ការវាយប្រហារដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិនប្រើប្រាស់ ShadowPad, IOX Proxy និង WMIC ក្នុងយុទ្ធនាការចារកម្មពហុដំណាក់កាល

ក្រុមគំរាមកំហែងដែលមានសម្ព័ន្ធភាពជាមួយប្រទេសចិន បានធ្វើយុទ្ធនាការចារកម្មដែលបានគ្រោងទុកយ៉ាងប្រុងប្រយ័ត្នប្រឆាំងនឹងភ្នាក់ងាររដ្ឋាភិបាល និងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗនៅទូទាំងអាស៊ី។

ក្រុមនេះ ដែលត្រូវបានតាមដានក្រោមការកំណត់បណ្តោះអាសន្ន SHADOW-EARTH-053 បានធ្វើសកម្មភាពចាប់តាំងពីយ៉ាងហោចណាស់ខែធ្នូ ឆ្នាំ២០២៤ ដោយកំណត់គោលដៅដោយស្ងៀមស្ងាត់ទៅលើអង្គការនៅក្នុងប្រទេសយ៉ាងហោចណាស់ប្រាំបី។

យុទ្ធនាការនេះប្រើប្រាស់ការរួមបញ្ចូលគ្នានៃឧបករណ៍មេរោគ និងបច្ចេកទេសរស់នៅក្រៅដី ដើម្បីលាក់ខ្លួននៅក្នុងបណ្តាញជនរងគ្រោះឱ្យបានយូរតាមដែលអាចធ្វើទៅបាន។

អ្នកវាយប្រហារទទួលបានការចូលប្រើដំបូងដោយការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលគេស្គាល់ ប៉ុន្តែមិនទាន់បានជួសជុលនៅក្នុងម៉ាស៊ីនមេ Microsoft Exchange និង Internet Information Services (IIS)។

ក្រុមនេះបានកំណត់គោលដៅជាពិសេសទៅលើខ្សែសង្វាក់ងាយរងគ្រោះរបស់ ProxyLogon ដែលរួមមាន CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 និង CVE-2021-27065។

ទោះបីជាបំណះសម្រាប់កំហុសទាំងនេះមានជាយូរមកហើយក៏ដោយ ក៏អង្គការជាច្រើននៅតែដំណើរការម៉ាស៊ីនមេ Exchange ដែលមិនទាន់បានជួសជុល ដែលធ្វើឱ្យពួកវាក្លាយជាគោលដៅងាយស្រួល។

ពេលចូលទៅខាងក្នុង អ្នកវាយប្រហារដាក់ពង្រាយ web shell ដូចជា GODZILLA ដើម្បីរក្សាការចូលប្រើ backdoor ជាប់លាប់ និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមឆន្ទៈ។

អ្នកស្រាវជ្រាវ Trend Micro លោក Daniel Lunghi និង Lucas Silva បានកំណត់អត្តសញ្ញាណយុទ្ធនាការនេះតាមរយៈការវិភាគជាបន្តបន្ទាប់នៃការបង្កប់ ShadowPad ដែលផ្តោតលើអាស៊ីខាងត្បូង និងអាស៊ីអាគ្នេយ៍។

ការស៊ើបអង្កេតរបស់ពួកគេបានរកឃើញចង្កោមពាក់ព័ន្ធមួយគឺ SHADOW-EARTH-054 ដែលចែករំលែក hash ឧបករណ៍ដូចគ្នា និងវិធីសាស្ត្រវាយប្រហារត្រួតស៊ីគ្នា។

នៅក្នុងបរិយាកាសគោលដៅជិតពាក់កណ្តាល ចង្កោមទាំងពីរបានធ្វើឱ្យខូចដល់អង្គការដូចគ្នា ដោយជនរងគ្រោះត្រូវបានបញ្ជាក់នៅក្នុងប្រទេសប៉ាគីស្ថាន ថៃ ម៉ាឡេស៊ី ឥណ្ឌា មីយ៉ាន់ម៉ា ស្រីលង្កា តៃវ៉ាន់ និងប៉ូឡូញ។

