ក្រុម APT សហរដ្ឋអាមេរិក “NightHawk” ត្រូវបានរកឃើញថា បានវាយប្រហារយូរអង្វែងលើវិស័យសំខាន់ៗ របស់ចិន

ថ្មីៗ នេះ មន្ទីរ ពិសោធន៍​សន្តិសុខ​អ៊ីនធឺណិត នៃ​ក្រុមហ៊ុន Qi’anxin របស់​ប្រទេស​ចិន បានបង្ហាញ​នូវ​ឧប្បត្តិហេតុ​សន្តិសុខ​អ៊ីនធឺណិត​ដ៏​គួរឱ្យភ្ញាក់ផ្អើល​មួយ។ អង្គការ APT របស់​អាមេរិក​មួយ​ឈ្មោះថា “NightEagle” (​លេខ​ខាងក្នុង APT-Q-95) បាននិងកំពុង​ចាប់ផ្តើម​ការវាយប្រហារ​តាម​អ៊ីនធឺណិត​លើ​ក្រុមហ៊ុន និង​អង្គភាព​កំពូលៗ ​នៅក្នុង​ប្រទេស​ចិន បច្ចេកវិទ្យា​ខ្ពស់ បន្ទះ​ឈី​ប បច្ចេកវិទ្យា quantum បញ្ញា​សិប្បនិមិត្ត និង​ម៉ូ​ដែល​ធំ ឧស្សាហកម្ម​យោធា និង​ឧស្សាហកម្ម​ផ្សេងទៀត​ ចាប់តាំងពី​ឆ្នាំ ២០២៣ ដោយ​ព្យាយាម​លួច​ស៊ើបការណ៍​សំខាន់ៗ។

សូមចុច Subscribe Channel Telegram កម្ពុជាថ្មី ដើម្បីទទួលបានព័ត៌មានថ្មីៗទាន់ចិត្ត

នៅក្នុង​ពិព័រណ៍ និង​សន្និសីទ​ការពារ​តាម​អ៊ីនធឺណិត​ជាតិ​ម៉ាឡេស៊ី ឆ្នាំ ២០២៥ វាគ្មិន​មកពី Qi An Xin បានបង្ហាញ​ពី​សកម្មភាព​វាយប្រហារ​ជា​ប្រវត្តិសាស្ត្រ និង​វិធានការ​ការពារ​ជាក់លាក់​របស់​អង្គការ “Nighthawk” ហើយ​បាន​ចែករំលែក IOCs និង​ដំណោះស្រាយ​ការរកឃើញ​របស់ “Nighthawk”។ ដំបូង​ឡើយ ប្រព័ន្ធ Sky Eye របស់ Qi An Xin បាន​ចាប់យក​សំណើ DNS មិនធម្មតា​នៅក្នុង​ការវិភាគ​ដ៏​ឆ្លាត​វៃ។ ឈ្មោះ​ដែន​ស្នើសុំ​ គឺ synologyupdates.com។ ឈ្មោះ​ដែន​ ត្រូវបាន​ក្លែងបន្លំ​ជា​អ្នកផ្តល់​សេវា NAS Synology។ Qi An Xin បាន​ប្រើ​វិធីសាស្ត្រ​ពិសេស ​ដើម្បី​លាក់ IP server ពិតប្រាកដ។ បន្ទាប់ពី​ការ​វិភាគ​ដោយ​ស្វ័យប្រវត្តិ​ដោយ AISOC របស់ Qi An Xin វា​ត្រូវបាន​រកឃើញថា​ ឈ្មោះ​ដែន​មាន​សំណើ​ដំណោះស្រាយ​ជាច្រើន​នៅក្នុង​អ៊ី​ន​ត្រា​ណែ​ត រៀងរាល់ ៤ ម៉ោង​ម្តង ដោយ​បង្កឱ្យមាន​ការ​ជូន​ដំណឹង។ ការស៊ើបអង្កេត​បន្ថែម​បាន​រកឃើញថា ​មាន Trojan គ្រួសារ Chisel ផ្ទាល់ខ្លួន​ដែល​ត្រូវបាន​ចងក្រង​ជា​ភាសា Go នៅក្នុង​ម៉ាស៊ីន​គ្រប់គ្រង ​នៃ intranet ដែល​អ្នក​វាយប្រហារ​ប្រើ​ដើម្បី​ជ្រៀតចូល​អ៊ី​ន​ត្រា​ណែត។

