សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ UNC3886 Cyber Espionage Group

UNC3886 Cyber Espionage Group

ដោយ Mezo ក្នុង មេរោគ, ទ្វារក្រោយ
បកប្រែទៅ៖
ភាសាខ្មែរ

អង្គភាពចារកម្មអ៊ីនធឺណេតដែលភ្ជាប់ជាមួយប្រទេសចិន UNC3886 បាននិងកំពុងកំណត់គោលដៅយ៉ាងសកម្មទៅលើរ៉ោតទ័រ MX ចុងក្រោយបង្អស់ ដើម្បីដាក់ពង្រាយ backdoors ផ្ទាល់ខ្លួន។ យុទ្ធនាការនេះគូសបញ្ជាក់អំពីសមត្ថភាពរបស់ពួកគេក្នុងការជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញផ្ទៃក្នុង ដោយប្រើប្រាស់ backdoors ជាមួយនឹងសមត្ថភាពសកម្ម និងអកម្ម។ បំរែបំរួលមួយចំនួនថែមទាំងមានស្គ្រីបដែលបានបង្កប់ដែលត្រូវបានរចនាឡើងដើម្បីបិទយន្តការកត់ត្រា ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការដោយមិនបានរកឃើញ។

ក្រុមគំរាមកំហែងដែលកំពុងវិវត្ត

UNC3886 មានប្រវត្តិនៃការប្រើប្រាស់ភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុងឧបករណ៍ Fortinet, Ivanti និង VMware ដើម្បីបំពានបណ្តាញ និងបង្កើតការបន្តរយៈពេលវែង។ ប្រតិបត្តិការចុងក្រោយនេះតំណាងឱ្យការវិវត្តនៃបច្ចេកទេសរបស់ពួកគេ ដោយផ្តោតលើផ្នែករឹងបណ្តាញដែលជារឿយៗខ្វះការត្រួតពិនិត្យសុវត្ថិភាព។

ចាប់តាំងពីសកម្មភាពដែលបានចងក្រងជាឯកសារលើកដំបូងរបស់ពួកគេក្នុងខែកញ្ញា ឆ្នាំ 2022 UNC3886 បានបង្ហាញពីជំនាញខ្ពស់ក្នុងការកំណត់គោលដៅឧបករណ៍គែម និងបច្ចេកវិទ្យានិម្មិត សំដៅលើវិស័យការពារជាតិ បច្ចេកវិទ្យា និងទូរគមនាគមន៍នៅសហរដ្ឋអាមេរិក និងអាស៊ី។

ហេតុអ្វីបានជាឧបករណ៍កំណត់ផ្លូវ?

ថ្មីៗនេះ សត្រូវដែលជំរុញដោយចារកម្ម បានផ្លាស់ប្តូរឆ្ពោះទៅរកឧបករណ៍កំណត់ផ្លូវដែលសម្របសម្រួល។ តាមរយៈការទទួលបានការគ្រប់គ្រងលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ អ្នកវាយប្រហារអាចរក្សាការចូលប្រើប្រាស់បានយូរ ខណៈពេលដែលមានសក្តានុពលក្នុងការធ្វើសកម្មភាពរំខាននៅពេលអនាគត។

ការតភ្ជាប់ TinyShell: អាវុធនៃជម្រើស

សកម្មភាពចុងក្រោយបំផុតដែលត្រូវបានរកឃើញនៅពាក់កណ្តាលឆ្នាំ 2024 ពាក់ព័ន្ធនឹងការផ្សាំដោយផ្អែកលើ TinyShell ដែលជា backdoor C-based ទម្ងន់ស្រាលដែលពេញចិត្តដោយក្រុម hacking របស់ចិនដូចជា Liminal Panda និង Velvet Ant ។ ធម្មជាតិប្រភពបើកចំហរបស់ TinyShell ធ្វើឱ្យវាក្លាយជាជម្រើសជាក់ស្តែង ដោយផ្តល់នូវភាពងាយស្រួលនៃការប្ដូរតាមបំណង ខណៈពេលដែលធ្វើឱ្យស្មុគស្មាញដល់គុណលក្ខណៈ។

