ក្រុម Hacker ថ្មី Punishing Owl ដែលកំណត់គោលដៅបណ្តាញរបស់ទីភ្នាក់ងារសន្តិសុខរដ្ឋាភិបាលរុស្ស៊ី

ក្រុម Hacktivist មួយក្រុមដែលមិនស្គាល់ពីមុនមក ដែលមានឈ្មោះថា Punishing Owl បានលេចចេញជារូបរាងជាមួយនឹងការវាយប្រហារតាមអ៊ីនធឺណិតដ៏ទំនើប ដែលផ្តោតលើភ្នាក់ងារសន្តិសុខរដ្ឋាភិបាលរុស្ស៊ី។

ក្រុមនេះបានបង្ហាញខ្លួនជាលើកដំបូងនៅថ្ងៃទី 12 ខែធ្នូ ឆ្នាំ 2025 នៅពេលដែលពួកគេបានប្រកាសពីការលួចចូលបណ្តាញរបស់ភ្នាក់ងារសន្តិសុខរដ្ឋាភិបាលរុស្ស៊ីដោយជោគជ័យ។

អ្នកវាយប្រហារបានបោះពុម្ពផ្សាយឯកសារផ្ទៃក្នុងដែលត្រូវបានគេលួចនៅលើគេហទំព័រលេចធ្លាយទិន្នន័យ និងបានចម្លងឯកសារនៅលើឃ្លាំង Mega.nz ដោយបង្ហាញពីចេតនារបស់ពួកគេក្នុងការបង្ហាញជាសាធារណៈអំពីការសម្របសម្រួលនេះ។

ក្រុមនេះបានប្រើប្រាស់វិធីសាស្ត្រវាយប្រហារច្រើនដើម្បីពង្រីកផលប៉ះពាល់នៃប្រតិបត្តិការរបស់ពួកគេ។ បន្ទាប់ពីទទួលបានសិទ្ធិចូលប្រើការកំណត់រចនាសម្ព័ន្ធ DNS របស់ជនរងគ្រោះ Punishing Owl បានបង្កើតដែនរង និងកែប្រែកំណត់ត្រា DNS ដើម្បីប្តូរទិសចរាចរណ៍ទៅកាន់ម៉ាស៊ីនមេដែលមានទីតាំងនៅប្រទេសប្រេស៊ីល។

ម៉ាស៊ីនមេនេះបង្ហោះឯកសារដែលត្រូវបានគេលួច រួមជាមួយនឹងសេចក្តីថ្លែងការណ៍នយោបាយដែលពន្យល់ពីគោលបំណងរបស់ពួកគេ។

អ្នកវាយប្រហារបានជ្រើសរើសយុទ្ធសាស្ត្រនៅល្ងាចថ្ងៃសុក្រវេលាម៉ោង 6:37 ល្ងាច ដើម្បីប្រកាសពីការលួចចូល ដោយគណនាពេលវេលាដើម្បីពន្យារពេលកិច្ចខិតខំប្រឹងប្រែងឆ្លើយតប និងធានាបាននូវភាពមើលឃើញអតិបរមានៃសកម្មភាពរបស់ពួកគេ។

បន្ទាប់ពីការរំលោភបំពានដំបូង ក្រុមនេះបានចាប់ផ្តើមការវាយប្រហារសម្របសម្រួលអ៊ីមែលអាជីវកម្មប្រឆាំងនឹងដៃគូ និងអ្នកម៉ៅការរបស់ជនរងគ្រោះ។

អ្នកវិភាគ Habr បានកំណត់អត្តសញ្ញាណថា Punishing Owl បានផ្ញើអ៊ីមែលពីម៉ាស៊ីនមេប្រេស៊ីលដោយប្រើអាសយដ្ឋានដែលបង្កើតឡើងនៅក្នុងដែនអ៊ីមែលរបស់ជនរងគ្រោះ។

