ក្រុមហ៊ុន Microsoft កំពុងតែអំពាវនាវឱ្យយកចិត្តទុកដាក់លើក្រុមឧក្រិដ្ឋជនសាយប័រដែលមានមូលដ្ឋាននៅប្រទេស Morocco ឈ្មោះ Storm-0539 ដែលនៅពីក្រោយការឆបោក Gift Card និងសម្របសម្រួលលួចតាមរយៈអ៊ីម៉ែល និងវាយប្រហារតាមសារ SMS។
ការជំរុញចិត្តរបស់ពួកគេគឺដើម្បីលួច Gift Cards ដើម្បីស្វែងរកប្រាក់ចំណេញ ដោយការលក់ Gift Cards តាមអនឡាញជាមួយនិងការបញ្ចុះតម្លៃ បើយោងតាមសំដីក្រុមហ៊ុន។ យើងបានឃើញឧទាហរណ៍ខ្លះដែលហេគឃ័របានលួចប្រាក់រហូតដល់ ១០០ពាន់ដុល្លារក្នុងមួយថ្ងៃពីក្រុមហ៊ុន។ ក្រុម Storm-0539 ត្រូវបានតាមដានដោយក្រុមហ៊ុន Microsoft កាលពីពាក់កណ្តាលខែធ្នូ ឆ្នាំ២០២៣ ទាក់ទងនឹងយុទ្ធនាការឆបោក Social Engineering នៅរដូវកាលបុណ្យចុងឆ្នាំ ដោយបានលួចអត្តសញ្ញាណរបស់ជនរងគ្រោះ និង Session Token តាមរយៈគេហទំព័រឆបោក Adversary-in-the-middle (AitM)។ ក្រុមនេះក៏ត្រូវបានគេហៅថា Atlas Lion និងធ្វើសកម្មភាពតាំងពីចុងឆ្នាំ២០២១ ហើយត្រូវបានគេស្គាល់បន្ទាប់ពីកេងចំណេញនៅដំណើរការដំបូង ដើម្បីកំណត់នូវឧបករណ៍ផ្ទាល់ខ្លួនរបស់ពួកគេ ដើម្បីអាចឆ្លងកាត់ការផ្ទៀងផ្ទាត់ រួមទាំងអាចដំណើរការបានជាប់លាប់ ការបង្កើនសិទ្ធិពិសេស និង ព្យាយាមសម្របសម្រួលដើម្បីគ្រប់គ្រងលើ Gift Card-Related Services ដោយការបង្កើត Gift Cards ក្លែងក្លាយ ដើម្បីសម្រួលដល់ការឆបោក។
ខ្សែច្រវាក់នៃការវាយប្រហារត្រូវបានបង្កើតឡើងដើម្បីទទួលបានដំណើរការចូលទៅកាន់មជ្ឈដ្ឋានក្លោដរបស់ជនរងគ្រោះ ដែលអនុញ្ញាតឱ្យហេគឃ័រអាចស៊ើបការណ៍ និងប្រើហេដ្ឋារចនាសម្ព័ន្ធ ដើម្បីសម្រេចគោលដៅចុងក្រោយរបស់ពួកគេ។ គោលដៅរបស់យុទ្ធនាការរួមមានអ្នកចែកចាយ (Retailers) ម៉ាកល្បីៗ និងភោជនីយដ្ឋានបែប Fast-Food ល្បីៗ។ គោលដៅចុងក្រោយរបស់ប្រតិបត្តិការគឺប្តូរតម្លៃដែលភ្ជាប់ជាមួយនឹងកាតទាំងនោះ លក់ Gift Cards ទៅឱ្យហេគឃ័រផ្សេងនៅលើទីផ្សារងងឹត ឬប្រើ Money Mules ដើម្បីដកប្រាក់ចេញពី Gift Cards ។ គោលដៅឧក្រិដ្ឋជនពាក់ព័ន្ធនឹងការប្រើ Gift Card Portals បង្ហាញពីការវិវត្តរបស់ហេគឃ័រ ដែលបានបញ្ចូលនៅក្នុងការលួចទិន្នន័យកាតបង់ប្រាក់ ដោយការប្រើប្រាស់មេរោគ Malware នៅលើឧបករណ៍ Point-of-Sale (PoS)។ អ្នកបង្កើតកម្មវិធី Windows បានថ្លែងថា គេបានឃើញចំនួនកើនឡើងដល់ទៅ ៣០% នៅក្នុងសកម្មភាពនៃការវាយប្រហាររបស់ក្រុម Storm-0539 នៅចន្លោះខែមីនា និងឧសភា ឆ្នាំ២០២៤ ដែលរៀបរាប់ថាហេគឃ័របានបង្កើនការយល់ដឹងកាន់តែស៊ីជម្រៅទាក់ទងនឹងក្លោដ តាមរយៈការស៊ើបអង្កេតលើដំណើរការចេញប័ណ្ណ Gift Card របស់ស្ថាប័ន។ នៅដើមខែនេះ ទីភ្នាក់ងារស៊ើបអង្កេត FBI បានចេញការណែនាំដោយព្រមានពីការវាយប្រហារដោយក្រុមហេគឃ័រដែលមានគោលដៅលើស្ថាប័ន Gift Card របស់សាជីវកម្មលក់រាយ ដែលប្រើឧបករណ៍ឆបោកដើម្បីឆ្លងកាត់ការផ្ទៀងផ្ទាត់ច្រើនកត្តា (MFA)។ ទីភ្នាក់ងារ FBI បានថ្លែងថា នៅក្នុងករណីមួយ សហគ្រាសបានរកឃើញសកម្មភាពឆបោក Gift Card របស់ក្រុម Storm-0539 នៅក្នុងប្រព័ន្ធរបស់ពួកគេ និងបានផ្លាស់ប្តូរ ដើម្បីការពារការបង្កើត Gift Card ក្លែងក្លាយ។ ក្រុម Storm-0539 បានបន្តការវាយប្រហារ និងលួចចូលទៅក្នុងប្រព័ន្ធរបស់សហគ្រាស។ បន្ទាប់មកហេគឃ័របានប្រើយុទ្ធសាស្រ្តដើម្បីកំណត់ទីតាំង Gift Card និងប្តូរអាសយដ្ឋានអ៊ីម៉ែលដែលពាក់ព័ន្ធទៅជាអ្នកគ្រប់គ្រងរបស់ក្រុម Storm-0539 ដើម្បីប្តូរយក Gift Card។
គួរកត់សម្គាល់ដែរថា សកម្មភាពរបស់ហេគឃ័រលើសពីការលួចអត្តសញ្ញាណរបស់បុគ្គលិកនាយកដ្ឋាន Gift Card ពួកគេក៏ពង្រីកខ្លួនទៅចាប់យកលេខកូដសម្ងាត់ (Secure Shell (SSH)) និងឃី (Keys) ដែលអាចស្វែងរកប្រាក់ពីការលក់ ឬប្រើសម្រាប់ធ្វើការវាយប្រហារនៅពេលក្រោយ។ តិចនិកផ្សេងទៀត ក្រុម Storm-0539 បានប្រើបញ្ជីអ៊ីម៉ែលរបស់ក្រុមហ៊ុនផ្ទៃក្នុងស្របច្បាប់ ដើម្បីផ្សព្វផ្សាយសារបន្លំ នៅពេលទទួលបានសិទ្ធិចូលដំណើរការដំបូង។ ក្រុមនេះក៏បានបង្កើតគណនី Trials ឬគណនីសិស្សនៅលើផ្លេតហ្វមសេវាក្លោដ ដើម្បីបង្កើតគេហទំព័រថ្មី។ ការកេងចំណេញលើរចនាសម្ព័ន្ធក្លោដ រួមមានការបន្លំជាអ្នកផ្តល់សេវាក្លោដដោយមិនស្វែងរកប្រាក់ចំណេញស្របច្បាប់នោះជាសញ្ញានៃការជំរុញឱ្យក្រុមហេគឃ័រអាចខ្ចីគេហទំព័រនេះ ដើម្បីទាញយកផលប្រយោជន៍ សម្រាប់បន្លំប្រតិបត្តិការរបស់ពួកគេ និងនៅតែមិនអាចរកឃើញការឆបោកនេះ។ ក្រុមហ៊ុន Microsoft បានបញ្ចុះបញ្ចូលឱ្យក្រុមហ៊ុនចេញ Gift Card ឱ្យដោះស្រាយបញ្ហា Gift Card Portals របស់ពួកគេដែលជាគោលដៅទាំងនោះ ដោយការត្រួតពិនិត្យលើការលុកចូល (Logins) ដែលគួរឱ្យសង្ស័យ។ ក្រុមហ៊ុនបានបន្តថា អង្គការក៏គួរតែពិចារណាអនុវត្ត