ក្រសួងសុខាភិបាលអាមេរិក (Department of Health and Human (HHS)) បានព្រមានថា ហេគឃ័របច្ចុប្បន្នកំពុងតែប្រើបច្ចេកទេសឆបោកបែប Social Engineering ដើម្បីវាយប្រហារលើ IT Help Desk នៅទូទាំងវិស័យសុខាភិបាល និងសេវាថែទាំសុខភាពសាធារណៈ (Healthcare and Public Health (HPH))។
ក្រសួងបានប្រកាសថាមជ្ឈមណ្ឌលសម្របសម្រួលសន្តិសុខសាយប័រផ្នែកសុខាភិបាល (HC3) នៅសប្តាហ៍នេះបានថ្លែងថា តិចនិកនេះបានអនុញ្ញាតឱ្យហេគឃ័រលួចចូលទៅកាន់ប្រព័ន្ធរបស់អង្គភាពដោយបានលួចដាក់បញ្ចូលឧបករណ៍ផ្ទៀងផ្ទាត់ច្រើនកត្តារបស់ពួកគេផ្ទាល់ (MFA)។ នៅក្នុងការវាយប្រហារនេះ ហេគឃ័រប្រើកូដតំបន់ (Local Area Code) សម្រាប់ហៅទូរស័ព្ទទៅកាន់អង្គភាពដែលបន្លំជាបុគ្គលិកនៅក្នុងក្រសួងហិរញ្ញវត្ថុ និងផ្តល់ជូននូវ ID Verification Details ដែលបានលួច រួមមាន Corporate ID និងលេខសន្តិសុខសង្គម។
មានការប្រើព័ត៌មានសម្ងាត់នេះ និងបានលើកឡើងថាទូរស័ព្ទរបស់ពួកគេខូច (Broken) ដើម្បីធ្វើឱ្យបុគ្គលិក IT Help Desk ជឿជាក់ និងដាក់បញ្ចូលបន្ថែមឧបករណ៍ថ្មីរបស់ហេគឃ័រនៅក្នុង MFA ដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ហេគឃ័រ។ រឿងនេះផ្តល់ឱ្យហេគឃ័រអាចដំណើរការ Corporate Resources និងអនុញ្ញាតឱ្យហេគឃ័រអាចចូលទៅកាន់ប្រតិបត្តិការផ្ទេរប្រាក់ធនាគារ (Redirect Bank Transactions) នៅក្នុង Business Email Compromise Attacks។ ក្រុមការងារ HC3 បានថ្លែងថា ហេគឃ័រមានគោលដៅលើព័ត៌មាន Login ដែលទាក់ទងនឹង Payer Websites ដែលជាកន្លែងពួកគេ Submit ទម្រង់សម្រាប់ធ្វើការផ្លាស់ប្តូរ ACH សម្រាប់ Payer Account។ នៅពេលទទួលបានសិទ្ធិចូលដំណើរការគណនីរបស់បុគ្គលិក ហេគឃ័របានណែនាំទៅកាន់ Payment Processors ឱ្យបង្វែរការទូទាត់ស្របច្បាប់ទៅគណនីធនាគារអាមេរិកដែលគ្រប់គ្រងដោយហេគឃ័រ។
បន្ទាប់មក ប្រាក់ត្រូវបានផ្ទេរចេញទៅកាន់គណនីក្រៅប្រទេស (Overseas Accounts)។ នៅអំឡុងពេលបើកយុទ្ធនាការឆបោក ហេគឃ័រក៏បាន Registered a Domain ជាមួយនឹង Single Letter Variation របស់អង្គភាពគោលដៅ និងបង្កើតគណនីដែលបន្លំជាប្រធានផ្នែកហិរញ្ញវត្ថុ (CFO) របស់អង្គភាពគោលដៅ។ សម្រាប់ឧប្បត្តិហេតុនេះ ហេគឃ័រក៏បានប្រើសម្លេង AI ដែលជាកូពី Tools សម្រាប់បន្លំក្រុមគោលដៅ ដែលធ្វើឱ្យវាពិបាកក្នុងការកំណត់អត្តសញ្ញាណបានពីចម្ងាយណាស់។ បច្ចុប្បន្ន នេះជាតិចនិកដែលពេញនិយមបំផុត ប្រមាណជា ២០% នៃអ្នកឆបោកបានប្រើការបន្លំសម្លេងដោយប្រើ AI បើយោងតាមការសិក្សាជាសកល (Global Study)។
