APT31 ដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនបើកការវាយប្រហារតាមអ៊ីនធឺណិតដោយលួចលាក់លើ IT របស់រុស្ស៊ីដោយប្រើប្រាស់សេវាកម្ម Cloud

ក្រុមគំរាមកំហែង​ដ៏​ខ្លាំងក្លា​ (APT) ដែល​មាន​ទំនាក់ទំនង​ជាមួយ​ប្រទេស​ចិន ដែល​គេ​ស្គាល់​ថា APT31 ត្រូវ​បាន​គេ​សន្មត​ថា​ជា​ផ្នែក​មួយ​នៃ​ការ​វាយប្រហារ​តាម​អ៊ីនធឺណិត​ដែល​កំណត់​គោលដៅ​លើ​វិស័យ​បច្ចេកវិទ្យា​ព័ត៌មាន (IT) របស់​រុស្ស៊ី​រវាង​ឆ្នាំ 2024 និង 2025 ខណៈ​ដែល​នៅ​តែ​មិន​ត្រូវ​បាន​គេ​ចាប់​ខ្លួន​អស់​រយៈពេល​យូរ។

អ្នកស្រាវជ្រាវ​បច្ចេកវិទ្យា​វិជ្ជមាន Daniil Grigoryan និង Varvara Koloskova បាន​និយាយ​នៅ​ក្នុង​របាយការណ៍​បច្ចេកទេស​មួយ​ថា "ក្នុង​រយៈពេល​ចាប់ពី​ឆ្នាំ 2024 ដល់ 2025 វិស័យ IT របស់​រុស្ស៊ី ជាពិសេស​ក្រុមហ៊ុន​ដែល​ធ្វើការ​ជា​អ្នកម៉ៅការ និង​អ្នក​រួមបញ្ចូល​ដំណោះស្រាយ​សម្រាប់​ភ្នាក់ងារ​រដ្ឋាភិបាល បាន​ប្រឈម​នឹង​ការ​វាយប្រហារ​តាម​កុំព្យូទ័រ​ជា​បន្តបន្ទាប់"។

APT31 ដែល​ត្រូវ​បាន​គេ​ស្គាល់​ថា​ជា Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres និង Violet Typhoon (ពីមុន​ជា Zirconium) ត្រូវ​បាន​វាយតម្លៃ​ថា​មាន​សកម្មភាព​តាំងពី​យ៉ាងហោចណាស់​ឆ្នាំ 2010។ វា​មាន​កំណត់ត្រា​នៃ​ការ​វាយប្រហារ​លើ​វិស័យ​ជាច្រើន រួម​ទាំង​រដ្ឋាភិបាល ហិរញ្ញវត្ថុ និង​អាកាសចរណ៍ និង​ការពារជាតិ បច្ចេកវិទ្យា​ខ្ពស់ សំណង់ និង​វិស្វកម្ម ទូរគមនាគមន៍ ប្រព័ន្ធ​ផ្សព្វផ្សាយ និង​ធានារ៉ាប់រង។

ក្រុមចារកម្មតាមអ៊ីនធឺណិតនេះផ្តោតសំខាន់លើការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ដែលអាចផ្តល់ឱ្យទីក្រុងប៉េកាំង និងសហគ្រាសរដ្ឋនូវអត្ថប្រយោជន៍នយោបាយ សេដ្ឋកិច្ច និងយោធា។ នៅក្នុងខែឧសភា ឆ្នាំ២០២៥ ក្រុមលួចចូលប្រព័ន្ធកុំព្យូទ័រត្រូវបានសាធារណរដ្ឋឆេកស្តីបន្ទោសចំពោះការកំណត់គោលដៅក្រសួងការបរទេសរបស់ខ្លួន។

ការវាយប្រហារដែលផ្តោតលើប្រទេសរុស្ស៊ីត្រូវបានកំណត់លក្ខណៈដោយការប្រើប្រាស់សេវាកម្មពពកស្របច្បាប់ ដែលភាគច្រើនជាសេវាកម្មដែលមាននៅក្នុងប្រទេស ដូចជា Yandex Cloud សម្រាប់ការបញ្ជា និងការគ្រប់គ្រង (C2) និងការលួចយកទិន្នន័យ ក្នុងការប៉ុនប៉ងលាយឡំជាមួយចរាចរណ៍ធម្មតា និងការរកឃើញការរត់គេចខ្លួន។

