- ដោយ Admin
- Nov 20, 2025
កំពុងផ្ទុក...
កំពុងផ្ទុក...
ចង្កោមសកម្មភាពគំរាមកំហែងដែលមិនធ្លាប់ស្គាល់ពីមុនមកត្រូវបានគេសង្កេតឃើញថាបានក្លែងបន្លំខ្លួនជាក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតស្លូវ៉ាគី ESET ដែលជាផ្នែកមួយនៃការវាយប្រហារបន្លំដែលកំណត់គោលដៅអង្គភាពអ៊ុយក្រែន។
យុទ្ធនាការនេះ ដែលត្រូវបានរកឃើញនៅក្នុងខែឧសភា ឆ្នាំ២០២៥ ត្រូវបានតាមដានដោយក្រុមសន្តិសុខក្រោមឈ្មោះហៅក្រៅ InedibleOchotense ដោយពណ៌នាថាមានសម្ព័ន្ធភាពជាមួយរុស្ស៊ី។
ESET បាននិយាយនៅក្នុងរបាយការណ៍សកម្មភាព APT របស់ខ្លួនត្រីមាសទី២ ឆ្នាំ២០២៥-ត្រីមាសទី៣ ឆ្នាំ២០២៥ ដែលបានចែករំលែកជាមួយ The Hacker News ថា "InedibleOchotense បានផ្ញើអ៊ីមែលបន្លំបន្លំ និងសារជាអក្សរ Signal ដែលមានតំណភ្ជាប់ទៅកាន់កម្មវិធីដំឡើង ESET ដែលមានមេរោគ ទៅកាន់អង្គភាពអ៊ុយក្រែនជាច្រើន"។
InedibleOchotense ត្រូវបានវាយតម្លៃថាចែករំលែកការត្រួតស៊ីគ្នាខាងយុទ្ធសាស្ត្រជាមួយយុទ្ធនាការដែលបានកត់ត្រាដោយ EclecticIQ ដែលពាក់ព័ន្ធនឹងការដាក់ពង្រាយទ្វារក្រោយមួយហៅថា BACKORDER និងដោយ CERT-UA ជា UAC-0212 ដែលវាពិពណ៌នាថាជាចង្កោមរងនៅក្នុងក្រុមលួចចូល Sandworm (ហៅកាត់ថា APT44)។
ខណៈពេលដែលសារអ៊ីមែលត្រូវបានសរសេរជាភាសាអ៊ុយក្រែន ESET បាននិយាយថា បន្ទាត់ទីមួយប្រើពាក្យរុស្ស៊ី ដែលទំនងជាបង្ហាញពីកំហុសវាយអក្សរ ឬកំហុសបកប្រែ។ អ៊ីមែលនេះ ដែលអះអាងថាមកពី ESET អះអាងថា ក្រុមត្រួតពិនិត្យរបស់ខ្លួនបានរកឃើញដំណើរការគួរឱ្យសង្ស័យដែលទាក់ទងនឹងអាសយដ្ឋានអ៊ីមែលរបស់ពួកគេ ហើយកុំព្យូទ័ររបស់ពួកគេអាចប្រឈមនឹងហានិភ័យ។
សកម្មភាពនេះគឺជាការប៉ុនប៉ងទាញយកអត្ថប្រយោជន៍ពីការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃកម្មវិធី ESET នៅក្នុងប្រទេស និងកេរ្តិ៍ឈ្មោះម៉ាករបស់ខ្លួន ដើម្បីបញ្ឆោតអ្នកទទួលឱ្យដំឡើងកម្មវិធីដំឡើងដែលមានគំនិតអាក្រក់ដែលបង្ហោះនៅលើដែនដូចជា esetsmart[.]com, esetscanner[.]com និង esetremover[.]com។
កម្មវិធីដំឡើងត្រូវបានរចនាឡើងដើម្បីផ្តល់ ESET AV Remover ស្របច្បាប់ រួមជាមួយនឹងបំរែបំរួលនៃទ្វារក្រោយ C# ដែលមានឈ្មោះថា Kalambur (ហៅកាត់ថា SUMBUR) ដែលប្រើបណ្តាញអនាមិក Tor សម្រាប់បញ្ជា និងគ្រប់គ្រង។ វាក៏មានសមត្ថភាពទម្លាក់ OpenSSH និងបើកការចូលប្រើពីចម្ងាយតាមរយៈពិធីការផ្ទៃតុពីចម្ងាយ (RDP) នៅលើច្រក 3389 ផងដែរ។
វាគួរឱ្យកត់សម្គាល់ថា CERT-UA នៅក្នុងរបាយការណ៍មួយដែលបានចេញផ្សាយកាលពីខែមុន បានសន្មតថាយុទ្ធនាការស្ទើរតែដូចគ្នាទៅនឹង UAC-0125 ដែលជាក្រុមរងមួយផ្សេងទៀតនៅក្នុង Sandworm។
ការវាយប្រហារ Sandworm Wiper នៅអ៊ុយក្រែន
