- ដោយ Admin
- Mar 18, 2026
កំពុងផ្ទុក...
កំពុងផ្ទុក...
ភ្នាក់ងារគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុម្នាក់ ដែលគេស្គាល់ថាជា Storm-2561 បានដំណើរការយុទ្ធនាការលួចអត្តសញ្ញាណប័ណ្ណចាប់តាំងពីខែឧសភា ឆ្នាំ 2025 ដោយរៀបចំចំណាត់ថ្នាក់ម៉ាស៊ីនស្វែងរក ដើម្បីជំរុញកម្មវិធី VPN ក្លែងក្លាយទៅកាន់អ្នកប្រើប្រាស់សហគ្រាស។
យុទ្ធនាការនេះផ្តោតលើបុគ្គលិកដែលកំពុងស្វែងរកឧបករណ៍ដូចជា Pulse Secure, Fortinet និង Ivanti ដោយបញ្ជូនពួកគេទៅកាន់គេហទំព័រក្លែងក្លាយដែលបម្រើកញ្ចប់ទាញយកដែលមានគំនិតអាក្រក់។
នៅពេលដែលជនរងគ្រោះដំឡើងកម្មវិធីក្លែងក្លាយ វាប្រមូលអត្តសញ្ញាណប័ណ្ណ VPN ដោយស្ងាត់ៗ ហើយផ្ញើវាទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារដោយមិនបង្កឱ្យមានការព្រមានដែលអាចមើលឃើញណាមួយឡើយ។
Storm-2561 រៀបចំ SEO ដើម្បីជំរុញគេហទំព័រក្លែងក្លាយទៅកំពូលនៃលទ្ធផលស្វែងរកសម្រាប់សំណួរដូចជា "ការទាញយក Pulse VPN" ឬ "អតិថិជន Pulse Secure"។
អ្នកប្រើប្រាស់ដែលចុចលើលទ្ធផលទាំងនេះ ចុះចតនៅលើទំព័រដែលបង្កើតឡើងដើម្បីមើលទៅដូចគ្នាបេះបិទទៅនឹងវិបផតថលអ្នកលក់ VPN ពិតប្រាកដ រួមជាមួយនឹងឡូហ្គោ និងប៊ូតុងទាញយកដែលត្រូវគ្នា។
ឯកសារ ZIP ដែលមានគំនិតអាក្រក់ត្រូវបានបង្ហោះនៅលើឃ្លាំង GitHub ដែលត្រូវបានដកចេញចាប់តាំងពីពេលនោះមក។
មេរោគ Trojan ត្រូវបានចុះហត្ថលេខាឌីជីថលដោយវិញ្ញាបនបត្រដែលចេញឱ្យ "Taiyuan Lihua Near Information Technology Co., Ltd." — វិញ្ញាបនបត្រមួយដែលត្រូវបានដកហូតវិញចាប់តាំងពីពេលនោះមក។
អ្នកជំនាញ Microsoft Defender បានកំណត់អត្តសញ្ញាណយុទ្ធនាការនេះនៅពាក់កណ្តាលខែមករា ឆ្នាំ២០២៦ ដោយសន្មតថាវាជារបស់ Storm-2561 ជាផ្នែកមួយនៃគំរូនៃការចែកចាយមេរោគដែលគេស្គាល់តាមរយៈការរំលោភបំពាន SEO និងការក្លែងបន្លំកម្មវិធី។
អ្នកវិភាគ Microsoft Threat Intelligence បានកត់សម្គាល់ថា សកម្មភាពនេះស្របនឹងឥរិយាបថដែលជំរុញដោយហិរញ្ញវត្ថុដែលក្រុមនេះបានបង្ហាញចាប់តាំងពីយ៉ាងហោចណាស់ខែឧសភា ឆ្នាំ២០២៥។
ការផ្គូផ្គងគេហទំព័រក្លែងក្លាយប្រាកដនិយមជាមួយនឹងហត្ថលេខាឌីជីថលដែលមើលទៅស្របច្បាប់ឆ្លុះបញ្ចាំងពីការខិតខំប្រឹងប្រែងដោយចេតនាដើម្បីកាត់បន្ថយការសង្ស័យរបស់អ្នកប្រើប្រាស់ និងពង្រីកវិសាលភាពនៃយុទ្ធនាការ។
អ្វីដែលធ្វើឱ្យការគំរាមកំហែងនេះពិបាករកឃើញជាពិសេសគឺអ្វីដែលកើតឡើងភ្លាមៗបន្ទាប់ពីការលួចអត្តសញ្ញាណ។ កម្មវិធី VPN ក្លែងក្លាយបង្ហាញសារកំហុសដ៏គួរឱ្យជឿជាក់ បន្ទាប់មកណែនាំជនរងគ្រោះឱ្យទាញយកកម្មវិធី VPN ពិតប្រាកដពីគេហទំព័រអ្នកលក់ផ្លូវការ។
ប្រសិនបើកម្មវិធីស្របច្បាប់ដំឡើង និងភ្ជាប់ជាធម្មតា ជនរងគ្រោះមិនមានហេតុផលដើម្បីសង្ស័យថាអត្តសញ្ញាណរបស់ពួកគេត្រូវបានគេយករួចហើយនោះទេ។ មិនមានសញ្ញាដែលអាចមើលឃើញនៃការសម្របសម្រួលទេ ហើយជនរងគ្រោះភាគច្រើននៅតែមិនដឹងខ្លួនទាំងស្រុង។
