កាលពីថ្ងៃពុធ ក្រុមហ៊ុន Microsoft ថ្លែងថា ខ្លួនរកឃើញការវាយប្រហារបែប social engineering របស់ហេគឃ័ររដ្ឋជាតិរុស្ស៊ី ដែលប្រើការលួចបន្លំព័ត៌មានអត្តសញ្ញាណ ដើម្បីផ្ញើសារទៅកាន់ការជជែកកំសាន្ត Microsoft Teams។
ក្រុមហ៊ុនយក្សមួយនេះចែករំលែកពីការប្រហាររបស់ក្រុម Midnight Blizzard (ពីមុនជា Nobelium)។ វាក៏មានឈ្មោះហៅថា APT29, BlueBravo, Cozy Bear, Iron Hemlock and The Dukes។ ក្រុមហ៊ុនបន្តថា នៅក្នុងសកម្មភាពចុងក្រោយនេះ ហេគឃ័រប្រើអត្តសញ្ញាណអតិថិជន Microsoft 365 ដែលសម្របសម្រួលពីមុនដែលជាកម្មសិទ្ធិរបស់អាជីវកម្មខ្នាតតូច ដើម្បីបង្កើតដូមិនថ្មី ក្នុងទ្រង់ទ្រាយជាអង្គភាពផ្គត់ផ្គង់បច្ចេកទេស។ ការប្រើដូមិនទាំងនេះពីអ្នកអតិថិជន ដែលសម្របសម្រួលនោះ ក្រុមMidnight Blizzard អាចផ្ញើសារបញ្ឆោតដើម្បីលួចអត្តសញ្ញាណពីអង្គភាពគោលដៅដោយការទាក់ទាញអ្នកប្រើ និងការទទួលការយល់ព្រមនៃការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA)។
ក្រុមហ៊ុន Microsoft ថ្លែងថា យុទ្ធនាការនេះចាប់ផ្តើមតាំងពីចុងខែឧសភា ឆ្នាំ២០២៣ ហើយប៉ះពាល់ដល់ស្ថាប័នប្រមាណជា ៤០អង្គភាពនៅទូទាំងប្រទេសរួមមានរដ្ឋាភិបាល អង្គការ (NGOs) សេវា IT បច្ចេកវិទ្យា ផ្នែកផលិតកម្ម និងផ្នែកផ្សព្វផ្សាយ។ ហេគឃ័រត្រូវមើលឃើញថាប្រើបច្ចេកទេសលួចជាដំណើរការចាប់ផ្តើមនៅក្នុងមជ្ឈដ្ឋានគោលដៅ និងវិធីសាស្រ្តផ្សេងទៀតដូចជា ការបន្លំការផ្ទៀងផ្ទាត់ (authentication spear-phishing) លួចចូលទៅក្នុងគណនីនរណាម្នាក់ (password spray) និងលួចចូលដោយបំបែកពាក្យសម្ងាត់ (brute-force attacks)។ ម្យ៉ាងទៀតការប្រហារ hallmark ជាការកេងចំណេញនៃមជ្ឈដ្ឋានដើម្បីផ្លាស់ទីទៅកាន់ក្លោដនៅពេលក្រោយ ក៏ដូចជាការកេងចំណេញនៃទំនុករបស់អ្នកផ្តល់សេវាដើម្បីទទួលសិទ្ធិចូលដំណើរការទៅកាន់អតិថិជនថ្នាក់ក្រោម (downstream) ដូចដែលសង្កេតឃើញនៅក្នុងការហេគនៅក្នុង SolarWinds កាលពីឆ្នាំ២០២០។ នៅក្នុងរង្វង់នៃការប្រហារថ្មីៗទាក់ទងនឹង Midnight Blizzard, onmicrosoft.com សាបដូមិនថ្មី ត្រូវបន្ថែមជូនអតិថិជនដែលសម្របសម្រួលនៅក្នុងការប្រហារ ដែលមានបន្ថែមដោយការបង្កើតអ្នកប្រើថ្មីជាមួយសាបដូមិន ដើម្បីចាប់ផ្តើមស្នើសុំការជជែកជាមួយ Teams គោលដៅ ដោយបន្លំជាអ្នកបច្ចេកទេស ឬក្រុមការពារអត្តសញ្ញាណរបស់ Microsoft។
ក្រុមហ៊ុន Microsoft ពន្យល់ថា ប្រសិនបើអតិថិជនគោលដៅទទួលយកការស្នើសុំរបស់សារនោះ អតិថិជននឹងទទួលសារ Microsoft Teams ពីហេគឃ័រដែលព្យាយាមចង់ឱ្យជនរងគ្រោះវាយបញ្ចូលកូដទៅក្នុងកម្មវិធី Microsoft Authenticator នៅលើទូរស័ព្ទរបស់ពួកគេ។ បើជនរងគ្រោះធ្វើតាមការណែនាំនោះ ន័យថាហេគឃ័រមានសិទ្ធិទទួលការផ្ទៀងផ្ទាត់ដូចជនរងគ្រោះដែរ ដូច្នេះហេគឃ័រ អាចគ្រប់គ្រងលើគណនី និងតាមដានលើសកម្មភាពជនរងគ្រោះ។ ក្រុមហ៊ុន Microsoft ព្រមានថា នៅក្នុងករណីខ្លះ ហេគឃ័រចង់បន្ថែមឧបករណ៍ចូលក្នុងអង្គភាពដូចជាឧបករណ៍ដែលគ្រប់គ្រងតាមរយៈ Microsoft Entra ID (ពីមុនជា Azure Active Directory) ទំនងជាព្យាយាមគេចពីគោលការណ៍ចូលប្រើតាមលក្ខខណ្ឌដែលកំណត់រចនាសម្ព័ន្ធដើម្បីរឹតបន្តឹងការចូលប្រើឧបករណ៍ដែលគ្រប់គ្រងតែប៉ុណ្ណោះ។ លទ្ធផលនៃការប្រហារបែប phishing មានគោលដៅចំពោះស្ថាប័នស្ថានទូតនៅអឺរ៉ុប ជាមួយនឹងការចែកចាយទ្វារក្រោយថ្មីឈ្មោះ GraphicalProton។ ពួកគេប្រើវុិចទ័រការប្រហារ Azure AD (AAD) Connect ថ្មីដែលអាចឱ្យហេគឃ័របង្កើតទ្វារក្រោយដែលមិនអាចរកឃើញដោយលួចលេខកូដសម្ងាត់ (hashes of passwords) ដោយការចាក់បញ្ចូលកូដអាក្រក់ទៅក្នុងដំណើរការ hash syncing និងស្ទាក់ចាប់ព័ត៌មានសម្ងាត់ដោយ adversary-in-the-middle (AitM)។ ក្រុមហ៊ុន Sygnia បន្តថា ហេគឃ័រអាចប្រើការទាញ NT hashes ដើម្បីធានាថាពួកគេទទួលរាល់ការផ្លាស់ប្តូរពាក្យសម្ងាត់នាពេលខាងមុខនៅក្នុងដូមិន។ ហេគឃ័រក៏អាចប្រើ [Active Directory Certificate Services] ដើម្បីទទួល AAD Connector passwords ក៏ដូចជា man-in-the-middle និងធ្វើការប្រហារប្រឆាំងនឹង SSL-encrypted channels នៅក្នុងបណ្តាញណេតវកដោយការកេងចំណេញលើការកំណត់រចនាសម្ព័ន្ធខុសនៅក្នុង certificate templates ដែលមានការផ្ទៀងផ្ទាត់ពី server៕
