ກຸ່ມແຮັກເກີໃໝ່ ທີ່ຖືກຕິດຕາມໃນຊື່ ‘TetrisPhantom’ ໄດ້ໃຊ້ secure USB drives ເພື່ອໂຈມຕີລະບົບຂອງລັດຖະບານໃນເອເຊຍປາຊິຟິກ.
Secure USB drives ຈະໃຊ້ຈັດເກັບຂໍ້ມູນໄວ້ໃນສ່ວນທີ່ເຂົ້າລະຫັດຂອງອຸປະກອນ ແລະ ໃຊ້ເພື່ອຖ່າຍໂອນຂໍ້ມູນຢ່າງປອດໄພ ລະຫວ່າງ ລະບົບຕ່າງໆ ລວມເຖິງລະບົບ ທີ່ຖືກແຍກອອກມາຈາກເຄືອຂ່າຍ.
ການເຂົ້າເຖິງພາດຕິຊັນ ທີ່ໄດ້ຮັບການປ້ອງກັນນັ້ນ ຈະຕ້ອງໃຊ້ງານຜ່ານທາງຊອບແວ ທີ່ຖືກກຳນົດຂຶ້ນ ຊຶ່ງຈະທຳການຖອດລະຫັດຂໍ້ມູນດ້ວຍລະຫັດຜ່ານ ທີ່ຜູ້ໃຊ້ລະບຸ ໜຶ່ງໃນຊອບແວເຫຼົ່ານັ້ນຄື UTetris.exe ຊຶ່ງຢູ່ໃນສ່ວນ ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດຂອງ USB drives.
ນັກວິໃຈດ້ານຄວາມປອດໄພກວດພົບໂຕຣຈັນ ຂອງແອັບພລິເຄຊັນ UTetris ທີ່ໃຊ້ໃນ secure USB devices ໃນແຄມເປນ (Campaign) ການໂຈມຕີທີ່ດຳເນີນມາເປັນໄລຍະເວລາຢ່າງນ້ອຍ 2-3 ປີ ແລະ ມີເປົ້າໝາຍເປັນລັດຖະບານໃນພູມິພາກເອເຊຍປາຊິຟິກ.
ຕາມລາຍງານຫລ່າສຸດຂອງ Kaspersky ກ່ຽວກັບແນວໂນ້ມຂອງກຸ່ມ APT, ກຸ່ມ TetrisPhantom ມີການໃຊ້ເຄື່ອງມື ຄຳສັ່ງ ແລະ ສ່ວນປະກອບມັນແວຕ່າງໆ ຊຶ່ງຊີ້ໃຫ້ເຫັນວ່າ ເປັນກຸ່ມແຮັກເກີ ທີ່ມີຄວາມຊັບຊ້ອນ ແລະ ມີຊັບພະຍາກອນຫລາຍໃນການດຳເນີນການ.
ການໂຈມຕີນີ້ ໃຊ້ເຄື່ອງມື ແລະ ເຕັກນິກ ທີ່ຊັບຊ້ອນ, ລວມເຖິງການສ້າງຄວາມສັບສົນໃຫ້ກັບຊອບແວ virtualization-based, ການສື່ສານແບບ low-level ກັບ USB drive ໂດຍໃຊ້ SCSI commands ໂດຍກົງ, ການຈຳລອງຕົວເອງຜ່ານ secure USB drives ທີ່ເຊື່ອມຕໍ່ກັນ ເພື່ອແຜ່ກະຈາຍໄປທີ່ລະບົບທີ່ແຍກອອກຈາກເຄືອຂ່າຍ ແລະ ການແຊກໂຄ້ດເຂົ້າໄປໃນໂປຣແກຣມການຈັດການການເຂົ້າເຖິງ ທີ່ຖືກຕ້ອງໃນ USB drive ຊຶ່ງເຮັດຫນ້າທີ່ເປັນຕົວໂຫຼດມັນແວໃນຄອມພິວເຕີເຄື່ອງໃໝ່.