ផលប៉ះពាល់កាន់តែទូលំទូលាយធ្លាក់ទៅលើអង្គការសហគ្រាសដែលពឹងផ្អែកលើការចូលប្រើ VPN សម្រាប់ប្រតិបត្តិការពីចម្ងាយ។ អត្តសញ្ញាណប័ណ្ណដែលត្រូវបានលួចអនុញ្ញាតឱ្យមានចលនាចំហៀងឆ្លងកាត់បណ្តាញសាជីវកម្ម ការចូលប្រើទិន្នន័យដែលគ្មានការអនុញ្ញាត និងការវាយប្រហារជាបន្តបន្ទាប់ដែលបំផ្លិចបំផ្លាញបន្ថែមទៀត។
ដោយសារតែយុទ្ធនាការនេះធ្វើត្រាប់តាមម៉ាក VPN ជាច្រើនដែលគួរឱ្យទុកចិត្ត ក្រុមជនរងគ្រោះពង្រីកនៅទូទាំងឧស្សាហកម្ម និងតំបន់ជាច្រើន។
នៅខាងក្នុងយន្តការឆ្លងមេរោគ
ការវាយប្រហារនេះបញ្ជូនបន្ទុករបស់វាតាមរយៈកញ្ចប់ Windows Installer (MSI) ដែលលាក់នៅក្នុងឯកសារ ZIP ។
នៅពេលដែលជនរងគ្រោះដំណើរការ MSI ក្លែងក្លាយ - ដែលក្លែងបន្លំជាអ្នកដំឡើង Pulse Secure - វាទម្លាក់ Pulse.exe រួមជាមួយឯកសារ DLL ព្យាបាទពីរគឺ dwmapi.dll និង inspector.dll ដែលទាំងអស់ត្រូវបានដំឡើងនៅក្រោម %CommonFiles%\Pulse Secure ដើម្បីធ្វើត្រាប់តាមផ្លូវដំឡើងស្របច្បាប់។
.png)
ឯកសារ dwmapi.dll ដំណើរការជាឧបករណ៍ផ្ទុកក្នុងអង្គចងចាំ ដោយប្រតិបត្តិលេខកូដសែលដែលផ្ទុក inspector.dll — ដែលជាវ៉ារ្យ៉ង់របស់ Hyrax infostealer។
Hyrax ចាប់យកព័ត៌មានសម្ងាត់ VPN ដែលបានបញ្ចូលតាមរយៈអេក្រង់ចូលក្លែងក្លាយ ហើយអានទិន្នន័យកំណត់រចនាសម្ព័ន្ធដែលបានរក្សាទុកពី C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat ដោយផ្ញើអ្វីៗគ្រប់យ៉ាងទៅ 194.76.226[.]93:8080។
ដើម្បីរក្សាភាពស្ថិតស្ថេរ មេរោគបានបន្ថែម Pulse.exe ទៅក្នុងសោចុះបញ្ជី Windows RunOnce ដែលធ្វើឱ្យវាដំណើរការដោយស្វ័យប្រវត្តិនៅរាល់ពេលដែលឧបករណ៍ចាប់ផ្តើមឡើងវិញ។
ហត្ថលេខាឌីជីថលនៅលើឯកសារព្យាបាទទាំងនេះអនុញ្ញាតឱ្យពួកវារំលងការព្រមានសុវត្ថិភាព Windows ស្តង់ដារ និងគោលការណ៍អនុញ្ញាតកម្មវិធីមួយចំនួន។
.jpg)
Microsoft បានរកឃើញឯកសារបន្ថែមដែលមានវិញ្ញាបនបត្រដូចគ្នា រួមទាំងកម្មវិធីដំឡើងក្លែងក្លាយសម្រាប់ GlobalProtect VPN និង Sophos Connect ដែលបង្ហាញថាយុទ្ធនាការនេះពង្រីកលើសពីម៉ាកក្លែងក្លាយតែមួយ។
ដើម្បីកាត់បន្ថយហានិភ័យពីការគំរាមកំហែងនេះ អ្នកប្រើប្រាស់គួរតែទាញយកកម្មវិធីដោយផ្ទាល់ពីគេហទំព័រអ្នកលក់ផ្លូវការ ហើយជៀសវាងតំណភ្ជាប់ទាញយកដែលផ្តល់ជូនតាមរយៈលទ្ធផលស្វែងរក។
ការអនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តាលើគណនីទាំងអស់គឺមានសារៈសំខាន់ណាស់ ព្រោះពាក្យសម្ងាត់ VPN ដែលត្រូវបានគេលួចតែម្នាក់ឯងមិនអាចផ្តល់សិទ្ធិចូលប្រើបានទេនៅពេលដែល MFA មាន។
អង្គការនានាគួរតែដំណើរការឧបករណ៍រកឃើញចំណុចបញ្ចប់ និងឆ្លើយតបក្នុងរបៀបប្លុក បើកការការពារបណ្តាញ និងគេហទំព័រទាំងសងខាង និងអនុវត្តច្បាប់កាត់បន្ថយផ្ទៃវាយប្រហារដើម្បីរារាំងឯកសារដែលអាចប្រតិបត្តិបានដែលមិនគួរឱ្យទុកចិត្ត។
បុគ្គលិកមិនគួររក្សាទុកព័ត៌មានសម្គាល់សហគ្រាសនៅក្នុងកម្មវិធីរុករកទេ ហើយក្រុមសន្តិសុខគួរតែស៊ើបអង្កេតឯកសារណាមួយដែលចុះហត្ថលេខាដោយអាជ្ញាធរវិញ្ញាបនបត្រដែលមិនស្គាល់ ឬទើបតែត្រូវបានលុបចោលថ្មីៗនេះ។
