ការវាយប្រហារថ្មី "Cavalry Werewolf" វាយប្រហារទីភ្នាក់ងាររុស្ស៊ីជាមួយ FoalShell និង StallionRAT

តួអង្គគំរាមកំហែងដែលត្រូវបានគេស្គាល់ថាចែករំលែកការត្រួតស៊ីគ្នាជាមួយក្រុម hacking ដែលមានឈ្មោះថា YoroTrooper ត្រូវបានគេសង្កេតឃើញផ្តោតលើវិស័យសាធារណៈរបស់រុស្ស៊ីជាមួយនឹងក្រុមមេរោគដូចជា FoalShell និង StallionRAT ។

អ្នកលក់សន្តិសុខតាមអ៊ីនធឺណិត BI.ZONE កំពុងតាមដានសកម្មភាពក្រោម moniker Cavalry Werewolf។ វាក៏ត្រូវបានគេវាយតម្លៃថាមានភាពដូចគ្នាជាមួយនឹងចង្កោមដែលត្រូវបានតាមដានដូចជា SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk និង Tomiris ។

BI.ZONE បាននិយាយថា "ដើម្បីទទួលបានការចូលប្រើដំបូង អ្នកវាយប្រហារបានផ្ញើអ៊ីមែលបន្លំគោលដៅដែលក្លែងបន្លំពួកគេជាការឆ្លើយឆ្លងផ្លូវការពីមន្ត្រីរដ្ឋាភិបាល Kyrgyz" ។ "គោលដៅចម្បងនៃការវាយប្រហារគឺទីភ្នាក់ងាររដ្ឋរបស់រុស្ស៊ី ក៏ដូចជាថាមពល ការជីកយករ៉ែ និងសហគ្រាសផលិត"។

នៅខែសីហា ឆ្នាំ 2025 ក្រុម-IB បានបង្ហាញការវាយប្រហារដែលធ្វើឡើងដោយ ShadowSilk ផ្តោតលើអង្គភាពរដ្ឋាភិបាលនៅអាស៊ីកណ្តាល និងអាស៊ីប៉ាស៊ីហ្វិក (APAC) ដោយប្រើឧបករណ៍ប្រូកស៊ីបញ្ច្រាស និង Trojan ចូលប្រើពីចម្ងាយដែលសរសេរក្នុង Python ហើយបញ្ជូនបន្តទៅ PowerShell ។

ទំនាក់ទំនងរបស់ Cavalry Werewolf ជាមួយ Tomiris គឺសំខាន់មិនតិចទេ ព្រោះវាផ្តល់ទំនុកចិត្តបន្ថែមទៀតដល់សម្មតិកម្មដែលថាវាជាតួអង្គគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយកាហ្សាក់ស្ថាន។ នៅក្នុងរបាយការណ៍មួយកាលពីចុងឆ្នាំមុន ក្រុមហ៊ុន Microsoft បានចាត់ទុកក្រុមហ៊ុន Tomiris backdoor ថាជាតួអង្គគំរាមកំហែងដែលមានមូលដ្ឋាននៅប្រទេសកាហ្សាក់ស្ថានដែលត្រូវបានតាមដានថាជា Storm-0473 ។

ការវាយប្រហារបន្លំចុងក្រោយបំផុតដែលត្រូវបានអង្កេតនៅចន្លោះខែឧសភា និងខែសីហា ឆ្នាំ 2025 ពាក់ព័ន្ធនឹងការផ្ញើសារអ៊ីមែលដោយប្រើអាសយដ្ឋានអ៊ីមែលក្លែងក្លាយដែលក្លែងបន្លំជាបុគ្គលិករដ្ឋាភិបាលកៀហ្ស៊ីស៊ីស្ថានដើម្បីចែកចាយបណ្ណសារ RAR ដែលផ្តល់ FoalShell ឬ StallionRAT ។

ក្នុងករណីយ៉ាងហោចណាស់មួយ តួអង្គគំរាមកំហែងត្រូវបានគេនិយាយថាបានសម្របសម្រួលអាសយដ្ឋានអ៊ីមែលស្របច្បាប់ដែលពាក់ព័ន្ធជាមួយអាជ្ញាធរគ្រប់គ្រងនៃសាធារណរដ្ឋ Kyrgyz ដើម្បីផ្ញើសារ។ FoalShell គឺជាសែលបញ្ច្រាសទម្ងន់ស្រាលដែលបង្ហាញនៅក្នុងកំណែ Go, C++ និង C# ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករដំណើរការពាក្យបញ្ជាតាមអំពើចិត្តដោយប្រើ cmd.exe ។

