APT သည် malware ကိုပျံ့နှံ့စေရန် coronavirus ကိုအသုံးပြုသည်။

APT ခြိမ်းခြောက်မှုအုပ်စုတစ်စုသည် ၎င်းတို့၏ malware ကိုဖြန့်ဝေရန်အတွက် coronavirus ကူးစက်ရောဂါကိုအသုံးချရန် spear phishing campaigns ကိုအသုံးပြု၍ မကြာသေးမီက ရှာဖွေတွေ့ရှိခဲ့သည်။

လက်ရှိ Covid-19 ကိုရိုနာဗိုင်းရပ်ကြောင့် ကမ္ဘာမှာ ထူးခြားတဲ့ အခြေအနေတွေကို ကြုံတွေ့နေရပါတယ်။ ဗိုင်းရပ်စ်ပျံ့နှံ့မှုကို ရပ်တန့်ရန် ကြိုးစားရန်၊ ကမ္ဘာတစ်ဝှမ်းရှိ ကုမ္ပဏီအများအပြားသည် အဝေးထိန်းစနစ် (remote) အလုပ်မုဒ်အသစ်ကို စတင်လိုက်ပါသည်။ ယခု တင်းကျပ်သော စည်းမျဉ်းစည်းကမ်းများ ချမှတ်ပြီး အရေးယူဆောင်ရွက်ရန် လိုအပ်နေပြီဖြစ်သောကြောင့် ကုမ္ပဏီများအတွက် သတင်းအချက်အလက် လုံခြုံရေးဆိုင်ရာ စိန်ခေါ်မှုကြီးတစ်ရပ်ဖြစ်သည့် တိုက်ခိုက်မှုမျက်နှာပြင်ကို သိသိသာသာ ချဲ့ထွင်လာစေသည်။ အတိုင်းအတာများစွာ လုပ်ငန်းနှင့် ၎င်း၏ IT စနစ်များ ဆက်တိုက်လည်ပတ်နေစေရန် သေချာစေရန်။

သို့သော်လည်း ချဲ့ထွင်ထားသော တိုက်ခိုက်မှုမျက်နှာပြင်သည် ပြီးခဲ့သောရက်အနည်းငယ်အတွင်း ပေါ်ပေါက်လာသည့် ဆိုက်ဘာအန္တရာယ်မဟုတ်ပါ- ဆိုက်ဘာရာဇ၀တ်ကောင်များစွာသည် ဖြားယောင်းသောကမ်ပိန်းများလုပ်ဆောင်ရန်၊ မဲလ်ဝဲဖြန့်ဝေရန်နှင့် ကုမ္ပဏီများစွာ၏ သတင်းအချက်အလက်လုံခြုံရေးကို ခြိမ်းခြောက်ရန်အတွက် ကမ္ဘာလုံးဆိုင်ရာမသေချာမရေရာမှုများကို အသုံးချနေပါသည်။

APT သည် ကပ်ရောဂါကို အသုံးချသည်။

ပြီးခဲ့သည့် ရက်သတ္တပတ်နှောင်းပိုင်းတွင် Vicious Panda ဟုခေါ်သော Advanced Persistent Threat (APT) အဖွဲ့ကို ဆန့်ကျင်သည့် ကမ်ပိန်းများ ပြုလုပ်နေကြောင်း တွေ့ရှိခဲ့သည်။ လှံဖြားယောင်းခြင်း။၎င်းတို့၏ malware ကိုဖြန့်ကျက်ရန် coronavirus ကူးစက်ရောဂါကိုအသုံးပြုခြင်း။ အီးမေးလ်တွင် လက်ခံသူအား ၎င်းတွင် ကိုရိုနာဗိုင်းရပ်နှင့်ပတ်သက်သော အချက်အလက်များပါရှိသည်၊ သို့သော် အမှန်တကယ်တော့ အီးမေးလ်တွင် အန္တရာယ်ရှိသော RTF (Rich Text Format) ဖိုင်နှစ်ခုပါရှိသည်။ သားကောင်သည် ဤဖိုင်များကိုဖွင့်ပါက၊ အဝေးမှဝင်ရောက်သုံးနိုင်သော Trojan (RAT) သည် စခရင်ခရင်ပုံများရိုက်ခြင်း၊ သားကောင်၏ကွန်ပျူတာပေါ်ရှိ ဖိုင်များနှင့် လမ်းညွှန်များစာရင်းများဖန်တီးခြင်းနှင့် ဖိုင်များကိုဒေါင်းလုဒ်လုပ်ခြင်းတို့ကို လုပ်ဆောင်နိုင်သည်။

