ក្រុម Transparent Tribe ចាប់ផ្តើមការវាយប្រហារ RAT ថ្មីប្រឆាំងនឹងរដ្ឋាភិបាល និងស្ថាប័នសិក្សាឥណ្ឌា

ភ្នាក់ងារគំរាមកំហែងដែលគេស្គាល់ថាជា Transparent Tribe ត្រូវបានគេសន្មតថាជាក្រុមវាយប្រហារថ្មីមួយដែលផ្តោតលើអង្គភាពរដ្ឋាភិបាល ស្ថាប័នសិក្សា និងយុទ្ធសាស្ត្រឥណ្ឌាជាមួយនឹងមេរោគ Trojan ចូលប្រើពីចម្ងាយ (RAT) ដែលផ្តល់ឱ្យពួកគេនូវការគ្រប់គ្រងជាប់លាប់លើម៉ាស៊ីនដែលរងការសម្របសម្រួល។

CYFIRMA បាននិយាយនៅក្នុងរបាយការណ៍បច្ចេកទេសមួយថា "យុទ្ធនាការនេះប្រើប្រាស់បច្ចេកទេសចែកចាយបោកបញ្ឆោត រួមទាំងឯកសារផ្លូវកាត់ Windows (LNK) ដែលក្លែងបន្លំជាឯកសារ PDF ស្របច្បាប់ និងបង្កប់ជាមួយខ្លឹមសារ PDF ពេញលេញដើម្បីគេចពីការសង្ស័យរបស់អ្នកប្រើប្រាស់"។

Transparent Tribe ដែលត្រូវបានគេហៅថា APT36 គឺជាក្រុមលួចចូលដែលត្រូវបានគេស្គាល់ថាបានធ្វើយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតប្រឆាំងនឹងអង្គការឥណ្ឌា។ ដែលត្រូវបានវាយតម្លៃថាមានប្រភពដើមនៅឥណ្ឌា សត្រូវដែលឧបត្ថម្ភដោយរដ្ឋបានសកម្មតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2013។

ភ្នាក់ងារគំរាមកំហែងអួតអាងអំពីឃ្លាំងអាវុធ RATs ដែលកំពុងវិវត្តឥតឈប់ឈរដើម្បីសម្រេចគោលដៅរបស់ខ្លួន។ មេរោគ Trojan មួយចំនួនដែលដាក់ឱ្យប្រើប្រាស់ដោយ Transparent Tribe ក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះរួមមាន CapraRAT, Crimson RAT, ElizaRAT និង DeskRAT។

សំណុំនៃការវាយប្រហារចុងក្រោយបំផុតបានចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំលួចបន្លំដែលមានបណ្ណសារ ZIP ជាមួយឯកសារ LNK ដែលក្លែងបន្លំជា PDF។ ការបើកឯកសារនេះបង្កឱ្យមានការប្រតិបត្តិស្គ្រីបកម្មវិធី HTML (HTA) ពីចម្ងាយដោយប្រើ "mshta.exe" ដែលឌិគ្រីប និងផ្ទុកបន្ទុក RAT ចុងក្រោយដោយផ្ទាល់នៅក្នុងអង្គចងចាំ។ ក្នុងពេលជាមួយគ្នានេះ HTA ទាញយក និងបើកឯកសារ PDF ក្លែងក្លាយ ដើម្បីកុំឱ្យមានការសង្ស័យរបស់អ្នកប្រើប្រាស់

CYFIRMA បានកត់សម្គាល់ថា "បន្ទាប់ពីតក្កវិជ្ជាឌិគ្រីបត្រូវបានបង្កើតឡើង HTA ប្រើប្រាស់វត្ថុ ActiveX ជាពិសេស WScript.Shell ដើម្បីធ្វើអន្តរកម្មជាមួយបរិស្ថាន Windows"។ "ឥរិយាបថនេះបង្ហាញពីការវិភាគបរិស្ថាន និងការរៀបចំពេលវេលាដំណើរការ ដោយធានាបាននូវភាពឆបគ្នាជាមួយប្រព័ន្ធគោលដៅ និងបង្កើនបច្ចេកទេសភាពជឿជាក់នៃការប្រតិបត្តិដែលត្រូវបានគេសង្កេតឃើញជាទូទៅនៅក្នុងមេរោគដែលបំពាន 'mshta.exe'"។

ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់មួយនៃមេរោគនេះគឺសមត្ថភាពរបស់វាក្នុងការសម្របវិធីសាស្ត្ររក្សារបស់វាដោយផ្អែកលើដំណោះស្រាយកំចាត់មេរោគដែលបានដំឡើងនៅលើម៉ាស៊ីនដែលឆ្លងមេរោគ -

- ប្រសិនបើ Kapsersky ត្រូវបានរកឃើញ វាបង្កើតថតឯកសារការងារនៅក្រោម "C:\Users\Public\core\" សរសេរបន្ទុក HTA ដែលលាក់ទុកទៅក្នុងថាស ហើយបង្កើតការរក្សាដោយទម្លាក់ឯកសារ LNK នៅក្នុងថតឯកសារ Windows Startup ដែលវានឹងបើកដំណើរការស្គ្រីប HTA ដោយប្រើ "mshta.exe"។

ប្រសិនបើ Quick Heal ត្រូវបានរកឃើញ វាបង្កើតការរក្សាដោយបង្កើតឯកសារបាច់ និងឯកសារ LNK ព្យាបាទនៅក្នុងថតឯកសារ Windows Startup ដោយសរសេរបន្ទុក HTA ទៅក្នុងថាស ហើយបន្ទាប់មកហៅវាដោយប្រើស្គ្រីបបាច់។

- ប្រសិនបើ Avast, AVG ឬ Avira ត្រូវបានរកឃើញ វាដំណើរការដោយចម្លងបន្ទុកដោយផ្ទាល់ទៅក្នុងថតឯកសារ Startup ហើយប្រតិបត្តិវា

- ប្រសិនបើមិនមានដំណោះស្រាយកំចាត់មេរោគដែលត្រូវបានទទួលស្គាល់ត្រូវបានរកឃើញទេ វាត្រលប់ទៅការរួមបញ្ចូលគ្នានៃការប្រតិបត្តិឯកសារបាច់ ការរក្សាដោយផ្អែកលើបញ្ជីឈ្មោះ និងការដាក់ពង្រាយបន្ទុកមុនពេលបើកដំណើរការស្គ្រីបបាច់។

ឯកសារ HTA ទីពីររួមមាន DLL ដែលមានឈ្មោះថា "iinneldc.dll" ដែលដំណើរការជា RAT ដែលមានលក្ខណៈពិសេសពេញលេញ ដែលគាំទ្រការគ្រប់គ្រងប្រព័ន្ធពីចម្ងាយ។ ការគ្រប់គ្រងឯកសារ ការលួចយកទិន្នន័យ ការថតរូបភាពអេក្រង់ ការរៀបចំក្ដារតម្បៀតខ្ទាស់ និងការគ្រប់គ្រងដំណើរការ។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបាននិយាយថា "APT36 (Transparent Tribe) នៅតែជាការគំរាមកំហែងចារកម្មតាមអ៊ីនធឺណិតដែលមានស្ថេរភាពខ្ពស់ និងជំរុញដោយយុទ្ធសាស្ត្រ ដោយផ្តោតជាបន្តលើការប្រមូលព័ត៌មានស៊ើបការណ៍សម្ងាត់ដែលកំណត់គោលដៅអង្គភាពរដ្ឋាភិបាលឥណ្ឌា ស្ថាប័នអប់រំ និងវិស័យពាក់ព័ន្ធជាយុទ្ធសាស្ត្រផ្សេងទៀត"។

ក្នុងរយៈពេលប៉ុន្មានសប្តាហ៍ថ្មីៗនេះ APT36 ក៏ត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការមួយផ្សេងទៀតដែលប្រើប្រាស់ឯកសារផ្លូវកាត់ព្យាបាទដែលក្លែងបន្លំជា PDF ប្រឹក្សាយោបល់របស់រដ្ឋាភិបាល ("NCERT-Whatsapp-Advisory.pdf.lnk") ដើម្បីបញ្ជូនកម្មវិធីផ្ទុកដែលមានមូលដ្ឋានលើ .NET ដែលបន្ទាប់មកទម្លាក់ឯកសារដែលអាចប្រតិបត្តិបានបន្ថែម និង DLL ព្យាបាទដើម្បីបង្កើតការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ ការឈ្លបយកការណ៍ប្រព័ន្ធ និងការចូលប្រើរយៈពេលវែង។