ក្រុមស្រាវជ្រាវបានវាយតម្លៃថា ប្រតិបត្តិការទាំងនេះស្របនឹងផលប្រយោជន៍យុទ្ធសាស្ត្រទូលំទូលាយរបស់ប្រទេសចិន ហើយទំនងជាមានគោលបំណងចារកម្មតាមអ៊ីនធឺណិត និងការលួចកម្មសិទ្ធិបញ្ញា។

មេរោគ​ចម្បង​ដែល​ត្រូវ​បាន​ប្រើ​គឺ ShadowPad ដែល​ជា​ទ្វារ​ខាងក្រោយ​ម៉ូឌុល​ដែល​ត្រូវ​បាន​ប្រើ​ដំបូង​ដោយ APT41 ក្នុង​ឆ្នាំ 2017 ហើយ​ក្រោយមក​ត្រូវ​បាន​ចែករំលែក​ក្នុង​ចំណោម​ក្រុម​ជាច្រើន​ដែល​មាន​សម្ព័ន្ធភាព​ជាមួយ​ចិន​ចាប់ផ្តើម​នៅ​ឆ្នាំ 2019។

ក្រៅពី ShadowPad អ្នកវាយប្រហារបានដាក់ពង្រាយប្រូកស៊ី IOX ដើម្បីបង្កើតឆានែលទំនាក់ទំនងសម្ងាត់ បានប្រើបន្ទាត់ពាក្យបញ្ជា Windows Management Instrumentation (WMIC) សម្រាប់ចលនាចំហៀង និងពឹងផ្អែកលើឧបករណ៍បង្កើតផ្លូវរូងក្រោមដីប្រភពបើកចំហរួមទាំង GOST និង Wstunnel ដើម្បីបើកចរាចរណ៍ផ្លូវរូងក្រោមដីលើការតភ្ជាប់ SOCKS5 និង HTTPS ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធខាងក្រៅ។

របៀបដែលការវាយប្រហារលាតត្រដាង៖ យន្តការឆ្លងមេរោគរបស់ ShadowPad

វិធីដែល ShadowPad ត្រូវបានផ្ទុកទៅលើម៉ាស៊ីនជនរងគ្រោះគឺជាផ្នែកមួយដ៏សំខាន់បំផុតនៃយុទ្ធនាការនេះ។ អ្នកវាយប្រហារប្រើបច្ចេកទេសផ្ទុក DLL ចំហៀង ដោយដាក់ DLL ព្យាបាទនៅជាប់នឹងឯកសារដែលអាចប្រតិបត្តិបានដែលបានចុះហត្ថលេខាស្របច្បាប់។

នៅពេលដែលកម្មវិធីស្របច្បាប់ដំណើរការ វាផ្ទុក DLL ព្យាបាទដោយមិនដឹងខ្លួនជំនួសវិញ។ ក្រុមនេះបានរំលោភបំពានឯកសារដែលអាចប្រតិបត្តិបានពីអ្នកលក់រួមទាំង Toshiba, Samsung និង Microsoft ដោយប្តូរឈ្មោះពួកវាឱ្យលាយឡំជាមួយសកម្មភាពប្រព័ន្ធធម្មតា។

អ្វីដែលធ្វើឱ្យកម្មវិធីផ្ទុកទិន្នន័យនេះមានលក្ខណៈលួចលាក់ជាពិសេសនោះគឺថា payload របស់ ShadowPad មិនត្រូវបានរក្សាទុកនៅក្នុង DLL ខ្លួនឯងទេ។ ផ្ទុយទៅវិញ កម្មវិធីផ្ទុកទិន្នន័យទាញយក payload ដែលបានអ៊ិនគ្រីបពីសោចុះបញ្ជីជាក់លាក់របស់ម៉ាស៊ីននៅ HKEY_CURRENT_USER\Software។

ភាពស្ថិតស្ថេរត្រូវបានរក្សាទុកតាមរយៈភារកិច្ចដែលបានកំណត់ពេលដែលមានឈ្មោះថា "M1onltor" ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីដំណើរការប្រព័ន្ធគោលពីរដែលផ្ទុកចំហៀងរៀងរាល់ប្រាំនាទីម្តងជាមួយនឹងសិទ្ធិដែលមានខ្ពស់បំផុត។