ကမ်ပိန်းသည် ယခုအချိန်အထိ မွန်ဂိုလီးယား၏ ပြည်သူ့ကဏ္ဍကို ပစ်မှတ်ထားပြီး အနောက်နိုင်ငံမှ ကျွမ်းကျင်သူအချို့၏ ပြောကြားချက်အရ ကမ္ဘာတစ်ဝှမ်းရှိ အစိုးရများနှင့် အဖွဲ့အစည်းအသီးသီးကို ဆန့်ကျင်သည့် တရုတ်စစ်ဆင်ရေးတွင် နောက်ဆုံးတိုက်ခိုက်မှုကို ကိုယ်စားပြုသည်ဟု ဆိုသည်။ ယခုတစ်ကြိမ်၊ ကမ်ပိန်း၏ထူးခြားချက်မှာ ၎င်း၏ ဖြစ်နိုင်ချေရှိသော သားကောင်များကို ပိုမိုတက်ကြွစွာ ကူးစက်စေရန် ကမ္ဘာလုံးဆိုင်ရာ ကိုရိုနာဗိုင်းရပ်အခြေအနေအသစ်ကို အသုံးပြုနေခြင်းပင်ဖြစ်သည်။

ဖြားယောင်းသောအီးမေးလ်သည် မွန်ဂိုလီးယားနိုင်ငံခြားရေးဌာနမှဖြစ်ပုံရပြီး ဗိုင်းရပ်စ်ကူးစက်ခံထားရသူအရေအတွက်နှင့်ပတ်သက်သောအချက်အလက်များပါရှိသည်ဟုဆိုထားသည်။ ဤဖိုင်ကို လက်နက်တပ်ဆင်ရန်အတွက် တိုက်ခိုက်သူများသည် ရှုပ်ထွေးသောညီမျှခြင်းများကိုဖန်တီးရန်အတွက် MS Word တွင် အားနည်းချက်များကို အသုံးချနိုင်သည့် မြှုပ်သွင်းထားသည့်အရာများဖြင့် စိတ်ကြိုက်စာရွက်စာတမ်းများဖန်တီးနိုင်စေသည့် တရုတ်ခြိမ်းခြောက်မှုထုတ်လုပ်သူများကြားတွင် ရေပန်းစားသည့်ကိရိယာ RoyalRoad ကို အသုံးပြုခဲ့သည်။

ရှင်သန်ခြင်းနည်းပညာများ

သားကောင်သည် အန္တရာယ်ရှိသော RTF ဖိုင်များကိုဖွင့်ပြီးသည်နှင့် Microsoft Word သည် အန္တရာယ်ရှိသောဖိုင် (intel.wll) ကို Word startup ဖိုင်တွဲ (%APPDATA%MicrosoftWordSTARTUP) သို့ တင်ရန် အားနည်းချက်ကို အသုံးချသည်။ ဤနည်းလမ်းကိုအသုံးပြုခြင်းဖြင့် ခြိမ်းခြောက်မှုကို ခံနိုင်ရည်ရှိစေရုံသာမက၊ သဲဘောက်စ်တစ်ခုအတွင်း လုပ်ဆောင်နေချိန်တွင် ဗိုင်းရပ်စ်ကူးစက်မှုကွင်းဆက်တစ်ခုလုံးကို ပေါက်ကွဲထွက်ခြင်းမှလည်း တားဆီးပေးပါသည်။

ထို့နောက် intel.wll ဖိုင်သည် malware ကို ဒေါင်းလုဒ်လုပ်ရန်နှင့် ဟက်ကာ၏ အမိန့်ပေးမှုနှင့် ထိန်းချုပ်မှုဆာဗာနှင့် ဆက်သွယ်ရန်အတွက် အသုံးပြုသည့် DLL ဖိုင်ကို တင်မည်ဖြစ်သည်။ အမိန့်ပေးမှုနှင့် ထိန်းချုပ်မှုဆာဗာသည် နေ့စဉ်အချိန်အတိုင်းအတာတစ်ခုအထိ တင်းကြပ်စွာလုပ်ဆောင်နေသောကြောင့် ကူးစက်မှုကွင်းဆက်၏ အရှုပ်ထွေးဆုံးအစိတ်အပိုင်းများကို ခွဲခြမ်းစိတ်ဖြာရန်နှင့် ဝင်ရောက်ရန်ခက်ခဲစေသည်။

ဤသို့ဖြစ်လင့်ကစား၊ ဤကွင်းဆက်၏ပထမအဆင့်တွင်၊ သင့်လျော်သော command ကိုလက်ခံရရှိပြီးနောက် ချက်ချင်းဆိုသလို RAT ကို loaded လုပ်ပြီး decrypted လုပ်ပြီး memory ထဲသို့ loaded ဖြစ်သည့် DLL ကို loaded လုပ်ထားကြောင်း သုတေသီများက ဆုံးဖြတ်နိုင်ခဲ့သည်။ ပလပ်အင်ကဲ့သို့သော ဗိသုကာလက်ရာသည် ဤကမ်ပိန်းတွင်မြင်ရသည့် payload အပြင် အခြားသော module များရှိကြောင်း အကြံပြုထားသည်။

APT အသစ်ကို ကာကွယ်ရန် အစီအမံများ

ဤအန္တရာယ်ရှိသော ကမ်ပိန်းသည် ၎င်း၏ သားကောင်များ၏ စနစ်များကို စိမ့်ဝင်ရန် လှည့်ကွက်များစွာကို အသုံးပြုပြီး ၎င်းတို့၏ သတင်းအချက်အလက် လုံခြုံရေးကို အလျှော့ပေးပါသည်။ ထိုသို့သော လှုံ့ဆော်မှုများမှ သင့်ကိုယ်သင် ကာကွယ်ရန်၊ အတိုင်းအတာများစွာကို လုပ်ဆောင်ရန် အရေးကြီးသည်။

