WINELOADER Backdoor
ការវាយប្រហារតាមអ៊ីនធឺណិតដែលដាក់ពង្រាយ WINELOADER backdoor ត្រូវបានគេជឿថាត្រូវបានបង្កើតឡើងដោយក្រុម hacking ដែលមានទំនាក់ទំនងជាមួយសេវាស៊ើបការណ៍សម្ងាត់បរទេស (SVR) របស់រុស្ស៊ី។ ក្រុមនេះដែលត្រូវបានគេស្គាល់ថា Midnight Blizzard (ហៅផងដែរថា APT29, BlueBravo, ឬ Cozy Bear) ទទួលបានភាពល្បីល្បាញដោយសារការចូលរួមរបស់ពួកគេក្នុងការបំពានដូចជា SolarWinds និង Microsoft ។ Backdoor ពីមុនត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារសំដៅទៅលើអង្គភាពការទូត តាមរយៈល្បិចបោកបញ្ឆោតរសជាតិស្រា។
អ្នកស្រាវជ្រាវបានរកឃើញភ័ស្តុតាងដែលបង្ហាញថា Midnight Blizzard បានប្រើប្រាស់មេរោគនេះដើម្បីកំណត់គោលដៅគណបក្សនយោបាយអាល្លឺម៉ង់នៅចុងខែកុម្ភៈ ឆ្នាំ 2024 ដោយប្រើប្រាស់អ៊ីមែលបន្លំដែលតុបតែងដោយនិមិត្តសញ្ញានៃសហភាពប្រជាធិបតេយ្យគ្រីស្ទាន (CDU)។ នេះជាករណីដំបូងដែល APT29 ត្រូវបានគេសង្កេតឃើញសំដៅលើគណបក្សនយោបាយជាពិសេស ដោយស្នើឱ្យមានការផ្លាស់ប្តូរដ៏មានសក្តានុពលក្នុងការផ្តោតលើប្រតិបត្តិការរបស់ពួកគេឱ្យនៅឆ្ងាយពីបេសកកម្មការទូតប្រពៃណី។
WINELOADER Backdoor ឆ្លងជនរងគ្រោះតាមរយៈខ្សែសង្វាក់វាយប្រហារច្រើនដំណាក់កាល
នៅខែកុម្ភៈ ឆ្នាំ 2024 អ្នកស្រាវជ្រាវបានបង្ហាញពីអត្ថិភាពនៃ WINELOADER ជាផ្នែកនៃយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលកំពុងដំណើរការដែលគេជឿថាបានចាប់ផ្តើមនៅក្នុងខែកក្កដា ឆ្នាំ 2023។ សកម្មភាពនេះត្រូវបានសន្មតថាជាចង្កោមដែលគេស្គាល់ថា SPIKEDWINE ។
យុទ្ធសាស្ត្រវាយប្រហារពាក់ព័ន្ធនឹងអ៊ីមែលបន្លំដែលមានខ្លឹមសារជាភាសាអាឡឺម៉ង់ដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទាញអ្នកទទួលដោយការសន្យានៃការអញ្ជើញទទួលអាហារពេលល្ងាចមួយ។ អ៊ីមែលទាំងនេះមានគោលបំណងបញ្ឆោតអ្នកទទួលឱ្យចុចលើតំណភ្ជាប់បញ្ឆោត ដែលនាំទៅដល់ការទាញយកឯកសារកម្មវិធី HTML បញ្ឆោតទាំងឡាយ (HTA) ដែលមានឈ្មោះថា ROOTSAW (ត្រូវបានគេស្គាល់ផងដែរថាជា EnvyScout ) ។ ROOTSAW ដើរតួជាអ្នកទម្លាក់ដំបូង ដែលជួយសម្រួលដល់ការដឹកជញ្ជូន WINELOADER ពីម៉ាស៊ីនមេពីចម្ងាយ។