ការវិភាគ​ស៊ីជម្រៅ​បាន​រកឃើញថា អង្គការ “Nighthawk” មាន​ល្បិចកល​បំផុត។ វា​មាន​អាវុធ​ខ្សែ​សង្វាក់​កេងប្រវ័ញ្ច​ភាព​ងាយ​រងគ្រោះ Exchange ដែល​មិន​ស្គាល់ ដែល​ទទួលបាន machineKey នៃ​ម៉ាស៊ីន​មេ Exchange តាមរយៈ​ភាព​ងាយ​រងគ្រោះ 0day មិន​ស្គាល់ ធ្វើ​ប្រតិបត្តិការ deserialization ហើយ​បន្ទាប់មក​បញ្ចូល Trojans និង​អាន​ទិន្នន័យ​ប្រអប់​សំបុត្រ​ពី​ចម្ងាយ​។ ដោយសារ​មិន​ស្គាល់​កំណែ​ផ្លាស់ប្តូរ​អ៊ី​ន​ត្រា​ណែ​ត​គោលដៅ អ្នក​វាយប្រហារ​ នឹង​សាកល្បង​លេខ​កំណែ​ស្ទើរតែ​ទាំងអស់​នៅ​លើ​ទីផ្សារ​។ ជាមួយគ្នានេះ អង្គការ​ ក៏បាន​ប្រើប្រាស់​អាវុធ​បណ្តាញ​ពិសេស Trojan ក្នុង​ទម្រង់​ជា​សេះ​សតិ​។ Trojan នឹងមិន​ចុះចត​នៅលើ​ថាស​ទេ ហើយនឹង​ត្រូវបាន​សម្អាត​ដោយ​ស្វ័យប្រវត្តិ​បន្ទាប់ពី​ការវាយប្រហារ​។ វា​ពិបាក​ក្នុងការ​រកឃើញ​។ បច្ចុប្បន្ន​សំណាក​ពាក់ព័ន្ធ​កំពុង​ស្ថិត​ក្នុង​ស្ថានភាព​គ្មាន​ការ​សម្លាប់។

ការវាយប្រហារ​របស់​អង្គការ “Nighthawk” មាន​លក្ខណៈ​ជាក់ស្តែង​។ ពេលវេលា​វាយប្រហារ​ត្រូវបាន​ជួសជុល​នៅ​ម៉ោង ២១:០០ ដល់ ៦:០០ ព្រឹក​ ម៉ោង​នៅ​ទីក្រុង​ប៉េកាំង​។ បន្ទាប់ពី​ការវិភាគ​តំបន់​ម៉ោង គេ​បាន​សន្និដ្ឋាន​ថា អ្នក​វាយប្រហារ​មកពី​តំបន់​ទី​ ៨​ ខាងលិច​។ គួបផ្សំ​នឹង​គោលដៅ​វាយប្រហារ និង​ផលប្រយោជន៍ វា​ត្រូវបាន​វិនិច្ឆ័យ​ថា គាត់​មកពី​សហរដ្ឋអាមេរិក​។ អង្គការ​នេះ ​ត្រូវ​បានផ្តល់​មូលនិធិ​យ៉ាង​ល្អ ហើយ​ឈ្មោះ​ដែន​វាយប្រហារ​នីមួយៗ ​គឺ​ត្រូវ​បានកំណត់​គោលដៅ​តែ​អង្គភាព​មួយ​ប៉ុណ្ណោះ ហើយ Trojans គឺ​ខុសគ្នា​។ អ្នក​ចុះបញ្ជី​ឈ្មោះ​ដែន Trojan ដែល​ប្រើ​ដោយ​ពួកគេ​ភាគច្រើន​គឺ Tucows។ ដំណោះស្រាយ​ឈ្មោះ​ដែន​មាន​ទិសដៅ​ជាក់លាក់​មួយ​នៅក្នុង​ដំណើរការ​ចង្វាក់បេះដូង និង​ដំណើរការ​គ្រប់គ្រង​។ កម្មវិធី Trojan ត្រូវបាន​ផ្ទុក និង​ដំណើរការ​ដោយ​កិច្ចការ ឬ​សេវាកម្ម​ដែល​បាន​កំណត់ពេល ហើយ​មាន​ចន្លោះ​ពេល​ចង្វាក់បេះដូង​ថេរ​សម្រាប់​សំណើ​ឈ្មោះ​ដែន។

អ្នកជំនាញ​ផ្នែក​សុវត្ថិភាព​បណ្តាញ​រំលឹកថា ​ប្រសិនបើ​អ្នករក​ឃើញថា​ឈ្មោះ​ដែន​ដែល​ពាក់ព័ន្ធ​ត្រូវ​បាន​ភ្ជាប់​មកវិញ អ្នក​គួរតែ​ពិនិត្យមើល​ម៉ាស៊ីន​មេ Exchange mail ជាបន្ទាន់​ ដើម្បី​មើលថា ​តើ​មាន​ឯកសារ​គួរឱ្យ​សង្ស័យ​ណាមួយ​នៅក្នុង​ថត​ដែល​បាន​បញ្ជាក់ ហើយ​ពិនិត្យ​មើលថា​ តើ​មាន​ខ្សែ​អក្សរ​ស្នើសុំ URL ជាក់លាក់ និង​ខ្សែ UserAgent នៅ​ក្នុង​ឯកសារ​កំណត់ហេតុ​សេវាកម្ម​សំបុត្រ​ដែរ​ឬ​ទេ៕