ក្រុមការងារ CSA និង FBI បានសហការគ្នាធ្វើការវិភាគជាច្រើនប្រភេទទៅលើសកម្មភាពលួចចូល(ហេគ)។ នៅក្នុងដំណើរការវិភាគ គេរំពឹងថានឹងអាចរកឃើញមានក្រុមគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរុស្ស៊ី និងគោលដៅរបស់ពួកគេជុំវិញប្រទេសអ៊ុយក្រែន និងផ្នែកផ្សេងទៀតនៃពិភពលោក។ បច្ចុប្បន្ននេះ ក្រុមហេគឃ័របានបំពានលើអង្គភាព ដែលបានប្រើមុខងារ Duo MFA របស់ក្រុមហ៊ុន Cisco ដោយក្រុមហេគឃ័រអាចចូលដំណើរការទៅក្នុង cloud និងគណនីអ៊ីម៉េល ដើម្បីលួចឯកសារ។ កាលពីដើមខែឧសភា ឆ្នាំ២០២១ FBI ក៏ធ្លាប់ព្រមានពីបញ្ហានេះផងដែរ។
ដោយសារតែភាពអសកម្មរបស់គណនីដែលរងការសម្របសម្រួល មុខងារ MFA ក៏បិទដំណើរការ ហើយជាពិសេសគណនីមិនត្រូវបានដកចេញពី directory សកម្មទេ។ ក្រុមហេគឃ័របានប្រើប្រាស់គណនីទាំងនោះ និងគ្រប់គ្រងគណនីទាំងនោះ។
ដើម្បីទទួលបានសិទ្ធគ្រប់គ្រងពេញលេញ ហេគឃ័របានប្រើប្រាស់ចំណុចងាយរងគ្រោះ “PrintNightmare” និងចូលទៅគ្រប់គ្រងលើប្រព័ន្ធ។ ក្រោយពីបានសិទ្ធពេញលេញហើយ ក្រុមហេគឃ័របានប្តូរហ្វាល C:\windows\system32\drivers\etc\hosts ដើម្បីកែប្រែ MFA។ ពួកគេ បានប្តូរឯកសាររបស់ម៉ាស៊ីនមេ និងប្តូរ IP Server Duo ទៅជា localhost។ ក្រោយពីពួកគេបានចូលទៅដំណើរការបណ្តាញ Virtual Private Network រួច ក្រុមហេគឃ័រមុខងារបញ្ជាពីចម្ងាយ Remote Desktop Protocol ដើម្បីភ្ជាប់ទៅប្រព័ន្ធបញ្ជា Windows Domain Controller។ បន្ទាប់មកពួកគេបានប្រើគណនីដែលហេគបានដើម្បីធ្វើសកម្មភាពបន្តនៅក្នុងអង្គភាពទាំងនោះ។
នៅក្នុងដំណើរការវិភាគ គេរកឃើញថា ប្រព័ន្ធដែលអាចរងការសម្របសម្រួលមានដូចជា ping[.]exe, regedit[.]exe, rar[.]exe, ntdsutil[.]exe។ ហ្វាលដែលរងការសម្របសម្រួលមានដូចជា 127.0.0.1 api-.duosecurity[.]com ។ អាសយដ្ឋាន IP ដែលត្រូវភ្នាក់ងារគំរាមកំហែងប្រើប្រាស់មានដូចជា៖45.32.137[.]94, 191.96.121[.]162, 173.239.198[.]46, និង 157.230.81[.]39។
ភ្នាក់ងារ FBI បានផ្តល់វិធីសាស្ត្រពិនិត្យមើលលើគណនីរងការសម្របសម្រួលដូចខាងក្រោម៖
-បើកមុខងារ MFA ទៅកាន់អ្នកប្រើប្រាស់ទាំងអស់តាមដែលអាចធ្វើទៅបាន
-កំណត់រចនាសម្ព័ន្ធគោលការណ៍ថ្មីសម្រាប់ “fail open”
-ត្រូវប្រាកដថាបានលុបគណនីទាំងអស់ដែលសន្មតថាបិទដំណើរការ
-ធ្វើបច្ចុប្បន្នភាពលើកម្មវិធីទាំងអស់ និងជួសជុលកម្មវិធីទាំងនោះ
-ត្រួតពិនិត្យមើលការលុកចូលគួរឱ្យសង្ស័យ
-មិនអនុញ្ញាតឱ្យនិយោជិតប្រើលេខសម្ងាត់ដូចៗគ្នាពេលលុកចូល៕
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយថ្ងៃទី១៧ ខែមីនា ឆ្នាំ២០២២