ລາຍລະອຽດການໂຈມຕີ
Kaspersky ອະທິບາຍເພິ່ມເຕິມວ່າ ການໂຈມຕີດ້ວຍແອັບ Utetris ທີ່ຖືກຝັງມັນແວ ເລີ່ມຕົ້ນດ້ວຍການເປີດ payload ທີ່ຮຽກວ່າ AcroShell ເທິງຄອມພິວເຕີ ຂອງເປົ້າໝາຍ.
AcroShell ຈະສ້າງຊ່ອງທາງການສື່ສານກັບ C2 ເຊິເວີຂອງຜູ້ໂຈມຕີ ແລະ ສາມາດດຶງ ແລະ ຮຽກໃຊ້ Payload ເພິ່ມເຕິມ ເພື່ອລັກເອກະສານ ແລະ ໄຟລ໌ ທີ່ມີຄວາມສຳຄັນ ແລະ ລວບລວມລາຍລະອຽດສະເພາະ ກ່ຽວກັບ USB drive ທີ່ເປົ້າໝາຍໃຊ້.
ຜູ້ໂຈມຕີຍັງໃຊ້ຂໍ້ມູນ ທີ່ລວບລວມດ້ວຍວິທີນີ້ ເພື່ອການວິໄຈ ແລະ ພັດທະນາມັນແວອື່ນທີ່ຮຽກວ່າ XMKR ແລະໂປຣແກຣມ UTetris.exe ທີ່ຖືກຝັງມັນແວ ເພື່ອໃຊ້ໃນການໂຈມຕີ.
XMKR ສາມາດລັກໄຟລ໌ ເພື່ອການສອດແນມ ແລະ ຂຽນຂໍ້ມູນລົງເທິງ USB drives ຂໍ້ມູນເທິງ USB ທີ່ຖືກໂຈມຕີ ຈະຖືກນຳອອກໄປທີ່ເຊິເວີຂອງຜູ້ໂຈມຕີ ເມື່ອອຸປະກອນຖືກສຽບເຂົ້າກັບຄອມພິວເຕີທີ່ເຊື່ອມຕໍ່ອິນເຕີເນັດ ແລະ ໄດ້ຮັບການຄວບຄຸມໂດຍໂປຣແກຣມ AcroShell.
Kaspersky ໄດ້ຄົ້ນພົບ ແລະ ວິເຄາະຕົວຢ່າງຂອງໂປຣແກຣມ Utetris ສອງຕົວ ໄດ້ແກ່ ຮຸ່ນ 1.0 ຊຶ່ງໃຊ້ລະຫວ່າງເດືອນ ກັນຍາ ເຖິງ ຕຸລາ 2022 ແລະ ຮຸ່ນ 2.0 ຊຶ່ງໃຊ້ໃນເຄືອຂ່າຍ ຂອງລັດຖະບານ ຕັ້ງແຕ່ເດືອນ ຕຸລາ 2022 ຈົນເຖິງປະຈຸບັນ.
Kaspersky ລາຍງານວ່າ ການໂຈມຕີເຫຼົ່ານີ້ດຳເນີນມາຢ່າງຕໍ່ເນື່ອງເປັນເວລາຢ່າງນ້ອຍ 2-3 ປີແລ້ວ ໂດຍມີເປົ້າ ໝາຍຫຼັກໃນການສອດແນມຂອງ TetrisPhantom ນັກວິໄຈພົບການໂຈມຕີຈຳນວນນ້ອຍໃນເຄືອຂ່າຍຂອງລັດຖະບານໃນພູມິພາກເອເຊຍປາຊິຟິກ ຊຶ່ງສະແດງໃຫ້ເຫັນວ່າ ມີເປົ້າໝາຍຂອງການດຳເນີນການໂຈມຕີ
