បច្ចេកវិទ្យា

ក្រុមAPT របស់សហរដ្ឋអាមេរិក “NightHawk” ត្រូវបានរកឃើញថា បានវាយប្រហារយូរអង្វែង លើវិស័យសំខាន់ៗរបស់ចិន

ភ្នំពេញ៖ ថ្មីៗនេះ មន្ទីរពិសោធន៍សន្តិសុខ អ៊ីនធឺណិត នៃក្រុមហ៊ុន Qi’anxin របស់ប្រទេសចិន បានបង្ហាញនូវឧប្បត្តិហេតុសន្តិសុខ អ៊ីនធឺណិត ដ៏គួរឱ្យភ្ញាក់ផ្អើលមួយ ។ អង្គការ APT របស់អាមេរិកមួយឈ្មោះថា “NightEagle” (លេខខាងក្នុង APT-Q-95) បាននិងកំពុងចាប់ផ្តើមការ វាយប្រហារតាមអ៊ីនធឺណិត លើក្រុមហ៊ុន និងអង្គភាពកំពូលៗនៅក្នុងប្រទេសចិន បច្ចេកវិទ្យាខ្ពស់ បន្ទះឈីប បច្ចេកវិទ្យា quantum បញ្ញាសិប្បនិមិត្ត និងម៉ូដែលធំ ឧស្សាហកម្មយោធា និងឧស្សាហកម្មផ្សេងទៀតចាប់តាំងពីឆ្នាំ ២០២៣ ដោយព្យាយាមលួចស៊ើបការណ៍សំខាន់ៗ ។

នៅក្នុងពិព័រណ៍និងសន្នីសិទការពារ តាមអ៊ីនធឺណិតជាតិម៉ាឡេស៊ី ឆ្នាំ២០២៥ វាគ្មិនមកពី Qi An Xin បានបង្ហាញពីសកម្មភាពវាយប្រហារជាប្រវត្តិសាស្ត្រ និងវិធានការការពារជាក់លាក់របស់អង្គការ “Nighthawk” ហើយបានចែករំលែក IOCs និងដំណោះស្រាយការរកឃើញរបស់ “Nighthawk” ។ ដំបូងឡើយ ប្រព័ន្ធ Sky Eye របស់ Qi An Xin បានចាប់យកសំណើ DNS មិនធម្មតានៅក្នុងការវិភាគដ៏ឆ្លាតវៃ។ ឈ្មោះដែនស្នើសុំគឺ synologyupdates.com ។ ឈ្មោះដែនត្រូវបានក្លែងបន្លំជាអ្នកផ្តល់សេវា NAS Synology ។ Qi An Xin បានប្រើវិធីសាស្រ្តពិសេសដើម្បីលាក់ IP server ពិតប្រាកដ ។ បន្ទាប់ពីការវិភាគ ដោយស្វ័យប្រវត្តិ ដោយ AISOC របស់ Qi An Xin វាត្រូវបានរកឃើញថា ឈ្មោះដែនមានសំណើដំណោះស្រាយ ជាច្រើននៅក្នុងអ៊ីនត្រាណែត រៀងរាល់ ៤ ម៉ោងម្តង ដោយបង្កឱ្យមានការជូនដំណឹង។ ការស៊ើបអង្កេតបន្ថែមបានរកឃើញថាមាន Trojan គ្រួសារ Chisel ផ្ទាល់ខ្លួនដែលត្រូវបានចងក្រងជាភាសា Go នៅក្នុងម៉ាស៊ីនគ្រប់គ្រងនៃ intranet ដែលអ្នកវាយប្រហារប្រើដើម្បីជ្រៀតចូលអ៊ីនត្រាណែត។

