တရုတ်ဟက်ကာများက အစိုးရ၏ ကွန်ရက်များပေါ်တွင် အဖျက်အမှောက်ပရိုဂရမ်များချရန် Google Drive ကိုအသုံးပြု

          အစိုးရ၏ ကျောထောက်နောက်ခံပြု တရုတ်ဟက်ကာများသည် ကမ္ဘာတစ်ဝှမ်းရှိ အစိုးရ၊ သုတေသနနှင့် ပညာရေးဆိုင်ရာ အဖွဲ့အစည်းများသို့ Google Drive တွင် သိမ်းဆည်းထားသော ကိုယ်ပိုင်အဖျက်အမှောက်ဆော့ဖ်ဝဲလ်များကို ပို့လွှတ်ရန် ပစ်မှတ်ထားတိုက်ခိုက်မှုတစ်ခုကို စတင်ခဲ့ပါသည်။

          သုတေသီများက ၂၀၂၂ ခုနှစ် မတ်လနှင့် အောက်တိုဘာလအကြားတွင် တိုက်ခိုက်မှုများကို စောင့်ကြည့်လေ့လာခဲ့ပြီး ၎င်းသည် ဆိုက်ဘာထောက်လှမ်းရေးအဖွဲ့ Mustang Panda (Bronze President, TA416) ဖြစ်သည်ဟု သတ်မှတ်ကြသည်။

          Trend Micro မှ သုတေသီများ၏အဆိုအရ အဆိုပါ ခြိမ်းခြောက်သူသည် သြစတြေးလျ၊ ဂျပန်၊ ထိုင်ဝမ်၊ မြန်မာနှင့် ဖိလစ်ပိုင်နိုင်ငံရှိ အဖွဲ့အစည်းအများစုကို ပစ်မှတ်ထားတိုက်ခိုက်ခဲ့ကြောင်း သိရပါသည်။

          တရုတ်ဟက်ကာများသည် ၎င်းတို့၏ပစ်မှတ်ထံသို့ ဆွဲဆောင်မှုရှိသောအီးမေးလ်များ ပေးပို့ရာတွင် Google အကောင့်များကို အသုံးပြုခဲ့ပြီး Google Drive လင့်များမှ ၎င်းတို့၏ကိုယ်ပိုင်အဖျက်အမှောက်ဆော့ဖ်ဝဲလ်များကို Download လုပ်စေရန် လှည့်စားခဲ့ကြသည်။

တိုက်ခိုက်ခံရမှု အသေးစိတ်

          ယနေ့ အစီရင်ခံစာတစ်ခုတွင် Trend Micro မှသုတေသီများက ဟက်ကာများသည် ပထဝီနိုင်ငံရေးအကြောင်းဆိုင်ရာ မက်ဆေ့ချ်များကို အသုံးပြုခဲ့ပြီး ၎င်းတို့ထဲမှ အများစု (၈၄%) မှာ အစိုးရ/တရားရေးဆိုင်ရာ အဖွဲ့အစည်းများကို ပစ်မှတ်ထားခဲ့သည်ဟု ဆိုသည်။

          လုံခြုံရေးယန္တရားများကို ကျော်ဖြတ်ရန် ထည့်သွင်းထားသော အဆိုပါ မြှုပ်ထားသည့်လင့်ခ်က Google Drive သို့မဟုတ် DropBox Folder ကို ညွှန်းထားပြီး အဆိုပါတရားဝင်ပလက်ဖောင်းနှစ်ခုလုံးသည် ပုံမှန်အားဖြင့် လုံခြုံရေးယန္တရားများက သံသယဝင်မှုနည်းပါးကာ နာမည်ကောင်း ရှိထားသောကြောင့် ဖြစ်သည်။

          ထိုလင့်များသည် ToneShell၊ ToneIns နှင့် PubLoad ကဲ့သို့သော ကိုယ်တိုင်ပြုပြင်ထားသည့် အဖျက်အမှောက်ဆော့ဖ်ဝဲလ်များပါသည့် ချုံ့ထားသောဖိုင်များ (RAR၊ ZIP နှင့် JAR)ကို Download လုပ်စေပါသည်။

          “အီးမေးလ်၏ အကြောင်းအရာသည် ဗလာသက်သက် သို့မဟုတ် အန္တရာယ်ရှိသော Archive ဖိုင်နှင့် အမည်တူ ဖြစ်နိုင်သည်” ဟု အစီရင်ခံစာတွင် ရှင်းပြထားပါသည်။

