ក្រុមហ៊ុនបច្ចេកវិទ្យា Microsoftរកឃើញក្រុមហេគឃ័រថ្មីដែលមានឈ្មោះហៅថា Flax Typhoon ដែលមានគោលដៅក្នុងការវាយប្រហារទៅលើទីភ្នាក់ងាររដ្ឋាភិបាល ស្ថាប័នអប់រំ ក្រុមហ៊ុនផលិតសំខាន់ និងស្ថាប័នព័ត៌មានបច្ចេកវិទ្យាថែមទៀត។ ក្រុមហេគឃ័រនេះមិនពឹងផ្អែកខ្លាំងទៅលើការចែកចាយមេរោគ ransomware នោះទេ ហើយក្រុមហេគឃ័រនេះគឺចូលទៅតាមបណ្តាញ network របស់អ្នកប្រើប្រាស់តាមរយៈ living-off-the-land binaries ឬ LOLBins ។
នៅក្នុងការប្រតិបត្តិចាប់តាំងពីពាក់កណ្តាលឆ្នាំ 2021 នេះ ក្រុមហេគឃ័រ Flax Typhoon មានគោលដៅវាយប្រហារទៅលើស្ថាប័នជាច្រើននៅតៃវ៉ាន់ ទោះបីជាក្រុមហ៊ុន Microsoft រកឃើញនូវជនរងគ្រោះជាច្រើនដែលស្ថិតនៅក្នុងតំបន់អាស៊ីអាគ្នេយ៍ អាមេរិកខាងជើង និងអាហ្វ្រិកផងដែរ។ នៅក្នុងយុទ្ធនាការនេះ ក្រុមហេគឃ័រ Flax Typhoon ចូលទៅក្នុងភាពងាយរងគ្រោះជាច្រើននៅក្នុង public-facing servers ដូចជា VPN, web, Java និង SQL applications ។
ក្រុមហេគឃ័រនេះក៏ទម្លាយនូវ China Chopper ឬ Web Shell ដែលមានទំហំ 4KB សម្រាប់ប្រតិបត្តិទៅលើការបញ្ជាកូដពីចម្ងាយបាន។ ក្រុមហេគឃ័រក៏បានបំពានទៅលើសិទ្ធិជា Admin ដោយប្រើប្រាស់នូវ ‘Juicy Potato’ និង ‘BadPotato’ open-source tools ដើម្បីមានសិទ្ធិគ្រប់គ្រងច្រើនជាងមុនទៅលើប្រព័ន្ធ។
ក្រុមហ៊ុន Microsoft និយាយថា “ក្រុមហេគឃ័រ Flax Typhoon អាចចូលទៅកាន់ compromised system បានតាមរយៈ RDP ដោយប្រើប្រាស់នូវ Sticky Keys shortcut នៅក្នុង sign-in screen និងចូលទៅកាន់ Task Manager ជាមួយនឹង local system privileges បានថែមទៀតដើម្បីធ្វើសកម្មភាពជាច្រើននៅក្នុងប្រព័ន្ធ system ដែលគ្រប់គ្រងបាននេះ។” ក្រុមហ៊ុន Microsoft បានណែនាំអោយស្ថាប័នជាច្រើនធ្វើការប្រើប្រាស់នូវវិធានការសុវត្ថិភាពតាមរយៈការអាប់ដេតទៅលើ internet-exposed endpoints, public-facing servers និងការបើកទៅលើមុខងារ multi-factor authentication (MFA) គ្រប់គណនីអ្នកប្រើប្រាស់ទាំងអស់ផងដែរ៕