ការវិភាគស៊ីជម្រៅបានរកឃើញថា អង្គការ “Nighthawk” មានល្បិចកលបំផុត។ វាមានអាវុធខ្សែសង្វាក់កេងប្រវ័ញ្ចភាពងាយរងគ្រោះ Exchange ដែលមិនស្គាល់ ដែលទទួលបាន machineKey នៃម៉ាស៊ីនមេ Exchange តាមរយៈភាពងាយរងគ្រោះ 0day មិនស្គាល់ ធ្វើប្រតិបត្តិការ deserialization ហើយបន្ទាប់មក បញ្ចូល Trojans និង អានទិន្នន័យប្រអប់សំបុត្រពីចម្ងាយ ។ ដោយសារមិនស្គាល់កំណែផ្លាស់ប្តូរអ៊ីនត្រាណែត គោលដៅ អ្នកវាយប្រហារ នឹងសាកល្បងលេខ កំណែស្ទើរតែទាំងអស់នៅលើទីផ្សារ ។ ជាមួយគ្នានេះ អង្គការក៏បានប្រើប្រាស់ អាវុធបណ្តាញពិសេស Trojan ក្នុងទម្រង់ជាសេះសតិ ។ Trojan នឹងមិនចុះចតនៅលើថាសទេ ហើយនឹងត្រូវបាន សម្អាតដោយស្វ័យ ប្រវត្តិបន្ទាប់ពីការវាយប្រហារ។ វាពិបាកក្នុងការរកឃើញ ។ បច្ចុប្បន្នសំណាកពាក់ព័ន្ធ កំពុងស្ថិតក្នុងស្ថានភាពគ្មានការសម្លាប់ ។
ការវាយប្រហាររបស់អង្គការ “Nighthawk” មានលក្ខណៈជាក់ស្តែង។ ពេលវេលាវាយប្រហារត្រូវបានជួសជុលនៅម៉ោង ២១:០០ ដល់ ៦:០០ ព្រឹកម៉ោងនៅទីក្រុងប៉េកាំង។ បន្ទាប់ពីការវិភាគតំបន់ម៉ោង គេបានសន្និដ្ឋានថា អ្នកវាយប្រហារមកពីតំបន់ទី៨ខាងលិច។ គួបផ្សំនឹងគោលដៅវាយប្រហារ និងផលប្រយោជន៍ វាត្រូវបានវិនិច្ឆ័យថា គាត់មកពីសហរដ្ឋអាមេរិក។ អង្គការនេះ ត្រូវបានផ្តល់មូលនិធិយ៉ាងល្អ ហើយឈ្មោះដែនវាយប្រហារនីមួយៗ គឺត្រូវបានកំណត់គោលដៅតែអង្គភាពមួយប៉ុណ្ណោះ ហើយ Trojans គឺខុសគ្នា ។ អ្នកចុះបញ្ជីឈ្មោះដែន Trojan ដែលប្រើដោយពួកគេភាគច្រើនគឺ Tucows ។ ដំណោះស្រាយឈ្មោះដែនមានទិសដៅជាក់លាក់មួយ នៅក្នុងដំណើរការចង្វាក់បេះដូង និងដំណើរការគ្រប់គ្រង។ កម្មវិធី Trojan ត្រូវបានផ្ទុក និងដំណើរការដោយកិច្ចការ ឬសេវាកម្មដែលបានកំណត់ពេល ហើយមានចន្លោះពេលចង្វាក់បេះដូងថេរ សម្រាប់សំណើឈ្មោះដែន។

អ្នកជំនាញផ្នែកសុវត្ថិភាពបណ្តាញរំលឹកថា ប្រសិនបើអ្នករកឃើញថាឈ្មោះដែនដែលពាក់ព័ន្ធត្រូវបានភ្ជាប់មកវិញ អ្នកគួរតែពិនិត្យមើលម៉ាស៊ីនមេ Exchange mail ជាបន្ទាន់ដើម្បីមើលថា តើមានឯកសារគួរឱ្យសង្ស័យណាមួយនៅក្នុងថត ដែលបានបញ្ជាក់ ហើយពិនិត្យមើលថាតើមានខ្សែអក្សរស្នើសុំ URL ជាក់លាក់ និងខ្សែ UserAgent នៅក្នុងឯកសារកំណត់ហេតុសេវាកម្ម សំបុត្រដែរឬទេ ៕ អត្ថបទ៖ ដោយលោកឈីង រ៉ា

To Top