អ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណ backdoors ផ្សេងគ្នាចំនួនប្រាំមួយដោយផ្អែកលើ TinyShell ដែលនីមួយៗមានមុខងារផ្ទាល់ខ្លួនរបស់វា៖

  • appid (A Poorly Plagiarized Implant Daemon) – ផ្តល់នូវការផ្ទេរឯកសារ សែលអន្តរកម្ម ប្រូកស៊ី SOCKS និងការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ C2 ។
  • ទៅ (TooObvious) - ស្រដៀងទៅនឹង appid ប៉ុន្តែមានម៉ាស៊ីនមេ C2 ផ្សេងគ្នា។
  • irad (Internet Remote Access Daemon) – ដើរតួនាទីជា backdoor អកម្ម ដោយប្រើ packet sniffing តាមរយៈ ICMP packets។
  • lmpad (Daemon មេម៉ូរីបំណះការវាយលុកមូលដ្ឋាន) - ប្រើការចាក់ដំណើរការដើម្បីគេចពីការកាប់ឈើ។
  • jdosd (Junos Denial of Service Daemon) - UDP backdoor ដែលមានសមត្ថភាពសែលពីចម្ងាយ។
  • oemd (Obscure Enigmatic Malware Daemon) - ផ្ទាំងខាងក្រោយអកម្មដោយប្រើ TCP ដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ។

ឆ្លងកាត់ការការពារសុវត្ថិភាព Junos OS

អ្នកវាយប្រហារបានបង្កើតវិធីសាស្រ្តដើម្បីប្រតិបត្តិមេរោគ ទោះបីជាមានការការពាររបស់ Junos OS របស់ Verified Exec (verieexec) ដែលត្រូវបានរចនាឡើងដើម្បីការពារការប្រតិបត្តិកូដដោយគ្មានការអនុញ្ញាតក៏ដោយ។ តាមរយៈការទទួលបានសិទ្ធិចូលប្រើដោយម៉ាស៊ីនមេ ពួកវាបញ្ចូលបន្ទុកព្យាបាទទៅក្នុងដំណើរការស្របច្បាប់ ដោយធានាបាននូវភាពស្ថិតស្ថេរ ខណៈពេលដែលគេចចេញពីការរកឃើញ។

ឧបករណ៍ច្រើនទៀតនៅក្នុង Attack Arsenal

ក្រៅពី TinyShell backdoors UNC3886 ដាក់ពង្រាយឧបករណ៍បន្ថែម៖

  • សត្វល្មូន & Medusa - Rootkits សម្រាប់ការតស៊ូដោយសម្ងាត់។
  • PITHOOK - ប្រើដើម្បីប្លន់ការផ្ទៀងផ្ទាត់ SSH និងចាប់យកព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ។
  • GHOSTTOWN - រចនាឡើងសម្រាប់គោលបំណងប្រឆាំងនឹងការធ្វើកោសល្យវិច្ច័យ។

ស្ថាប័នដែលប្រើប្រាស់ឧបករណ៍ Juniper ត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យធ្វើបច្ចុប្បន្នភាពពួកវាទៅកំណែកម្មវិធីបង្កប់ចុងក្រោយបំផុត ដើម្បីកាត់បន្ថយការគំរាមកំហែងទាំងនេះ។

ការវាយប្រហារមួយទៀត តារាគំរាមមួយទៀត?