ပထမအချက်မှာ အလွန်အရေးကြီးသည်- ဝန်ထမ်းများအတွက် အီးမေးလ်များလက်ခံရရှိသည့်အခါ ဂရုတစိုက်နှင့် ဂရုတစိုက်ရှိရန် အရေးကြီးပါသည်။ Email သည် အဓိက တိုက်ခိုက်ရေး အားနည်းချက်များထဲမှ တစ်ခုဖြစ်သော်လည်း အီးမေးလ်မပါဘဲ မည်သည့်ကုမ္ပဏီမှ လုပ်ဆောင်နိုင်ခြင်းမရှိပေ။ အကယ်၍ သင်သည် အမည်မသိ ပေးပို့သူထံမှ အီးမေးလ်တစ်စောင် လက်ခံရရှိပါက ၎င်းကို မဖွင့်ခြင်းသည် ပိုကောင်းပြီး၊ ၎င်းကို ဖွင့်ပါက ပူးတွဲပါဖိုင်များကို မဖွင့်ပါနှင့် သို့မဟုတ် မည်သည့်လင့်ခ်ကိုမဆို နှိပ်ပါ။

၎င်း၏သားကောင်များ၏ သတင်းအချက်အလက်လုံခြုံရေးကို အလျှော့ပေးရန်အတွက်၊ ဤတိုက်ခိုက်မှုသည် Word တွင် အားနည်းချက်တစ်ခုကို အသုံးချသည်။ တကယ်တော့၊ မပြင်ဆင်ထားတဲ့ အားနည်းချက်တွေက အကြောင်းအရင်းပါ။ ဆိုက်ဘာတိုက်ခိုက်မှုများစွာ အောင်မြင်ခဲ့သည်။နှင့် အခြားသော လုံခြုံရေးဆိုင်ရာ ပြဿနာများနှင့်အတူ ၎င်းတို့သည် ကြီးမားသော ဒေတာပေါက်ကြားမှုများကို ဖြစ်ပေါ်စေနိုင်သည်။ ထို့ကြောင့် အားနည်းချက်ကို အမြန်ဆုံးပိတ်ရန် သင့်လျော်သော patch ကို အသုံးပြုရန် အလွန်အရေးကြီးပါသည်။

အဆိုပါပြဿနာများကို ပပျောက်စေရန်အတွက် ဖော်ထုတ်ခြင်းအတွက် အထူးဒီဇိုင်းထုတ်ထားသော နည်းလမ်းများ ရှိကြောင်း၊ စီမံခန့်ခွဲမှုနှင့် patch များတပ်ဆင်ခြင်း။. မော်ဂျူးသည် ကုမ္ပဏီကွန်ပျူတာများ၏ လုံခြုံရေးကို သေချာစေရန်အတွက် လိုအပ်သော ဖာထေးမှုများကို အလိုအလျောက် ရှာဖွေပေးကာ၊ အရေးပေါ် အပ်ဒိတ်များကို ဦးစားပေး၍ ၎င်းတို့၏ တပ်ဆင်မှုကို အချိန်ဇယားဆွဲသည်။ အသုံးချမှုများနှင့် မဲလ်ဝဲများကို တွေ့ရှိသည့်အခါတွင်ပင် တပ်ဆင်မှုလိုအပ်သည့် ပက်ခ်များအကြောင်း အချက်အလက်များကို စီမံခန့်ခွဲသူထံ အစီရင်ခံထားသည်။

ဖြေရှင်းချက်သည် လိုအပ်သော ဖာထေးမှုများနှင့် အပ်ဒိတ်များ တပ်ဆင်ခြင်းကို ချက်ချင်း အစပျိုးနိုင်သည်၊ သို့မဟုတ် လိုအပ်ပါက ၎င်းတို့၏ တပ်ဆင်မှုကို ဝဘ်အခြေပြု ဗဟိုစီမံခန့်ခွဲမှု ကွန်ဆိုးလ်တစ်ခုမှ စီစဉ်နိုင်သည်။ ဤနည်းဖြင့်၊ အက်ဒမင်သည် ကုမ္ပဏီကို ချောမွေ့စွာလည်ပတ်နေစေရန် ပက်ခ်များနှင့် အပ်ဒိတ်များကို စီမံခန့်ခွဲနိုင်သည်။

ကံမကောင်းစွာပဲ၊ ဆိုက်ဘာတိုက်ခိုက်မှုသည် စီးပွားရေးလုပ်ငန်းများ၏ သတင်းအချက်အလက်လုံခြုံရေးကို အပေးအယူလုပ်ရန် လက်ရှိကမ္ဘာလုံးဆိုင်ရာ ကိုရိုနာဗိုင်းရပ်အခြေအနေမှ အခွင့်ကောင်းယူရန် နောက်ဆုံးဖြစ်လိမ့်မည်မဟုတ်ပေ။

source: www.habr.com