សត្រូវក៏ត្រូវបានគេនិយាយថាបានរៀបចំពាក្យបញ្ជា និងបន្ទុកដែលបានអ៊ិនគ្រីបនៅក្នុងទម្រង់ប្រព័ន្ធផ្សព្វផ្សាយសង្គម ទាំងក្នុងស្រុក និងបរទេស ខណៈពេលដែលក៏ធ្វើការវាយប្រហាររបស់ពួកគេក្នុងអំឡុងពេលចុងសប្តាហ៍ និងថ្ងៃឈប់សម្រាកផងដែរ។ នៅក្នុងការវាយប្រហារយ៉ាងហោចណាស់មួយដែលកំណត់គោលដៅក្រុមហ៊ុន IT មួយ APT31 បានទម្លុះបណ្តាញរបស់ខ្លួនតាំងពីចុងឆ្នាំ២០២២ មុនពេលបង្កើនសកម្មភាពស្របពេលជាមួយនឹងថ្ងៃឈប់សម្រាកឆ្នាំថ្មីឆ្នាំ២០២៣។

នៅក្នុងការឈ្លានពានមួយផ្សេងទៀតដែលត្រូវបានរកឃើញនៅក្នុងខែធ្នូ ឆ្នាំ២០២៤ ភ្នាក់ងារគំរាមកំហែងបានផ្ញើអ៊ីមែលបន្លំលួចទិន្នន័យដែលមានបណ្ណសារ RAR ដែលរួមបញ្ចូលផ្លូវកាត់ Windows (LNK) ដែលទទួលខុសត្រូវចំពោះការបើកដំណើរការកម្មវិធីផ្ទុក Cobalt Strike ដែលមានឈ្មោះថា CloudyLoader តាមរយៈការផ្ទុក DLL ចំហៀង។ ព័ត៌មានលម្អិតនៃសកម្មភាពនេះត្រូវបានកត់ត្រាទុកពីមុនដោយ Kaspersky ក្នុងខែកក្កដា ឆ្នាំ២០២៥ ខណៈពេលដែលកំណត់អត្តសញ្ញាណការត្រួតស៊ីគ្នាមួយចំនួនជាមួយនឹងចង្កោមគំរាមកំហែងដែលគេស្គាល់ថា EastWind។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតរបស់រុស្ស៊ីក៏បាននិយាយផងដែរថា ខ្លួនបានកំណត់អត្តសញ្ញាណការល្បួងបណ្ណសារ ZIP ដែលក្លែងបន្លំជារបាយការណ៍ពីក្រសួងការបរទេសប៉េរូដើម្បីដាក់ពង្រាយ CloudyLoader នៅទីបំផុត។

ដើម្បីសម្រួលដល់ដំណាក់កាលបន្តបន្ទាប់នៃវដ្តនៃការវាយប្រហារ APT31 បានទាញយកអត្ថប្រយោជន៍ពីសំណុំឧបករណ៍ដែលមានជាសាធារណៈ និងផ្ទាល់ខ្លួនយ៉ាងទូលំទូលាយ។ ការតស៊ូត្រូវបានសម្រេចដោយការរៀបចំភារកិច្ចដែលបានកំណត់ពេល ដែលធ្វើត្រាប់តាមកម្មវិធីស្របច្បាប់ ដូចជា Yandex Disk និង Google Chrome។ ក្នុងចំណោមពួកវាមួយចំនួនត្រូវបានរាយខាងក្រោម -

-SharpADUserIP ដែលជាឧបករណ៍ប្រើប្រាស់ C# សម្រាប់ការឈ្លបយកការណ៍ និងការរកឃើញ

-SharpChrome.exe ដើម្បីទាញយកពាក្យសម្ងាត់ និងខូគីពីកម្មវិធីរុករក Google Chrome និង Microsoft Edge

-SharpDir ដើម្បីស្វែងរកឯកសារ

-StickyNotesExtract.exe ដើម្បីទាញយកទិន្នន័យពីមូលដ្ឋានទិន្នន័យ Windows Sticky Notes

