណើរការឯកសារដែលអាចប្រតិបត្តិបានដែលមានស្លាក 'sh.exe' និង 'gshdoc_release_X64_GUI.exe'។

ការអភិវឌ្ឍដែលមានជំនួយពី AI និងការត្រួតស៊ីគ្នានៃកូដ

ការវិភាគបច្ចេកទេសនៃកូដប្រភពរបស់ CHAR បានបង្ហាញពីសូចនាករនៃការអភិវឌ្ឍដែលមានជំនួយពីបញ្ញាសិប្បនិម្មិត។ វត្តមាននៃរូបសញ្ញាអារម្មណ៍នៅក្នុងខ្សែអក្សរបំបាត់កំហុសស្របនឹងការរកឃើញពីមុនដែលបានបង្ហាញដោយ Google ដែលបានរាយការណ៍ថា MuddyWater បាននិងកំពុងពិសោធន៍ជាមួយឧបករណ៍ AI ដើម្បីបង្កើតដើម្បីបង្កើនការអភិវឌ្ឍមេរោគ ជាពិសេសសម្រាប់ការផ្ទេរឯកសារ និងសមត្ថភាពប្រតិបត្តិពីចម្ងាយ។

ការវិភាគបន្ថែមបង្ហាញពីភាពស្រដៀងគ្នាខាងរចនាសម្ព័ន្ធ និងបរិស្ថានរវាង CHAR និងមេរោគ BlackBeard ដែលមានមូលដ្ឋានលើ Rust ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Archer RAT ឬ RUSTRIC ដែលពីមុនត្រូវបានដាក់ពង្រាយដោយក្រុមនេះប្រឆាំងនឹងអង្គភាពមជ្ឈិមបូព៌ា។ ការត្រួតស៊ីគ្នាទាំងនេះបង្ហាញពីបំពង់អភិវឌ្ឍន៍រួមគ្នា និងការកែលម្អឧបករណ៍ម្តងហើយម្តងទៀត។

ការពង្រីកសមត្ថភាព និងចេតនាយុទ្ធសាស្ត្រ

MuddyWater នៅតែជាភ្នាក់ងារគំរាមកំហែងដ៏រឹងមាំ និងកំពុងវិវឌ្ឍនៅក្នុងតំបន់ META។ ការរួមបញ្ចូលគ្នានៃការអភិវឌ្ឍន៍ដែលមានជំនួយពី AI ការកែលម្អជាបន្តបន្ទាប់នៃមេរោគដែលបង្កើតឡើងតាមតម្រូវការ ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលប្រឈមមុខនឹងសាធារណជន និងការធ្វើពិពិធកម្មនៃហេដ្ឋារចនាសម្ព័ន្ធ C2 រួមគ្នាបង្ហាញពីការប្តេជ្ញាចិត្តរយៈពេលវែងចំពោះការពង្រីកប្រតិបត្តិការ។

ប្រតិបត្តិការ Olalampo គូសបញ្ជាក់ពីការផ្តោតអារម្មណ៍ជាបន្តបន្ទាប់របស់ក្រុមលើគោលដៅដែលមានមូលដ្ឋាននៅ MENA និងគូសបញ្ជាក់ពីភាពទំនើបកាន់តែខ្លាំងឡើងនៃសមត្ថភាពឈ្លានពានរបស់ខ្លួន។ អង្គការនានាដែលធ្វើប្រតិបត្តិការនៅក្នុងតំបន់គួរតែរក្សាការប្រុងប្រយ័ត្នខ្ពស់ អនុវត្តការរឹតបន្តឹងម៉ាក្រូ ត្រួតពិនិត្យការទំនាក់ទំនងបញ្ជាការ និងត្រួតពិនិត្យ (C2) ចេញ និងផ្តល់អាទិភាពដល់ការដោះស្រាយភាពងាយរងគ្រោះទាន់ពេលវេលា ដើម្បីកាត់បន្ថយការប៉ះពាល់ទៅនឹងទេសភាពគំរាមកំហែងដែលកំពុងវិវត្តនេះ។