ពួក Hacker រុស្ស៊ី Bypass EDR ដើម្បីចែកចាយធាតុផ្សំ TeamViewer ដែលមានអាវុធសម្រាប់គោលបំណងពួកគេ
ប្រជាប្រិយភាព និងសមត្ថភាពចូលប្រើពីចម្ងាយរបស់ TeamViewer ធ្វើឱ្យវាក្លាយជាគោលដៅដ៏គួរឱ្យទាក់ទាញសម្រាប់អ្នកដែលកំពុងស្វែងរកការសម្របសម្រួលប្រព័ន្ធដើម្បីទទួលបានផលប្រយោជន៍របស់ពួកគេ។
តួអង្គគំរាមកំហែងកំណត់គោលដៅ TeamViewer សម្រាប់គោលបំណងខុសច្បាប់របស់ពួកគេ ព្រោះវាជាកម្មវិធីកុំព្យូទ័រពីចម្ងាយដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយជាមួយនឹងភាពទន់ខ្សោយផ្នែកសុវត្ថិភាព។
ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុង TeamViewer អាចផ្តល់នូវការចូលដំណើរការដោយគ្មានការអនុញ្ញាតទៅកាន់ប្រព័ន្ធ និងទិន្នន័យរសើប ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចអនុវត្តសកម្មភាពព្យាបាទផ្សេងៗ ដូចជាការលួចទិន្នន័យ ការក្លែងបន្លំហិរញ្ញវត្ថុ ឬសូម្បីតែការប្រើប្រាស់ប្រព័ន្ធសម្របសម្រួលដើម្បីបើកការវាយប្រហារលើគោលដៅផ្សេងទៀត។
នៅចុងឆ្នាំ 2022 មជ្ឈមណ្ឌលចារកម្មការគំរាមកំហែង QiAnXin បានកំណត់អត្តសញ្ញាណក្រុមអ្នកគំរាមកំហែងថ្មីដោយប្រើប្រាស់គេហទំព័រទាញយកកម្មវិធីក្លែងក្លាយជាមួយនឹងចំណាត់ថ្នាក់ស្វែងរកដែលបានរៀបចំដើម្បីចែកចាយកញ្ចប់ដំឡើងមិនផ្លូវការប៉ុន្តែហាក់ដូចជាត្រឹមត្រូវដែលត្រូវបានបង្កើតឡើងដោយ Inno Setup ។
ពួក Hacker រុស្ស៊ី Bypass EDR
គុណលក្ខណៈមានការពិបាកដោយសារតែខ្សែសង្វាក់វាយប្រហារដ៏ស្មុគស្មាញរបស់អ្នកវាយប្រហារ និងប្រតិបត្តិការដោយដៃ។
នៅពាក់កណ្តាលឆ្នាំ 2023 ការបញ្ជូនត DLL Sideloading របស់ TeamViewer ត្រូវបានបញ្ជូនតាមរយៈ SFTP ដែលបង្ហាញពីការតភ្ជាប់ទៅនឹងការវាយប្រហារលើអ្នកស្រាវជ្រាវសន្តិសុខក្នុងឆ្នាំ 2021។
ខ្សែសង្វាក់ប្រតិបត្តិផ្តោតលើ SSH reverse tunnels ដោយប្រើប្រាស់ OpenSSH ដើម្បីឆ្លងកាត់ការរកឃើញចំណុចបញ្ចប់ EDR ។
អ្នកវាយប្រហារបានប្រើប្រាស់ sftp-server.exe ដើម្បីចែកចាយសមាសភាគលួចចូល TeamViewer ដោយបង្ហាញពីការប្រើប្រាស់ MINEBRIDGE RAT។
AnyDesk និង PsExec ក៏ត្រូវបានប្រើប្រាស់សម្រាប់ការផ្សព្វផ្សាយនៅពេលក្រោយ ដោយមានការឌិគ្រីបទិន្នន័យកើតឡើងនៅក្នុងបរិបទអ្នកប្រើប្រាស់របស់ជនរងគ្រោះ។
សរុបមក signaturesស្របច្បាប់ចំនួនបួនត្រូវបានប្រើប្រាស់ក្នុងប្រតិបត្តិការបន្លំនេះ(phishing) ដែលមួយចំនួននៅតែមានសុពលភាពនៅក្នុងរបាយការណ៍នេះ ជាមួយនឹងការប្រើប្រាស់ Amadey Trojan ដ៏អាថ៌កំបាំង។
- GUTON LLC: FC2BDF5BD23470669F63B9A5BAE6305160DCBC67
- NTB CONSULTING SERVICESINC: A05536924F1BA8F99BA6B1AA3C97B809E32A477E
- OOO RIMMA: A1C753F5271F24B8067AC864BB4192C37265840C
- KATEN LLC: 9A865A28A85CABC3F79C88BE54AF3B20962BC35C
អ្នកស្រាវជ្រាវបានរកឃើញ MINEBRIDGE RAT variant ថ្មី ជាមួយនឹងភាពច្របូកច្របល់ LLVM ដោយដកចេញនូវការណែនាំ C&C ចាស់។
គំរូទាញយក DLL ពីម៉ាស៊ីនមេ ដើម្បីប្រតិបត្តិពាក្យបញ្ជា PowerShell សម្រាប់ការទាញយកសមាសធាតុ SSH ដែលស្របនឹងស្គ្រីបពីមុន។
Attribution:
ក្រុមនេះមានសកម្មភាពតាំងពីឆ្នាំ 2021 ដោយផ្អែកលើពេលវេលាចុះឈ្មោះដែន (domain registration)។ ពួកគេបានប្រើ Cloudflare CDN ដើម្បីបិទបាំង IP របស់ពួកគេ ប៉ុន្តែរបាយការណ៍ OSINT មួយចំនួននៅលើ MINEBRIDGE បានធ្វើឱ្យមានការពិបាកក្នុងការតាមដាន។
ទិន្នន័យរបស់ QiAnXin បង្ហាញថាmalicious domains បានប្រាស្រ័យទាក់ទងជាមួយទាំងបណ្តាញcorporate dedicated lines និងអ៊ីនធឺណិតតាមផ្ទះនៅក្នុងប្រទេសចិនដីគោកក្នុងដំណាក់កាល Cloudflare CDN របស់ពួកគេ។
សហគ្រាសដែលពាក់ព័ន្ធ មានផ្នែកដូចខាងក្រោមៈ –
- រូបិយប័ណ្ណគ្រីបតូ (Cryptocurrency)
- សមាសធាតុអេឡិចត្រូនិច (Electronic components)
- បច្ចេកវិទ្យា (Technology)
- ការវិនិយោគ (Investment)
- ការថែទាំសុខភាព (Healthcare)
ការរកឃើញថ្មីៗបង្ហាញថា Storm-0978 (RomCom), TA505, និង MINEBRIDGE មានទំនាក់ទំនងខ្លាំង ដែលអាចបង្ហាញពីសកម្មភាពរួមគ្នាលើសពីការលើកទឹកចិត្តផ្នែកសេដ្ឋកិច្ច។
Source: gbhackers