StallionRAT មិនខុសពីអ្វីដែលវាត្រូវបានសរសេរនៅក្នុង Go, PowerShell និង Python ហើយអាចឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត ផ្ទុកឯកសារបន្ថែម និងបណ្តេញទិន្នន័យដែលប្រមូលបានដោយប្រើ Telegram bot ។ ពាក្យបញ្ជាមួយចំនួនដែលគាំទ្រដោយ bot រួមមាន -

-/list ដើម្បីទទួលបានបញ្ជីម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល (ID DeviceID និងឈ្មោះកុំព្យូទ័រ) ភ្ជាប់ទៅម៉ាស៊ីនមេ command-and-control (C2)

-/go [DeviceID] [command] ដើម្បីប្រតិបត្តិពាក្យបញ្ជាដែលបានផ្តល់ឱ្យដោយប្រើ Invoke-Expression

-/upload [DeviceID] ដើម្បីអាប់ឡូតឯកសារទៅកាន់ឧបករណ៍របស់ជនរងគ្រោះ

ត្រូវបានប្រតិបត្តិផងដែរនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលគឺជាឧបករណ៍ដូចជា ReverseSocks5Agent និង ReverseSocks5 ក៏ដូចជាពាក្យបញ្ជាដើម្បីប្រមូលព័ត៌មានឧបករណ៍។

អ្នកលក់សន្តិសុខតាមអ៊ីនធឺណិតរបស់រុស្សីបាននិយាយថា ខ្លួនក៏បានរកឃើញឈ្មោះឯកសារផ្សេងៗជាភាសាអង់គ្លេស និងភាសាអារ៉ាប់ផងដែរ ដោយបង្ហាញថា ការផ្តោតគោលដៅរបស់ Cavalry Werewolf អាចមានវិសាលភាពទូលំទូលាយជាងការសន្មត់ពីមុន។

BI.ZONE បាននិយាយថា "Cavalry Werewolf កំពុងពិសោធន៍យ៉ាងសកម្មជាមួយនឹងការពង្រីកឃ្លាំងអាវុធរបស់ខ្លួន" ។ "នេះបង្ហាញពីសារៈសំខាន់នៃការមានការយល់ដឹងរហ័សអំពីឧបករណ៍ដែលប្រើប្រាស់ដោយចង្កោម បើមិនដូច្នេះទេ វាមិនអាចទៅរួចទេក្នុងការថែរក្សាវិធានការទាន់សម័យដើម្បីការពារ និងរកឃើញការវាយប្រហារបែបនេះ។"

ការលាតត្រដាងនេះកើតឡើងនៅពេលដែលក្រុមហ៊ុនបានលាតត្រដាងថាការវិភាគលើការបោះពុម្ពផ្សាយនៅលើបណ្តាញ Telegram ឬវេទិកាក្រោមដីដោយទាំងអ្នកវាយប្រហារ និងអ្នកលួចបន្លំដែលជំរុញដោយហិរញ្ញវត្ថុកាលពីឆ្នាំមុនបានកំណត់ការសម្របសម្រួលរបស់ក្រុមហ៊ុនយ៉ាងហោចណាស់ 500 នៅក្នុងប្រទេសរុស្ស៊ី ដែលភាគច្រើនគ្របដណ្តប់លើវិស័យពាណិជ្ជកម្ម ហិរញ្ញវត្ថុ ការអប់រំ និងវិស័យកម្សាន្ត។

វាបានកត់សម្គាល់ថា "នៅក្នុង 86% នៃករណីអ្នកវាយប្រហារបានបោះពុម្ពទិន្នន័យដែលត្រូវបានលួចពីកម្មវិធីបណ្តាញដែលប្រឈមមុខនឹងសាធារណៈដែលត្រូវបានសម្របសម្រួល"។ "បន្ទាប់ពីទទួលបានសិទ្ធិចូលប្រើកម្មវិធីបណ្តាញសាធារណៈ អ្នកវាយប្រហារបានដំឡើង gs-netcat នៅលើម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល ដើម្បីធានាឱ្យមានការចូលប្រើប្រាស់ជាបន្តបន្ទាប់។ ពេលខ្លះ អ្នកវាយប្រហារនឹងផ្ទុកសែលគេហទំព័របន្ថែម។ ពួកគេក៏បានប្រើឧបករណ៍ស្របច្បាប់ដូចជា Adminer, phpMiniAdmin និង mysqldump ដើម្បីទាញយកទិន្នន័យពីមូលដ្ឋានទិន្នន័យ។"