ផ្លូវកាត់នេះត្រូវបានរចនាឡើងដើម្បីប្រតិបត្តិពាក្យបញ្ជាដែលលាក់បាំងដោយប្រើ cmd.exe ដើម្បីទាញយកកម្មវិធីដំឡើង MSI ("nikmights.msi") ពីម៉ាស៊ីនមេពីចម្ងាយ ("aeroclubofindia.co[.]in") ដែលទទួលខុសត្រូវចំពោះការចាប់ផ្តើមសកម្មភាពជាបន្តបន្ទាប់ -

-ស្រង់ចេញ និងបង្ហាញឯកសារ PDF ក្លែងក្លាយទៅកាន់ជនរងគ្រោះ

ឌិកូដ និងសរសេរឯកសារ DLL ទៅកាន់ "C:\ProgramData\PcDirvs\pdf.dll" និង "C:\ProgramData\PcDirvs\wininet.dll"

-ទម្លាក់ "PcDirvs.exe" ទៅទីតាំងដូចគ្នា ហើយប្រតិបត្តិវាបន្ទាប់ពីការពន្យាពេល 10 វិនាទី

-បង្កើតភាពស្ថិតស្ថេរដោយបង្កើត "PcDirvs.hta" ដែលមាន Visual Basic Script ដើម្បីធ្វើការកែប្រែ Registry ដើម្បីបើកដំណើរការ "PcDirvs.exe" រាល់ពេលបន្ទាប់ពីចាប់ផ្តើមប្រព័ន្ធ

វាគួរឱ្យកត់សម្គាល់ថា PDF ក្លែងក្លាយដែលបង្ហាញគឺជាការណែនាំស្របច្បាប់ដែលចេញដោយក្រុមឆ្លើយតបបន្ទាន់តាមអ៊ីនធឺណិតជាតិនៃប្រទេសប៉ាគីស្ថាន (PKCERT) ក្នុងឆ្នាំ 2024 អំពីយុទ្ធនាការសារ WhatsApp ក្លែងក្លាយដែលកំណត់គោលដៅអង្គភាពរដ្ឋាភិបាលនៅក្នុងប្រទេសប៉ាគីស្ថានជាមួយនឹងឯកសារ WinRAR ព្យាបាទដែលឆ្លងប្រព័ន្ធជាមួយមេរោគ។

DLL "wininet.dll" ភ្ជាប់ទៅហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យ (C2) ដែលមានកូដរឹងដែលបង្ហោះនៅ dns.wmiprovider[.]com។ វាត្រូវបានចុះបញ្ជីនៅពាក់កណ្តាលខែមេសា ឆ្នាំ២០២៥។ C2 ដែលជាប់ទាក់ទងនឹងសកម្មភាពនេះបច្ចុប្បន្នមិនសកម្មទេ ប៉ុន្តែការបន្តដំណើរការដែលមានមូលដ្ឋានលើ Windows Registry ធានាថាការគំរាមកំហែងអាចត្រូវបានរស់ឡើងវិញនៅពេលណាក៏បាននាពេលអនាគត។

CYFIRMA បាននិយាយថា "DLL អនុវត្តចំណុចបញ្ចប់ដែលមានមូលដ្ឋានលើ HTTP GET ច្រើនដើម្បីបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 អនុវត្តការអាប់ដេត និងទាញយកពាក្យបញ្ជាដែលចេញដោយអ្នកវាយប្រហារ"។ "ដើម្បីគេចពីការរកឃើញខ្សែអក្សរឋិតិវន្ត តួអក្សរចំណុចបញ្ចប់ត្រូវបានរក្សាទុកដោយចេតនាតាមលំដាប់បញ្ច្រាស់"។ បញ្ជីចំណុចបញ្ចប់មានដូចខាងក្រោម៖

-/retsiger (ចុះឈ្មោះ) ដើម្បីចុះឈ្មោះប្រព័ន្ធដែលឆ្លងមេរោគជាមួយម៉ាស៊ីនមេ C2

-/taebtraeh (ចង្វាក់បេះដូង) ដើម្បីបញ្ជូនវត្តមានរបស់វាទៅកាន់ម៉ាស៊ីនមេ C2

-/dnammoc_teg (get_command) ដើម្បីដំណើរការពាក្យបញ្ជាតាមអំពើចិត្តតាមរយៈ "cmd.exe"

