ការវាយប្រហារបែបបញ្ឆោតថ្មីដោយកេងចំណេញលើ Microsoft Teams Group Chats Request សម្រាប់ការជំរុញឯកសារដែលបានភ្ជាប់ ដើម្បីអាចដំឡើងកម្មវិធី DarkGate Malware Payloads នៅលើប្រព័ន្ធជនរងគ្រោះ។
ហេគឃ័រប្រើប្រាស់ការសម្របសម្រួលដើម្បីអាចគ្រប់គ្រង់លើ Teams User (or Domain) សម្រាប់ផ្ញើសារអញ្ជើញក្នុងក្រុម Teams Group Chats ផ្សេងទៀតជាង ១,០០០ បើយោងតាមការស្រាវជ្រាវរបស់ AT&T Cybersecurity។ បន្ទាប់ពីក្រុមគោលដៅទទួល Chat Request ហើយ ហេគឃ័របញ្ឆោតពួកគេឱ្យដោនឡូត File ដែលប្រើ Double Extension ឈ្មោះ “Navigating Future Changes October 2023.pdf.msi” នេះគឺជាតិចនិកដែលក្រុម DarkGate តែងតែប្រើ។ នៅពេលដំឡើងមេរោគរួច មេរោគនឹងចូលទៅដល់ Command-and-Control Server នៅឯ hgfdytrywq.com ដែលត្រូវបានបញ្ជាក់រួចរាល់ថា ជារចនាសម្ព័ន្ធមេរោគ DarkGate បើយោងតាម Palo Alto Networks។ ការវាយប្រហារបែបបញ្ឆោតនេះអាចធ្វើទៅបានដោយសារតែកម្មវិធី Microsoft អនុញ្ញាតឱ្យក្រុម Microsoft Teams Users ខាងក្រៅផ្ញើសារទៅកាន់អ្នកប្រើផ្សេងទៀតដោយស្វ័យប្រវត្តិ (Default)។ ភាគច្រើន សម្រាប់ការប្រើប្រាស់នៅក្នុងអាជីវកម្ម ការបិទ (Disabling) External Access នៅក្នុង Microsoft Teams ត្រូវបានណែនាំឱ្យប្រើ បើយោងតាមការព្រមានពីវិស្វករ Peter Boyle នៅ AT&T Cybersecurity។ តាមធម្មតា End Users គួរតែត្រូវបានបង្រៀនឱ្យប្រុងប្រយ័ត្នចំពោះសារដែលមិនបានស្នើសុំ (Unsolicited) ដែលផ្ញើចូល និងគួរតែចងចាំថា សារបែបនេះអាចជាការបញ្ឆោតដែលមានជាច្រើនទម្រង់ខុសៗគ្នា។
កម្មវិធី Microsoft Teams បានក្លាយជាគោលដៅដ៏គួរឱ្យចាប់អារម្មណ៍ពីសំណាក់ហេគឃ័រ បើយោងតាមចំនួនប្រើប្រាស់ដ៏ច្រើនសន្លឹកសន្ធាប់រហូតដល់ទៅ ២៨០លាននាក់ក្នុងមួយខែៗ។ ប្រតិបត្តិករមេរោគ DarkGate បង្កើតឱកាសដោយការជំរុញមេរោគរបស់ខ្លួនតាមរយៈ Microsoft Teams នៅក្នុងការវាយប្រហារដែលមានគោលដៅលើស្ថាប័ន Admins ដែលមិនបានបំពាក់ប្រព័ន្ធសុវត្ថិភាពលើអ្នកប្រើប្រាស់ (Tenant) របស់ពួកគេ តាមរយៈការបិទ External Access Setting នោះទេ។ យុទ្ធនាការស្រដៀងគ្នានេះដែរត្រូវបានគេមើលឃើញកាលពីឆ្នាំមុន ដោយការជំរុញមេរោគ DarkGate តាមរយៈការសម្របសម្រួលដើម្បីអាចគ្រប់គ្រង់លើគណនីរបស់ External Office 365 និង Skype Accounts ដែលបានផ្ញើសារដែលមានផ្ទុកឯកសារភ្ជាប់ VBA Loader Script។ ប្រតិបត្តិករចាប់ផ្តើមដំណើរការដំបូងដូចជា Storm-0324 ក៏បានប្រើ Microsoft Teams សម្រាប់ការបញ្ឆោតដើម្បីលួចចូលប្រតិបត្តិការបណ្តាញណិតវើកតាមរយៈ Tool សាធារណៈមួយឈ្មោះថា TeamsPhisher ផងដែរ ដែលអាចកេងចំណេញលើបញ្ហាសុវត្ថិភាពនៅក្នុង Microsoft Teams បាន។ TeamsPhisher អនុញ្ញាតឱ្យហេគឃ័រអាចផ្ញើ Payloads អាក្រក់ បើទោះជា មានការការពារខាងភាគីអតិថិជនបានបិទឯកសារបញ្ជូនចេញ (Block File Delivery) ពីគណនីអ្នកជួល (Tenant) ខាងក្រៅក្តី។ APT29 (គឺជាការហេគចូលរបស់សេវាស៊ើបការណ៍បរទេសរបស់រុស្ស៊ី (SVR)) បានកេងចំណេញលើបញ្ហាដដែលនេះដើម្បីវាយប្រហារលើស្ថាប័នជាច្រើននៅទូទាំងសកលលោករួមមានទាំងភ្នាក់ងាររដ្ឋាភិបាលផងដែរ។
ការកើនឡើងដ៏គំហុកនៃការវាយប្រហាររបស់មេរោគ DarkGate៖ បន្ទាប់ពីកិច្ចសហការបង្រ្កាបមេរោគ Qakbot Botnet កាលពីខែសីហា បានបញ្ចប់ ហេគឃ័រចាប់ផ្តើមប្តូរទិសដៅទៅប្រើមេរោគ DarkGate សម្រាប់ជាមធ្យោបាយចូលទៅកាន់បណ្តាញណិតវើកសាជីវកម្មវិញម្តង។ មុននឹងមេរោគ Qakbot Botnet ត្រូវបានបង្ក្រាប បុគ្គលដែលអះអាងថាជាអ្នកអភិវឌ្ឍមេរោគ DarkGate មានបំណងចង់លក់មេរោគក្នុងតម្លៃ ១០០,០០០ ដុល្លារសម្រាប់ការជាវប្រចាំឆ្នាំនៅលើវេទិកាហេគ។ អ្នកអភិវឌ្ឍ DarkGate បានថ្លែងថា មេរោគនេះមានសមត្ថភាពច្រើនដូចជាអាចលាក់ VNC ជា Tools ដើម្បីឆ្លងកាត់ Windows Defender, ជាប្រភេទ Tool ដែលអាចចូលទៅលួច Browser History, ជា Integrated Reverse Proxy, ជា File Manager និងជាអ្នកលួច Discord Token Stealer។ បន្ទាប់ពីការប្រកាសរបស់អ្នកអភិវឌ្ឍមេរោគរូបនេះ ក៏ចាប់ផ្តើមមានរបាយការណ៍ស្តីពី ការកើនឡើងនៃការចម្លងមេរោគ DarkGate ដ៏គំហុកជាមួយនឹងវិធីសាស្រ្តបញ្ជូនផ្សេងៗដែលកើតមាននៅក្នុងទម្រង់ជាឧក្រឹដ្ឋកម្មសាយប័ររួមមាន Phishing និង Malvertising ជាដើម៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣០ ខែមករា ឆ្នាំ២០២៤