          ဟက်ကာများသည် အမျိုးမျိုးသော အဖျက်အမှောက်ဖိုင်သွတ်သွင်းခြင်းနည်းလမ်းများကို အသုံးပြုခဲ့သော်လည်း လုပ်ငန်းစဉ်တွင် ပုံမှန်အားဖြင့် တိုက်ခိုက်ခံရသူက Archive ဖိုင်များတွင် ပါရှိသော ပရိုဂရမ်တစ်ခုခုကို နှိပ်လိုက်လျှင် DLL ဖိုင်အား ခေါ်ယူအသုံးပြုနိုင်မည့်နည်းလမ်း ပါဝင်သည်။ Document ဖိုင်အတုကို ပြသခြင်းဖြင့် သံသယနည်းစေပါသည်။

အဖျက်အမှောက်ဆော့ဖ်ဝဲလ်၏ ဆင့်ကဲပြောင်းလဲခြင်း

          ဤလှုပ်ရှားမှုတွင်အသုံးပြုသည့် အဖျက်အမှောက်ဆော့ဖ်ဝဲလ် သုံးမျိုးမှာ PubLoad၊ ToneIns နှင့် ToneShell တို့ဖြစ်သည်။

          လှုပ်ရှားမှုတွင် အသုံးပြုသည့် အဖျက်အမှောက်ဆော့ဖ်ဝဲလ် သုံးခုတွင် PubLoad သည် ဥရောပကို ပစ်မှတ်ထားသည့်လှုပ်ရှားမှုအဖြစ် ၂၀၂၂ ခုနှစ်၊ မေလ၌ Cisco Talos အစီရင်ခံစာတွင် ရေးသားဖော်ပြထားခဲ့သည်။

          PubLoad သည် ကွန်ပျူတာတွင် အချိန်ပြည့်အလုပ်လုပ်နိုင်စေရန်အတွက် Registry တွင် Key များ ပေါင်းထည့်ခြင်း၊ Scheduled Task ဖန်တီးခြင်း၊ Shellcode များကို ပြန်ဖြည်ခြင်းနှင့် အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာများ (C2) ထံ ဆက်သွယ်မှုပြုလုပ်ခြင်းများ ဆောင်ရွက်သည့် Stager ပရိုဂရမ် တစ်ခုဖြစ်သည်။

          PubLoad ၏ နောက်ပိုင်းဗားရှင်းများတွင် ပိုမိုအဆင့်မြင့်သော၊ ပရိုဂရမ်အား စစ်ဆေးမှုကို တန်ပြန်နိုင်သည့်လုပ်ငန်းစဉ်များပါရှိပြီး Mustang Panda အနေဖြင့် အဆိုပါလုပ်ငန်းစဉ်အား တိုးတက်မှုရှိစေရန် တက်ကြွစွာ လုပ်ဆောင်နေသည်ဟု Trend Micro က ပြောဆိုသည်။

          ToneIns သည် မကြာသေးသောလှုပ်ရှားမှုတွင် အသုံးပြုခဲ့သည့် အဓိက Backdoor ဖြစ်သော ToneShell အတွက် Installer ဖိုင်တစ်ခုဖြစ်သည်။ ၎င်းက ဆိုက်ဘာလုံခြုံရေးစနစ်များ၏ စုံစမ်းမှုကို ကျော်လွှားနိုင်ရန် ကုဒ်များကို Obfuscate ပြုလုပ်ပြီး တိုက်ခိုက်ခံရသောကွန်ပျူတာများတွင် ရေရှည်နေနိုင်ရန်အတွက် ToneShell ကို ခေါ်ယူသုံးစွဲပါသည်။

          ToneShell သည် ကွန်ပျူတာမှတ်ဉာဏ်တွင် တိုက်ရိုက်အလုပ်လုပ်နိုင်သော သီးခြားရပ်တည်နိုင်သည့် Backdoor ဖြစ်ပြီး ကိုယ်ပိုင်ဖန်တီးထားသော Exception များမှတစ်ဆင့် ရှုပ်ထွေးသောကုဒ်များကို အလုပ်လုပ်စေနိုင်သည်။