គួរឱ្យចាប់អារម្មណ៍ យុទ្ធនាការដាច់ដោយឡែកមួយដែលមានឈ្មោះថា J-Magic បានកំណត់គោលដៅលើរ៉ោតទ័រ Juniper ថ្នាក់សហគ្រាសដោយប្រើវ៉ារ្យ៉ង់ backdoor ដែលគេស្គាល់ថាជា cd00r ។ ទោះជាយ៉ាងណាក៏ដោយ សកម្មភាពនេះត្រូវបានសន្មតថាជាក្រុមផ្សេងគ្នាដែលភ្ជាប់ជាមួយប្រទេសចិនគឺ UNC4841 ដោយមិនដឹងពីទំនាក់ទំនងរបស់ UNC3886 ទៅលើរ៉ោតទ័រ Juniper ចុងក្រោយនៃជីវិត។

ការទាញយក CVE-2025-21590 សម្រាប់ការតស៊ូ

Juniper Networks បានបញ្ជាក់ថា ការឆ្លងថ្មីៗនេះបានកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះយ៉ាងហោចណាស់មួយ - CVE-2025-21590 (ពិន្ទុ CVSS v4: 6.7)។ កំហុសនេះត្រូវបានរកឃើញនៅក្នុងខឺណែល Junos OS អនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធិខ្ពស់អាចបញ្ចូលកូដតាមអំពើចិត្ត ដែលទីបំផុតធ្វើឱ្យខូចដល់ភាពសុចរិតរបស់ឧបករណ៍។

បំណះត្រូវបានចេញផ្សាយនៅក្នុង Junos OS កំណែ 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.24R, និង អង្គការត្រូវតែធានាថាពួកគេកំពុងដំណើរការកំណែដែលបានធ្វើបច្ចុប្បន្នភាពទាំងនេះ។

UNC3886: អនុបណ្ឌិតនៃការបំបាំងកាយ និងការតស៊ូ

ជំនាញរបស់ UNC3886 នៅក្នុងប្រព័ន្ធខាងក្នុងកម្រិតខ្ពស់គឺបង្ហាញឱ្យឃើញនៅក្នុងការប្រើប្រាស់ជាយុទ្ធសាស្ត្ររបស់ខ្លួនលើការបិទខាងក្រោយអកម្ម ការជ្រៀតជ្រែកកំណត់ហេតុ និងការគេចវេសពីការធ្វើកោសល្យវិច្ច័យ។ គោលដៅចម្បងរបស់វានៅតែស្ថិតស្ថេរយូរអង្វែង ខណៈពេលដែលកាត់បន្ថយហានិភ័យនៃការរកឃើញ ដែលបង្កឱ្យមានបញ្ហាប្រឈមផ្នែកសន្តិសុខអ៊ីនធឺណិតដែលកំពុងបន្ត និងសំខាន់។

 

និន្នាការ

កម្មវិធី Koaiw

កម្មវិធីដែលមិនចង់បានសក្តានុពល, Adware, មេរោគ
កម្មវិធីដែលមិនចង់បានដែលអាចកើតមាន (PUPs) ប្រហែលជាមិនតែងតែបង្កគ្រោះថ្នាក់នៅពេលក្រឡេកមើលដំបូងឡើយ ប៉ុន្តែជារឿយៗពួកវាបង្ហាញពីហានិភ័យដែលប៉ះពាល់ដល់ដំណើរការ សុវត្ថិភាព និងភាពឯកជនរបស់ឧបករណ៍។...

មើលច្រើនបំផុត

'iPhone របស់អ្នកត្រូវបាន Hack' លេចឡើង

Adware
26,210
ដោយសារបច្ចេកវិទ្យាត្រូវបានដាក់បញ្ចូលទៅក្នុងជីវិតប្រចាំថ្ងៃរបស់យើងយ៉ាងខ្លាំង ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងស្វែងរកវិធីថ្មីដើម្បីទាញយកភាពងាយរងគ្រោះសម្រាប់ចេតនាព្យាបាទរបស់ពួកគេ។...

មេរោគ

ការបន្លំ, សារឥតបានការ
23,936
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...
កំពុង​ផ្ទុក...