-/dnammocvitna (antivmcommand) ដើម្បីសាកសួរ ឬកំណត់ស្ថានភាពប្រឆាំង VM និងទំនងជាកែតម្រូវឥរិយាបថ

DLL ក៏សាកសួរផលិតផលកំចាត់មេរោគដែលបានដំឡើងនៅលើប្រព័ន្ធជនរងគ្រោះផងដែរ ដោយប្រែក្លាយវាទៅជាឧបករណ៍ដ៏មានឥទ្ធិពលដែលមានសមត្ថភាពធ្វើការឈ្លបយកការណ៍ និងប្រមូលព័ត៌មានរសើប។

Patchwork ត្រូវបានភ្ជាប់ទៅនឹង StreamSpy Trojan# ថ្មី

ការបង្ហាញនេះកើតឡើងប៉ុន្មានសប្តាហ៍បន្ទាប់ពី Patchwork (ហៅកាត់ថា Dropping Elephant ឬ Maha Grass) ដែលជាក្រុម hacking ដែលគេជឿថាមានដើមកំណើតនៅឥណ្ឌា ត្រូវបានភ្ជាប់ទៅនឹងការវាយប្រហារដែលកំណត់គោលដៅវិស័យការពារជាតិប៉ាគីស្ថានជាមួយនឹង backdoor ដែលមានមូលដ្ឋានលើ Python ដែលត្រូវបានចែកចាយតាមរយៈអ៊ីមែល phishing ដែលមានឯកសារ ZIP នេះបើយោងតាមអ្នកស្រាវជ្រាវសន្តិសុខ Idan Tarab។

មានវត្តមាននៅក្នុងបណ្ណសារគឺជាគម្រោង MSBuild ដែលនៅពេលប្រតិបត្តិតាមរយៈ "msbuild.exe" ដាក់ពង្រាយឧបករណ៍ទម្លាក់ដើម្បីដំឡើង និងបើកដំណើរការ Python RAT នៅទីបំផុត។ មេរោគនេះត្រូវបានបំពាក់ដើម្បីទាក់ទងម៉ាស៊ីនមេ C2 និងដំណើរការម៉ូឌុល Python ពីចម្ងាយ ប្រតិបត្តិពាក្យបញ្ជា និងផ្ទុកឡើង/ទាញយកឯកសារ។

លោក Tarab បាននិយាយថា "យុទ្ធនាការនេះតំណាងឱ្យឧបករណ៍ Patchwork APT ដែលទំនើប និងមានភាពស្មុគស្មាញខ្ពស់ ដែលលាយបញ្ចូលគ្នានូវកម្មវិធីផ្ទុក MSBuild LOLBin, PyInstaller-modified Python runtimes, ការផ្សាំ bytecode ដែលបានប្រមូលផ្តុំ, geofencing, ចំណុចបញ្ចប់ PHP C2 ចៃដន្យ [និង] យន្តការរក្សាភាពប្រាកដនិយម"។

គិតត្រឹមខែធ្នូ ឆ្នាំ 2025 Patchwork ក៏ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងមេរោគ Trojan ដែលមិនមានឯកសារពីមុនដែលមានឈ្មោះថា StreamSpy ដែលប្រើពិធីការ WebSocket និង HTTP សម្រាប់ការទំនាក់ទំនង C2។ ខណៈពេលដែលឆានែល WebSocket ត្រូវបានប្រើដើម្បីទទួលការណែនាំ និងបញ្ជូនលទ្ធផលនៃការប្រតិបត្តិ HTTP ត្រូវបានប្រើប្រាស់សម្រាប់ការផ្ទេរឯកសារ។

តំណភ្ជាប់របស់ StreamSpy ទៅកាន់ Patchwork យោងតាម ​​QiAnXin បានមកពីភាពស្រដៀងគ្នារបស់វាទៅនឹង Spyder ដែលជាវ៉ារ្យ៉ង់នៃ backdoor មួយផ្សេងទៀតដែលមានឈ្មោះថា WarHawk ដែលត្រូវបានសន្មតថាជារបស់ SideWinder។ ការប្រើប្រាស់ពាក្យ Spider របស់ Patchwork មានតាំងពីយូរយារណាស់មកហើយ។