MFA នៅក្នុងដំណើរការ Policies ដែលជាសំណើផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលត្រូវបានឱ្យតម្លៃដោយការប្រើបន្ថែមពីលើ Identify-Driven Signals ដូចជាព័ត៌មានទីតាំងអាសយដ្ឋាន IP ឬ Device Status ជាដើម។ ប្រតិបត្តិការក្រុម Storm-0539 ប្រើការលួងលោមតាមរយៈការប្រើប្រាស់អ៊ីម៉ែលស្របច្បាប់ដែលត្រូវបានគ្រប់គ្រង់ដោយក្រុម Storm-0539 និងបន្លំផ្លេតហ្វមស្របច្បាប់ដែលប្រើដោយក្រុមហ៊ុនគោលដៅ។
យុទ្ធនាការឧក្រិដ្ឋកម្មបានកេងចំណេញលើសេវារក្សាទុកក្លោដដូចជា Amazon S3, Google Cloud Storage, Backblaze B2 និង IBM Cloud Object Storage សម្រាប់ SMS-based Gift Card Scams បាននាំអ្នកប្រើទៅកាន់គេហទំព័រក្លែងក្លាយក្នុងគោលបំណងលួចយកព័ត៌មានសម្ងាត់។ អ្នកស្រាវជ្រាវ Enea បានថ្លែងថា URL ដែលលីងទៅកាន់កន្លែងរក្សាទុកក្លោដត្រូវបានចែកចាយតាមរយៈ Text Messages ទំនងជាត្រូវបានផ្ទៀងផ្ទាត់ និងអាចឆ្លងកាត់ការរឹតបន្តឹង Firewall។ នៅពេលអ្នកប្រើប្រាស់ទូរស័ព្ទចុចលើតំណរភ្ជាប់ដែលមានផ្ទុក Cloud Platform Domains ល្បីៗ ពួកគេអាចនាំអ្នកប្រើទៅកាន់គេហទំព័រដែលបានរក្សាទុកនៅក្នុង Storage Bucket។ បន្ទាប់មក គេហទំព័រនេះនាំអ្នកប្រើទៅកាន់ URLs ដែលមានផ្ទុកមេរោគ ឬបង្កើត URLs ដែលប្រើ JavaScript ដោយអ្នកប្រើប្រាស់មិនដឹងខ្លួន។ កាលពីដើមខែមេសា ឆ្នាំ២០២៣ ក្រុមហ៊ុន ក៏បានរកឃើញយុទ្ធនាការដែលពាក់ព័ន្ធនឹងការបង្កើត URLs ដែលប្រើ Google Address ស្របច្បាប់ “Google.come/amp” ហើយក្រោយមកត្រូវបានភ្ជាប់ជាមួយ Encoded Characters សម្រាប់លាក់ URL ឆបោក។ អ្នកស្រាវជ្រាវបានបន្តថា ការជឿទុកចិត្តបែបនេះកំពុងតែត្រូវបានកេងចំណេញដោយហេគឃ័រ ដែលព្យាយាមបញ្ឆោត Mobile Subscribers ដោយការលាក់ URLs ស្របច្បាប់នៅពីក្រោយ។ តិចនិចរបស់ហេគឃ័រអាចរួមមានការលួងលោម Subscribers ឱ្យចូលទៅកាន់គេហទំព័ររបស់ពួកគេក្រោមរូបភាពក្លែងបន្លំ និងលួចព័ត៌មានសម្ងាត់ដូចជា កាតក្រេឌីត អត្តសញ្ញាណអ៊ីម៉ែល ឬបណ្តាញសង្គម និងទិន្នន័យឯកជនផ្សេងៗទៀត៕
https://thehackernews.com/2024/05/moroccan-cybercrime-group-steals-up-to.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៧ ខែឧសភា ឆ្នាំ២០២៤