          ကုဒ်စစ်ဆေးသည့်ပရိုဂရမ်များအောက်တွင် Backdoor က အလုပ်မလုပ်သောကြောင့် ဤအချက်က ကွန်ပျူတာတုတန်ပြန်ဆန့်ကျင်ရေးစနစ်အဖြစ်လည်း လုပ်ဆောင်သည်။

          C2 ဆာဗာနှင့်ချိတ်ဆက်ပြီးနောက် ToneShell က တိုက်ခိုက်ခံရသူ၏ ID နှင့်ပတ်သက်သော အချက်ပြဒေတာကို ပေးပို့ပြီးနောက် ညွှန်ကြားချက်အသစ်ကို စောင့်ဆိုင်းပါသည်။

          ထိုအမိန့်များက ဖိုင်များကို တင်ခြင်း၊ ဆွဲယူခြင်းနှင့် အလုပ်လုပ်ခြင်း၊ အတွင်းပိုင်းကွန်ရက်ဒေတာများ ဖလှယ်ခြင်းအတွက် Shell များကို ဖန်တီးခြင်း၊ အလုပ်မလုပ်စေဘဲ ခေတ္တရပ်နားစေမည့် အစီအစဉ်များကို ပြောင်းလဲခြင်းနှင့် အခြားသောလုပ်ဆောင်ချက်များကို ဆောင်ရွက်စေသည်။

Mustang Panda ၏လုပ်ဆောင်ချက်

          မကြာသေးခင်က ထိုလှုပ်ရှားမှုတွင် ၂၀၂၂ ခုနှစ်၊ စက်တင်ဘာလ၌ Secureworks က အစီရင်ခံခဲ့သည့် Mustang Panda ကသုံးခဲ့သော တူညီသော နည်းပညာ၊ နည်းဗျူဟာနှင့် လုပ်ငန်းစဉ်များ (TTP) ဖြစ်နေသည်ဟု Trend Micro က ဆိုပါသည်။

          နောက်ဆုံးလှုပ်ရှားမှုက ပိုမိုကောင်းမွန်သည့် အဖျက်အမှောက်လုပ်ဆောင်ချက်များနှင့် ပိုမိုတိုက်ခိုက်နိုင်မှု စွမ်းဆောင်ရည်များပါဝင်သည့် လက္ခဏာများကို ပြသပြီး ထောက်လှမ်းရေးသတင်းများစုဆောင်းရန်နှင့် ပစ်မှတ်ကိုတိုက်ခိုက်ရန်အတွက် တရုတ်ဟက်ကာများ၏ စွမ်းဆောင်ရည်ကို တိုးမြင့်စေသည်။

          Mustang Panda အနေဖြင့် ဥရောပတွင် ၎င်းတို့၏လုပ်ငန်းများကို အဓိကထားဆောင်ရွက်နေပြီး အဆင့်မြင့်သံတမန်များကို ပစ်မှတ်ထားတိုက်ခိုက်နေကြောင်း Proofpoint က ဤနှစ်အစောပိုင်းတွင် အစီရင်ခံခဲ့သည်။

          Secureworks ၏အစီရင်ခံစာအရ ရုရှားအရာရှိများကို ပစ်မှတ်ထားတိုက်ခိုက်သည့် သီးခြား Mustang Panda လှုပ်ရှားမှုတစ်ခုကို တစ်ချိန်တည်းမှာပင် တွေ့ရှိခဲ့ပါသည်။

          ၂၀၂၂ ခုနှစ်၊ မတ်လတွင် ESET သည် အရှေ့တောင်အာရှ၊ ဥရောပတောင်ပိုင်းနှင့် အာဖရိကရှိ Mustang Panda ၏ လှုပ်ရှားဆောင်ရွက်မှုများကို စူးစမ်းလေ့လာခဲ့ပြီး တရုတ်ထောက်လှမ်းရေးဂိုဏ်းသည် အချိန်တိုအတွင်းသာ အာရုံစိုက်လုပ်ဆောင်မှုများ ရှိနေသော်လည်း တစ်ကမ္ဘာလုံးဆိုင်ရာ ခြိမ်းခြောက်မှုတစ်ခုဖြစ်နေပါကြောင်း ...

Bill Toulas ၏ “Chinese hackers use Google Drive to drop malware on govt networks” ကို မြတ်သဇင်မွန် ဘာသာပြန်ဆိုပါသည်။