មេរោគ ("Annexure.exe") ត្រូវបានចែកចាយតាមរយៈបណ្ណសារ ZIP ("OPS-VII-SIR.zip") ដែលបង្ហោះនៅលើ "firebasescloudemail[.]com" អាចប្រមូលព័ត៌មានប្រព័ន្ធ បង្កើតភាពស្ថិតស្ថេរតាមរយៈ Windows Registry ភារកិច្ចដែលបានកំណត់ពេល ឬតាមរយៈឯកសារ LNK នៅក្នុងថត Startup ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ដោយប្រើ HTTP និង WebSocket។ បញ្ជីពាក្យបញ្ជាជំនួយមាននៅខាងក្រោម -

-F1A5C3 ដើម្បីទាញយកឯកសារ និងបើកវាដោយប្រើ ShellExecuteExW

-B8C1D2 ដើម្បីកំណត់សែលសម្រាប់ការប្រតិបត្តិពាក្យបញ្ជាទៅ cmd

-E4F5A6 ដើម្បីកំណត់សែលសម្រាប់ការប្រតិបត្តិពាក្យបញ្ជាទៅ PowerShell

-FL_SH1 ដើម្បីបិទសែលទាំងអស់

-C9E3D4, E7F8A9, H1K4R8, C0V3RT ដើម្បីទាញយកឯកសារ zip ដែលបានអ៊ិនគ្រីប - ពីម៉ាស៊ីនមេ C2 ស្រង់វាចេញ ហើយបើកវាដោយប្រើ ShellExecuteExW

-F2B3C4 ដើម្បីប្រមូលព័ត៌មានអំពីប្រព័ន្ធឯកសារ និងថាសទាំងអស់ដែលភ្ជាប់ទៅឧបករណ៍

-D5E6F7 ដើម្បីអនុវត្តការផ្ទុកឡើងឯកសារ និងទាញយក

-A8B9C0 ដើម្បីអនុវត្តការផ្ទុកឡើងឯកសារ

-D1E2F3 ដើម្បីលុបឯកសារ

-A4B5C6 ដើម្បីប្តូរឈ្មោះឯកសារ

-D7E8F9 ដើម្បីរាប់បញ្ចូលថតឯកសារជាក់លាក់មួយ

QinAnXin បាននិយាយថា គេហទំព័រទាញយក StreamSpy ក៏បង្ហោះវ៉ារ្យ៉ង់ Spyder យ៉ាងទូលំទូលាយផងដែរ។ លក្ខណៈពិសេសនៃការប្រមូលទិន្នន័យ ដោយបន្ថែមហត្ថលេខាឌីជីថលរបស់មេរោគបង្ហាញពីទំនាក់ទំនងជាមួយ Windows RAT ផ្សេងគ្នាដែលហៅថា ShadowAgent ដែលសន្មតថាជារបស់ក្រុម DoNot (ហៅកាត់ថា Brainworm)។ គួរឱ្យចាប់អារម្មណ៍ មជ្ឈមណ្ឌលស៊ើបការណ៍សម្ងាត់ 360 បានសម្គាល់ឯកសារដែលអាចប្រតិបត្តិបាន "Annexure.exe" ដូចគ្នានឹង ShadowAgent ក្នុងខែវិច្ឆិកា ឆ្នាំ 2025។

អ្នកលក់សុវត្ថិភាពចិនបាននិយាយថា "ការលេចចេញនូវវ៉ារ្យ៉ង់ StreamSpy Trojan និង Spyder ពីក្រុម Maha Grass បង្ហាញថាក្រុមនេះកំពុងបន្តធ្វើបច្ចុប្បន្នភាពឃ្លាំងអាវុធនៃឧបករណ៍វាយប្រហាររបស់ខ្លួន"។

"នៅក្នុងមេរោគ StreamSpy trojan អ្នកវាយប្រហារព្យាយាមប្រើបណ្តាញ WebSocket សម្រាប់ការចេញពាក្យបញ្ជា និងមតិប្រតិកម្មលទ្ធផលដើម្បីគេចពីការរកឃើញ និងការត្រួតពិនិត្យចរាចរណ៍ HTTP។ លើសពីនេះ គំរូដែលទាក់ទងគ្នាបញ្ជាក់បន្ថែមទៀតថាក្រុមវាយប្រហារ Maha Grass និង DoNot មានទំនាក់ទំនងខ្លះទាក់ទងនឹងការចែករំលែកធនធាន"។