ក្រុមគំរាមកំហែង Midnight Blizzard កំពុងចូលរួមក្នុងការបង្កើនសកម្មភាពវាយប្រហារព័ត៌មានសម្ងាត់។ ពួកគេលាក់បាំងប្រភពដើមនៃការវាយប្រហាររបស់ពួកគេដោយប្រើប្រាស់សេវាកម្ម residential proxy។ការវាយប្រហារទាំងនេះសំដៅទៅលើរដ្ឋាភិបាល អ្នកផ្តល់សេវាកម្ម IT អង្គការក្រៅរដ្ឋាភិបាល វិស័យការពារជាតិ និងការផលិតសំខាន់។ ការវាយប្រហារដោយ password spray, brute force, និងយុទ្ធសាស្ត្រ token theft ជាច្រើនត្រូវប្រើក្នុងការវាយប្រហារលួចព័ត៌មានសម្ងាត់ទាំងនេះ។
ការជួលអាសយដ្ឋាន IP ដែលមិនសូវល្បី និងសេវាកម្ម Proxy
ក្រុមគំរាមកំហែង Midnight Blizzard (NOBELIUM) វាយប្រហារវគ្គបន្តដោយការលួច ដែលភាគច្រើនទំនងជាទទួលតាមរយៈការលក់ខុសច្បាប់ ដើម្បីទទួលការចូលប្រើដំបូងទៅកាន់ធនធាន Cloud។ការតភ្ជាប់របស់ក្រុមគំរាមកំហែងធ្វើឡើងជាមួយនឹងព័ត៌មានសម្ងាត់ដែលត្រូវសម្របសម្រួលអាចត្រូវបិទបាំងដោយការប្រើប្រាស់អាសយដ្ឋាន IP ដែលមិនសូវល្បីឈ្មោះដូចជាការផ្តល់ឱ្យដោយអ្នកផ្តល់ residential proxy ជាដើម។
ក្រុមហ៊ុន Microsoft Threat Intelligence រាយការណ៍ថា អ្នកគំរាមកំហែងទំនងជាប្រើអាសយដ្ឋាន IP ទាំងនេះសម្រាប់តែរយៈពេលខ្លីតែប៉ុណ្ណោះ ដែលអាចធ្វើឱ្យការកំណត់វិសាលភាព និងដំណោះស្រាយមានការលំបាក។
ព័ត៌មានលម្អិតអំពី Midnight Blizzard Threat Actor (Microsoft)
ក្រុមហ៊ុន Microsoft បញ្ជាក់នៅលើបណ្តាញសង្គមទ្វីតធ័រឱ្យដឹងថា បញ្ហាកាន់តែពិបាកនៅពេលដែល ក្រុមគំរាមកំហែងប្រើតែអាសយដ្ឋាន IP ទាំងនេះម្តងម្កាល ដោយបង្កើតឧបសគ្គជាច្រើនសម្រាប់ប្រតិបត្តិការវិសាលភាព និងដំណោះស្រាយប្រកបដោយប្រសិទ្ធភាព។វាមានសារៈសំខាន់ក្នុងការកត់សម្គាល់ថា ក្រុមគម្រាមកំហែងតែមួយ ដែលមានឈ្មោះថា Midnight Blizzard ឬ NOBELIUM គឺជាអ្នកទទួលខុសត្រូវចំពោះការបំពានលើក្រុមហ៊ុន SolarWinds កាលពីចុងឆ្នាំ2021។
ក្រុមហ៊ុន Microsoft ពង្រឹងកិច្ចការពាររបស់ខ្លួនដើម្បីប្រយុទ្ធប្រឆាំងនឹងគ្រោះថ្នាក់ដែលកំពុងកើនឡើងនេះ។ ដើម្បីប្រឆាំងនឹងការវាយប្រហារទាំងនេះ ប្រព័ន្ធកម្មវិធី Microsoft Defender Antivirus, Defender for Endpoint, Defender for Cloud Apps, and Azure Active Directory ទាំងអស់ត្រូវផ្តល់ឱ្យនូវមុខងារសុវត្ថិភាពដ៏រឹងមាំ និងពង្រឹងសមត្ថភាពរាវរកកាន់តែប្រសើរឡើង៕
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយថ្ងៃទី២៣ ខែមិថុនា ឆ្នាំ២០២៣