យោងតាម ESET មេរោគ Sandworm បានបន្តបង្កើតយុទ្ធនាការបំផ្លិចបំផ្លាញនៅក្នុងប្រទេសអ៊ុយក្រែន ដោយបានបើកដំណើរការមេរោគ wiper ពីរប្រភេទដែលត្រូវបានតាមដានថាជា ZEROLOT និង Sting ដែលមានគោលដៅទៅលើសាកលវិទ្យាល័យមួយដែលគ្មានឈ្មោះក្នុងខែមេសា ឆ្នាំ២០២៥ បន្ទាប់មកដោយការដាក់ពង្រាយមេរោគជាច្រើនប្រភេទដែលបំផ្លាញទិន្នន័យដែលកំណត់គោលដៅលើវិស័យរដ្ឋាភិបាល ថាមពល ភស្តុភារ និងគ្រាប់ធញ្ញជាតិ។
ក្រុមហ៊ុនបាននិយាយថា "ក្នុងអំឡុងពេលនេះ យើងបានសង្កេតឃើញ និងបញ្ជាក់ថាក្រុម UAC-0099 បានធ្វើប្រតិបត្តិការចូលប្រើដំបូង ហើយបន្ទាប់មកបានផ្ទេរគោលដៅដែលមានសុពលភាពទៅ Sandworm សម្រាប់សកម្មភាពតាមដាន"។ "ការវាយប្រហារបំផ្លិចបំផ្លាញទាំងនេះដោយ Sandworm គឺជាការរំលឹកថា wiper នៅតែជាឧបករណ៍ញឹកញាប់របស់អ្នកគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយរុស្ស៊ីនៅក្នុងប្រទេសអ៊ុយក្រែន"។
RomCom ទាញយកអត្ថប្រយោជន៍ពី WinRAR 0-Day ក្នុងការវាយប្រហារ
ភ្នាក់ងារគំរាមកំហែងមួយផ្សេងទៀតដែលមានសម្ព័ន្ធភាពជាមួយរុស្ស៊ី ដែលសកម្មក្នុងអំឡុងពេលនោះគឺ RomCom (ហៅកាត់ថា Storm-0978, Tropical Scorpius, UNC2596, ឬ Void Rabisu) ដែលបានចាប់ផ្តើមយុទ្ធនាការបន្លំលួចទិន្នន័យនៅពាក់កណ្តាលខែកក្កដា ឆ្នាំ 2025 ដែលបានប្រើប្រាស់ភាពងាយរងគ្រោះរបស់ WinRAR (CVE-2025-8088, ពិន្ទុ CVSS: 8.8) ជាផ្នែកមួយនៃការវាយប្រហារដែលផ្តោតលើក្រុមហ៊ុនហិរញ្ញវត្ថុ ផលិតកម្ម ការពារជាតិ និងភស្តុភារនៅអឺរ៉ុប និងកាណាដា។
ESET បាននិយាយថា "ការប៉ុនប៉ងទាញយកអត្ថប្រយោជន៍ដោយជោគជ័យបានបញ្ជូនច្រកខាងក្រោយជាច្រើនដែលប្រើដោយក្រុម RomCom ជាពិសេសវ៉ារ្យ៉ង់ SnipBot [ហៅកាត់ថា SingleCamper ឬ RomCom RAT 5.0] គឺ RustyClaw និងភ្នាក់ងារ Mythic"។
នៅក្នុងប្រវត្តិរូបលម្អិតរបស់ RomCom នៅចុងខែកញ្ញា ឆ្នាំ២០២៥ AttackIQ បានកំណត់លក្ខណៈក្រុមលួចចូលប្រព័ន្ធថាកំពុងតាមដានយ៉ាងដិតដល់ចំពោះការវិវឌ្ឍភូមិសាស្ត្រនយោបាយជុំវិញសង្គ្រាមនៅអ៊ុយក្រែន ហើយប្រើប្រាស់ពួកគេដើម្បីអនុវត្តសកម្មភាពប្រមូលព័ត៌មានសម្ងាត់ និងការលួចយកទិន្នន័យដែលទំនងជាគាំទ្រដល់គោលបំណងរបស់រុស្ស៊ី។
អ្នកស្រាវជ្រាវសន្តិសុខ Francis Guibernau បាននិយាយថា "ដំបូងឡើយ RomCom ត្រូវបានបង្កើតឡើងជាមេរោគទំនិញឧក្រិដ្ឋកម្មអេឡិចត្រូនិក ដែលត្រូវបានរចនាឡើងដើម្បីសម្រួលដល់ការដាក់ពង្រាយ និងការបន្តនៃបន្ទុកមេរោគ ដែលអាចឱ្យវារួមបញ្ចូលទៅក្នុងប្រតិបត្តិការ ransomware លេចធ្លោ និងផ្តោតលើការជំរិតទារប្រាក់"។ "RomCom បានផ្លាស់ប្តូរពីទំនិញដែលជំរុញដោយប្រាក់ចំណេញសុទ្ធសាធ ទៅជាឧបករណ៍ប្រើប្រាស់ដែលប្រើប្រាស់ក្នុងប្រតិបត្តិការរដ្ឋជាតិ"។