ឯកសារបញ្ឆោតជាភាសាអាឡឺម៉ង់នៅក្នុងអ៊ីមែលបោកបញ្ឆោតនាំជនរងគ្រោះទៅកាន់ឯកសារ ZIP ព្យាបាទដែលបង្ហោះនៅលើគេហទំព័រដែលត្រូវបានសម្របសម្រួលដែលគ្រប់គ្រងដោយតួអង្គ។ ឯកសារ ZIP នេះមានឧបករណ៍ទម្លាក់ ROOTSAW ។ នៅពេលប្រតិបត្តិ ROOTSAW ផ្តល់នូវឯកសារល្បួងដំណាក់កាលទីពីរដែលមានប្រធានបទជុំវិញសហភាពប្រជាធិបតេយ្យគ្រីស្ទាន (CDU) ហើយដាក់ពង្រាយជាបន្តបន្ទាប់នូវបន្ទុករបស់ WINELOADER ។
WINELOADER ដោយប្រើការផ្ទុកចំហៀង DLL តាមរយៈ sqldumper.exe ស្របច្បាប់ មានសមត្ថភាពបង្កើតការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង បើកដំណើរការទាញយក និងប្រតិបត្តិម៉ូឌុលបន្ថែមលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។
ការវិភាគបង្ហាញពីភាពស្រដៀងគ្នារវាង WINELOADER និងគ្រួសារមេរោគផ្សេងទៀតដែលពាក់ព័ន្ធជាមួយ APT29 ដូចជា BURNTBATTER MUSKYBEAT និង BEATDROP ដែលបង្ហាញប្រាប់អ្នកអភិវឌ្ឍន៍រួមគ្នា ឬវិធីសាស្រ្តអភិវឌ្ឍន៍។ លើសពីនេះ WINELOADER ត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងប្រតិបត្តិការដែលផ្តោតលើអង្គភាពការទូតនៅទូទាំងប្រទេសនានា រួមទាំងសាធារណរដ្ឋឆេក អាល្លឺម៉ង់ ឥណ្ឌា អ៊ីតាលី ឡាតវី និងប៉េរូ នៅចុងខែមករា ឆ្នាំ 2024។
APT29 អាចនឹងពង្រីកវិសាលភាពរបស់ខ្លួន ដើម្បីរួមបញ្ចូលគោលដៅថ្មី។
ROOTSAW នៅតែជាធាតុផ្សំដ៏សំខាន់នៅក្នុងយុទ្ធសាស្ត្រជ្រៀតចូលដំបូងរបស់ APT29 ដែលមានបំណងប្រមូលព័ត៌មាននយោបាយបរទេស។ ការប្រើប្រាស់មេរោគដំណាក់កាលទីមួយនេះ ដើម្បីកំណត់គោលដៅគណបក្សនយោបាយអាឡឺម៉ង់ បង្ហាញពីការចាកចេញដ៏គួរឱ្យកត់សម្គាល់ពីគោលដៅការទូតធម្មតាដែលទាក់ទងនឹងក្រុមរង APT29 នេះ។ ការផ្លាស់ប្តូរនេះពិតជាឆ្លុះបញ្ចាំងពីការចាប់អារម្មណ៍យ៉ាងខ្លាំងរបស់ SVR ក្នុងការទទួលបានព័ត៌មានពីគណបក្សនយោបាយ និងផ្នែកផ្សេងទៀតនៃសង្គមស៊ីវិល ដែលអាចជំរុញគោលបំណងភូមិសាស្ត្រនយោបាយរបស់ទីក្រុងម៉ូស្គូ។
ការអភិវឌ្ឍន៍នេះស្របពេលជាមួយនឹងចំណាត់ការផ្លូវច្បាប់នៅក្នុងប្រទេសអាល្លឺម៉ង់ ដែលព្រះរាជអាជ្ញាបានចោទប្រកាន់ពីបទចារកម្មប្រឆាំងនឹងមន្ត្រីយោធាម្នាក់ឈ្មោះ Thomas H. គាត់ត្រូវបានចោទប្រកាន់ពីសកម្មភាពចារកម្មដែលត្រូវបានចោទប្រកាន់ថាបានធ្វើឡើងក្នុងនាមសេវាកម្មចារកម្មរុស្ស៊ីពាក់ព័ន្ធនឹងការបញ្ជូនព័ត៌មានរសើបដែលមិនបានបញ្ជាក់។ Thomas H. ត្រូវបានចាប់ខ្លួននៅខែសីហា ឆ្នាំ 2023។