ក្រុមហេគឃ័រ Scattered Spider vibes:
តិចនិកពណ៌នានៅក្នុងក្រសួងសុខាភិបាលបានដាស់តឿនចំពោះការឆបោកស្រដៀងគ្នានេះដែរ ប៉ុន្តែចំពោះក្រុមហេគឃ័រ Scattered Spider (aka UNC3944 and oktapus) ក៏បានប្រើការឆបោក Phishing, MFA Bombing (aka MFA fatigue), និងការផ្លាស់ប្តូរស៊ីមកាត (SIM Swapping) ដើម្បីអាចចូលដំណើរការបណ្តាញណិតវើកនៅពេលចាប់ផ្តើម។ ក្រុមហេគឃ័រនេះតែងតែបន្លំជាបុគ្គលិក IT បញ្ឆោតបុគ្គលិកបម្រើសេវាអតិថិជន (Customer Service Staff) ឱ្យផ្តល់នូវអត្តសញ្ញាណ ឬ Tools ដំណើរការពីចម្ងាយ ដើម្បីលួចចូលទៅក្នុងបណ្តាញណេតវើករបស់ក្រុមគោលដៅ។ ក្រុមហេគឃ័រ Scattered Spider ថ្មីៗនេះបានអ៊ីនគ្រីប MGM Resort’s Systems ដោយប្រើមេរោគចាប់ជម្រិត BlackCat/ALPHV Ransomware។ ពួកគេក៏ល្បីល្បាញនៅក្នុងយុទ្ធនាការ Oktapus ដែលមានគោលដៅលើអង្គភាពជាង ១៣០ រួមមានក្រុមហ៊ុន Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games និង Best Buy។
FBI និង CISA បានចេញការណែនាំកាលពីខែវិច្ឆិកាពីតិចនិក បច្ចេកទេស និងដំណើរការ (TTPs) របស់ក្រុមហេគឃ័រ Scattered Spider ក្នុងការឆ្លើយតបចំពោះការលួចទិន្នន័យ និងមេរោគចាប់ជម្រិតប្រឆាំងនឹងក្រុមហ៊ុនល្បីៗ (Long String of High-Profile Companies)។ តែទោះជាយ៉ាងណា HC3 បានថ្លែងថា ឧប្បត្តិហេតុវិស័យសុខាភិបាលស្រដៀងគ្នានេះក៏បានរាយការណ៍ ប៉ុន្តែមិនទាន់បានវែកមុខឧក្រឹដ្ឋជន។
ដើម្បីបិទខ្ទប់ការវាយប្រហារចំពោះក្រុម IT Help Desk អង្គភាពនៅក្នុងវិស័យសុខាភិបាលត្រូវបានណែនាំដូចតទៅ៖
– តម្រូវឱ្យបុគ្គលិកទូរស័ព្ទត្រលប់ទៅវិញ (Callback) ដើម្បីបញ្ជាក់ពីអត្តសញ្ញាណបុគ្គលិកដែលស្នើសុំការកំណត់លេខសម្ងាត់ (Reset) និងឧបករណ៍ MFA ថ្មី
– ត្រួតពិនិត្យមើលការផ្លាស់ប្តូរ ACH ដែលគួរឱ្យសង្ស័យ
– ធ្វើឱ្យមានសុពលភាពឡើងវិញ (Revalidate) សម្រាប់អ្នកប្រើប្រាស់ទាំងអស់ជាមួយនឹងដំណើរការ Payer Websites
– សូមប្រុងប្រយ័ត្នចំពោះបុគ្គលដែលស្នើសុំ (Request) ថាព័ត៌មានសម្ងាត់មានបញ្ហា (Sensitive Matters)
– តម្រូវឱ្យប្រធានផ្នែកបញ្ជាក់បន្ថែម (Verify) ពីការស្នើសុំ
– បង្ហាត់បង្រៀនបុគ្គលិក (Help Desk Staff) ឱ្យចេះកំណត់ និងរាយការណ៍ពីបញ្ហាឆបោកបែប Social Engineering Techniques និងបញ្ជាក់អត្តសញ្ញាណរបស់អ្នកហៅទូរស័ព្ទ (Callers)
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៦ ខែមេសា ឆ្នាំ២០២៤
