ក្រុមហេគឃ័រ Scattered Spider ត្រូវបានគេមើលឃើញថា ក្លែងបន្លំជាជួលបុគ្គលិកនៅក្នុងក្រុមហ៊ុនគោលដៅ ក្នុងទម្រង់ជាដំណើរការជួលធម្មតា ដើម្បីគ្រប់គ្រងលើគណនី រួចក៏បើកចំហអង្គភាពគោលដៅនោះជាសាធារណៈ។ក្រុមហ៊ុន Microsoft បានពណ៌នាពីហេគឃ័រថា ក្រុមនេះគឺជាក្រុមឧក្រឹដ្ឋកម្មផ្នែកហិរញ្ញវត្ថុដ៏គ្រោះថ្នាក់មួយ ដែលមានសមត្ថភាពប្រើ SMS phishing, SIM swapping និងប្រើ Help Desk Fraud ដើម្បីជំនួយដល់ ការវាយប្រហារ។ ក្រុមហ៊ុនបានថ្លែងថា Octo Tempest គឺជាក្រុមហេគឃ័រជនជាតិដើមនិយាយភាសាអង់គ្លេសដែលល្បីខាងដាក់ចេញនូវយុទ្ធនាការដ៏ធំ ដែលមានលក្ខណៈជា Adversary-in-The-Middle (AiTM), Social Engineering និងសមត្ថភាពប្តូរស៊ីម (SIM swapping)។ គួរកត់សម្គាល់ដែរថា សកម្មភាពតំណាងដោយក្រុម Octo Tempest ត្រូវបានបន្លំជាក្រុមសាយប័រផ្សេងទៀត ក្រោមឈ្មោះផ្សេងៗរួមមាន៖ 0ktapus, Scatter Swine និង UNC3944 និងបានកំណត់ឈ្មោះជា Okta ដើម្បីទទួលបានសិទ្ធិ និងលួចចូលបណ្តាញ Network ដែលមានកំណត់គោលដៅ។
ចំណុចសំខាន់នៃការវាយប្រហារ មានការ Support ដើម្បីកំណត់គោលដៅ និងពីបុគ្គលិកផ្នែកជំនួយ (Help Desk) តាមរយៈការវាយប្រហារដោយការបន្លំជា Social Engineering ដើម្បីទទួលបានសិទ្ធិចូលដំណើរការគណនី ដោយការបញ្ឆោតជនរងគ្រោះឱ្យ Reset Password របស់ពួកគេឡើងវិញ និងវិធីសាស្រ្តការផ្ទៀងផ្ទាត់ពហុកត្តា (Multi-Factor Authentication (MFA))។ វិធីសាស្រ្តផ្សេងទៀតរួមមានការទិញលិខិតសំគាល់បុគ្គលិក ឬក៏ Session Token ដែលទទួលបាននៅលើទីផ្សារងងឹត ឬហៅទូរស័ព្ទទៅកាន់អ្នកប្រើប្រាស់ដោយផ្ទាល់ និងប្រើ Social Engineering ដើម្បីដំឡើង Remote Monitoring និង Management (RMM) Utility, ហើយឲ្យធ្វើការ Login ចូលទៅកាន់ Portal ក្លែងក្លាយដោយប្រើប្រាស់ AiTM Phishing Toolkit ឬលុប FID02 Token របស់ពួកគេ។ ការវាយប្រហារដំបូងបានធ្វើឡើងដោយក្រុមនេះកំណត់គោលដៅលើអ្នកផ្តល់សេវាទូរគមនាគមន៍ទូរស័ព្ទចល័ត និងស្ថាប័ន Business Process Outsourcing (BPO) ដើម្បីចាប់ផ្តើមផ្លាស់ប្តូរស៊ីម (SIM swaps) មុនពេលបញ្ចប់នូវការរកលុយដោយការលក់ SIM swaps ទៅឱ្យហេគឃ័រផ្សេង និងគ្រប់គ្រងលើគណនីបុគ្គលដែលមានតម្លៃដើម្បីលួចប្រាក់គ្រីបតូ។