-Tailscale VPN ដើម្បីបង្កើតផ្លូវរូងក្រោមដីដែលបានអ៊ិនគ្រីប និងរៀបចំបណ្តាញ peer-to-peer -(P2P) រវាងម៉ាស៊ីនដែលរងការសម្របសម្រួល និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេ

-ផ្លូវរូងក្រោមដីអភិវឌ្ឍន៍ Microsoft ដើម្បីរុករកចរាចរណ៍ផ្លូវរូងក្រោមដី

-Owawa ដែលជាម៉ូឌុល IIS ព្យាបាទសម្រាប់ការលួចអត្តសញ្ញាណ

-AufTime ដែលជាទ្វារខាងក្រោយ Linux ដែលប្រើបណ្ណាល័យ wolfSSL ដើម្បីទំនាក់ទំនងជាមួយ C2

-COFFProxy ដែលជាទ្វារខាងក្រោយ Golang ដែលគាំទ្រពាក្យបញ្ជាសម្រាប់ការរុករកចរាចរណ៍ផ្លូវរូងក្រោមដី ការប្រតិបត្តិពាក្យបញ្ជា ការគ្រប់គ្រងឯកសារ និងការចែកចាយបន្ទុកបន្ថែម

-VtChatter ដែលជាឧបករណ៍ដែលប្រើមតិយោបល់ដែលបានអ៊ិនកូដ Base64 ទៅកាន់ឯកសារអត្ថបទដែលបង្ហោះនៅលើ VirusTotal ជាឆានែល C2 ទ្វេផ្លូវរៀងរាល់ពីរម៉ោងម្តង

-OneDriveDoor ដែលជា ទ្វារខាងក្រោយដែលប្រើ Microsoft OneDrive ជា C2

-LocalPlugX ដែលជាបំរែបំរួលនៃ PlugX ដែលត្រូវបានប្រើដើម្បីរីករាលដាលនៅក្នុងបណ្តាញក្នុងស្រុក ជាជាងការទំនាក់ទំនងជាមួយ C2

-CloudSorcerer ដែលជាទ្វារខាងក្រោយដែលប្រើសេវាកម្ម cloud ជា C2

-YaLeak ដែលជាឧបករណ៍ .NET ដើម្បីផ្ទុកឡើងព័ត៌មានទៅ Yandex Cloud

"APT31 កំពុងបំពេញបន្ថែមឃ្លាំងអាវុធរបស់ខ្លួនជានិច្ច៖ ទោះបីជាពួកគេបន្តប្រើប្រាស់ឧបករណ៍ចាស់ៗមួយចំនួនរបស់ពួកគេក៏ដោយ" Positive Technologies បាននិយាយ។ "ក្នុងនាមជា C2 អ្នកវាយប្រហារប្រើប្រាស់សេវាកម្ម cloud យ៉ាងសកម្ម ជាពិសេសសេវាកម្ម Yandex និង Microsoft OneDrive។ ឧបករណ៍ជាច្រើនក៏ត្រូវបានកំណត់រចនាសម្ព័ន្ធឱ្យដំណើរការក្នុងរបៀបម៉ាស៊ីនមេ ដោយរង់ចាំអ្នកវាយប្រហារភ្ជាប់ទៅម៉ាស៊ីនដែលឆ្លងមេរោគ"។

"លើសពីនេះ ការដាក់ជាក្រុមនេះលួចទិន្នន័យតាមរយៈការផ្ទុកពពករបស់ Yandex។ ឧបករណ៍ និងបច្ចេកទេសទាំងនេះអនុញ្ញាតឱ្យ APT31 នៅស្ងៀមដោយមិនមាននរណាកត់សម្គាល់នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ជនរងគ្រោះអស់រយៈពេលជាច្រើនឆ្នាំ។ ក្នុងពេលជាមួយគ្នានេះ អ្នកវាយប្រហារបានទាញយកឯកសារ និងប្រមូលព័ត៌មានសម្ងាត់ពីឧបករណ៍ រួមទាំងពាក្យសម្ងាត់ពីប្រអប់សំបុត្រ និងសេវាកម្មផ្ទៃក្នុងរបស់ជនរងគ្រោះ"។