សារទាំងនេះបានអះអាងមិនពិតដើម្បីបញ្ជាក់ពីការសម្របសម្រួលបណ្តាញ និងរួមបញ្ចូលសំណើបន្ទាន់ដើម្បីពិនិត្យមើលឯកសារភ្ជាប់។

ហេដ្ឋារចនាសម្ព័ន្ធវាយប្រហារបានបង្ហាញពីភាពស្មុគស្មាញខាងបច្ចេកទេសទោះបីជាមានការលេចចេញថ្មីៗរបស់ក្រុមនេះក៏ដោយ។

Punishing Owl បានកំណត់រចនាសម្ព័ន្ធវិញ្ញាបនបត្រ TLS ក្លែងក្លាយ បង្កើតសេវាកម្ម IMAP និង SMTP សម្រាប់ប្រតិបត្តិការអ៊ីមែល និងដាក់ពង្រាយកម្មវិធីលួច ZipWhisper PowerShell ដើម្បីប្រមូលព័ត៌មានសម្ងាត់កម្មវិធីរុករកពីប្រព័ន្ធដែលឆ្លងមេរោគ។

អ៊ីមែលព្យាបាទមានផ្ទុកបណ្ណសារ ZIP ដែលការពារដោយពាក្យសម្ងាត់ជាមួយនឹងឯកសារ LNK ដែលក្លែងបន្លំដែលបានប្រតិបត្តិពាក្យបញ្ជា PowerShell ដោយទាញយកកម្មវិធីលួចពីម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យនៅ bloggoversikten[.]com។

យន្តការឆ្លងមេរោគ និងការលួចព័ត៌មានសម្ងាត់

កម្មវិធីលួច ZipWhisper ដំណើរការតាមរយៈដំណើរការឆ្លងមេរោគច្រើនដំណាក់កាលដែលត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យកម្មវិធីរុករកដែលងាយរងគ្រោះពីម៉ាស៊ីនដែលរងការសម្របសម្រួល។

នៅពេលដែលជនរងគ្រោះបើកឯកសារ LNK ដែលក្លែងបន្លំ វានឹងប្រតិបត្តិពាក្យបញ្ជា PowerShell ដោយស្ងាត់ៗដែលទាញយកទិន្នន័យផ្ទុកទិន្នន័យរបស់កម្មវិធីលួចពីហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ។

បន្ទាប់មក មេរោគនឹងប្រមូលឯកសារដែលមានព័ត៌មានសម្ងាត់របស់កម្មវិធីរុករកបណ្ដាញ ខូគី និងពាក្យសម្ងាត់ដែលបានរក្សាទុក ដោយវេចខ្ចប់វាទៅក្នុងបណ្ណសារ ZIP ជាមួយនឹងលំនាំដាក់ឈ្មោះជាក់លាក់ ដែលរួមមានឈ្មោះអ្នកប្រើប្រាស់ និងលេខដុំ។

បណ្ណសារទាំងនេះត្រូវបានរក្សាទុកជាបណ្ដោះអាសន្ននៅក្នុងថត AppData/Local/Temp មុនពេលត្រូវបានផ្ទុកឡើងទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យតាមរយៈរចនាសម្ព័ន្ធចំណុចបញ្ចប់ដែលបានប្ដូរតាមបំណង។

ការវិភាគកូដរបស់អ្នកលួចបានបង្ហាញពីមតិយោបល់ដែលបង្ហាញពីលទ្ធភាពនៃការប្រើប្រាស់ឧបករណ៍ AI ដើម្បីបង្កើតផ្នែកខ្លះនៃស្គ្រីបព្យាបាទ ដែលបង្ហាញថាក្រុមនេះអាចកំពុងទាញយកអត្ថប្រយោជន៍ពីបច្ចេកទេសអភិវឌ្ឍន៍ទំនើបដើម្បីពន្លឿនប្រតិបត្តិការរបស់ពួកគេប្រឆាំងនឹងគោលដៅហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរបស់រុស្ស៊ី។