ក្រុម Octo Tempest បានប្រើបច្ចេកទេសចម្រុះរួមមានការផ្តល់សេវាអ៊ីម៉ែល និងបច្ចេកទេស ហ្គេម បដិសណ្ឋារកិច្ច លក់រាយ អ្នកផ្តល់សេវាគ្រប់គ្រង (MSPs) វិស័យផលិតកម្ម បច្ចេកវិទ្យា និងហរិញ្ញវត្ថុ ខណៈពេលដំណាលគ្នានៃវត្តមានក្រុម BlackCat នៅពាក់កណ្តាលឆ្នាំ២០២៣ ដែលបានជម្រិតទារប្រាក់ជនរងគ្រោះ។ ខុសគ្នានៅត្រង់ចំណុចចុងក្រោយនៃការវាយប្រហារ ត្រង់ការលួចប្រាក់គ្រីបតូ និងការជម្រិតទារប្រាក់ថ្នូរនឹងទិន្នន័យ និងការដាក់ពង្រាយមេរោគចាប់ជម្រិត។
នៅចុងឆ្នាំ២០២២ និងដើមឆ្នាំ២០២៣ ក្រុម Octo Tempest ចាប់ផ្តើមវាយប្រហារដោយជម្រិតទារប្រាក់ពីស្ថាប័នដែលរងគ្រោះជាថ្នូរនឹងទិន្នន័យដែលលួចបាន នៅក្នុងពេលវាយប្រហារ និងចែកចាយព័ត៌មានដើម្បីគំរាមដល់រាងកាយ បើយោងតាមក្រុមហ៊ុន Microsoft។ នៅក្នុងករណីនេះកម្រណាស់ដែល Octo Tempest ចែកចាយព័ត៌មានដើម្បីគំរាមនោះ ឬក៏ទូរស័ព្ទ ឬផ្ញើសារ ទៅកាន់បុគ្គលជាជនរងគ្រោះផ្ទាល់ដើម្បីគំរាម។ ក្រុមហេគឃ័រនេះប្រើព័ត៌មានផ្ទាល់ខ្លួន ដូចជា អាសយដ្ឋានផ្ទះ និងឈ្មោះត្រកូល និងការគំរាមលើរាងកាយ ដើម្បីបង្ខំជនរងគ្រោះឱ្យផ្តល់ព័ត៌មានអត្តសញ្ញាណសម្រាប់ចូលដំណើរការសាជីវកម្ម។ បន្ទាប់ពី វាយប្រហារបានជោគជ័យ ហេគឃ័រអាចលួចយកការណ៍ និងបង្កើនសិទ្ធិ ឬក្រោយមកហេគឃ័រអាចលួចយកនូវនិតិវិធីច្បាប់នៃការបង្កើត Password, ការ Downloads ភាគច្រើនរបស់អ្នកប្រើប្រាស់ (bulk download of user), ជាក្រុម និង Role Exports។ តិចនិកគួរឱ្យកត់សម្គាល់ផ្សេងទៀតគឺការប្រើគណនីបុគ្គលិកសន្តិសុខដែលគ្រប់គ្រងចាត់ចែងនៅក្នុងស្ថាប័នជនរងគ្រោះ ដើម្បីរំខានដល់មុខងាររបស់ឧបករណ៍សុវត្ថិភាព នៅក្នុងបំណងគេចពីការតាមចាប់ និងបំពានលើច្បាប់ Mailbox Staff Security និងលុបអ៊ីម៉ែលដោយស្វ័យប្រវត្តិពីអ្នកផ្គត់ផ្គង់។
ក្រុមហ៊ុន Microsoft ដែលមានស្នាក់ការនៅទីក្រុង Redmond បានថ្លែងថា Tools និងតិចនិករបស់ក្រុម Octo Tempest ដែលរួមមានការគ្រប់គ្រងលើឧបករណ៍ និងកម្មវិធី ដើម្បីឆ្លងកាត់ការត្រួតពិនិត្យ និងប្រមូលនូវ MFA សម្រាប់ឆ្លងកាត់ MFA នោះ គឺបានចង្អុលបង្ហាញពីបច្ចេកទេសដ៏ជំនាញ និងសមត្ថភាពដ៏ស្មុគស្មាញក្នុងការតាមចាប់។ ក្រុមហ៊ុនក៏បានបន្ថែមថា តិចនិកតែមួយគត់របស់ក្រុម Octo Tempest គឺការជ្រៀតចូលគ្រប់គ្រងទៅលើ VMware ESXi infrastructure ដើម្បីដំឡើង Open-Source Linux Backdoor Bedevil និងដាក់ចេញនូវ VMware Python Scripts ឱ្យដំណើរការពាក្យបញ្ជាតាមចិត្តប្រឆាំងនឹង Housed Virtual Machines៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៦ ខែតុលា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
