ក្រុមមេរោគចាប់ជម្រិតកំពុងតែបង្កើនការវាយប្រហារដោយប្រើប្រាស់ការផ្ញើអ៊ីម៉ែលដ៏ច្រើន (Email Bombing) បន្ទាប់ពីបានបង្ហោះការគាំទ្របច្ចេកវិទ្យា (Tech Support) នៅក្នុងការហៅទូរស័ព្ទ Microsoft Teams Calls ដើម្បីបញ្ឆោតបុគ្គលិកឱ្យអនុញ្ញាតការគ្រប់គ្រងបានពីចម្ងាយ និងក្នុងគោលបំណងដើម្បីដំឡើងមេរោគដែលផ្តល់ដំណើរការបណ្តាញណិតវើករបស់ក្រុមហ៊ុន។
ហេគឃ័រកំពុងតែផ្ញើសារឆបោករាប់ពាន់នៅក្នុងរយៈពេលដ៏ខ្លី បន្ទាប់មកហៅទូរស័ព្ទទៅកាន់គោលដៅពី Office 365 Instance ដែលគ្រប់គ្រងដោយហេគឃ័រដោយបន្លំជាការផ្តល់សេវា IT។ តិចនិកនេះត្រូវបានគេមើលឃើញតាំងពីឆ្នាំមុន នៅក្នុងការវាយប្រហារដែលប្រើដោយមេរោគចាប់ជម្រិត Black Basta ប៉ុន្តែអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនសន្តិសុខសាយប័រ Sophos បានឃើញវិធីសាស្រ្តដូចគ្នានេះកំពុងតែត្រូវបានប្រើដោយហេគឃ័រដទៃទៀត ប្រហែលជាមានជាប់ទាក់ទងនឹងក្រុម FIN7។
ដើម្បីចូលទៅដល់បុគ្គលិកក្រុមហ៊ុន ហេគឃ័របានធ្វើការកេងចំណេញលើ Default Microsoft Teams Configuration នៅក្នុងអង្គភាពគោលដៅ ដើម្បីអនុញ្ញាតក្នុងការហៅចូល និងការជជែកពី Domains ខាងក្រៅ។
សកម្មភាពត្រូវបានឃ្លាំមើល៖ យុទ្ធនាការដំបូងដែលក្រុមហ៊ុន Sophos បានស៊ើបអង្កេតនោះមានទាក់ទងនឹងក្រុមអ្នកស្រាវជ្រាវផ្ទៃក្នុងដូចជា STAC5143។ ហេគឃ័របានចាប់ផ្តើមធ្វើការវាយប្រហារដោយការផ្ញើអ៊ីម៉ែលទៅគោលដៅនូវចំនួនដ៏ច្រើនប្រមាណជា ៣,០០០សារនៅក្នុងរយៈពេល ៤៥នាទី។ បន្ទាប់ពីនោះភ្លាម បុគ្គលិកគោលដៅបានទទួលការហៅទូរស័ព្ទចូលពីខាងក្រៅដោយប្រើប្រាស់គណនីឈ្មោះ “Help Desk Manager”។ ហេគឃ័របានធ្វើឱ្យជនរងគ្រោះដំឡើង Control Session អេក្រង់ពីចម្ងាយតាមរយៈ Microsoft Teams។ ហេគឃ័របានទម្លាក់ Java Archive (JAR) file (MailQueue-Handler.jar) និង Python Scripts (RPivot Backdoor) ដែលបានបង្ហោះនៅលើ External SharePoint link។
JAR file បានប្រតិបត្តិ PowerShell Commands សម្រាប់ដោនឡូត ProtonVPN Executable ស្របច្បាប់ដែល Side-Loaded a Malicious DLL (nethost.dll)។ DLL បង្កើត C2 Communication Channel ដែលបានអ៊ីនគ្រីបជាមួយនឹង External IPs សម្រាប់ហេគឃ័រអាចបញ្ជាកុំព្យូទ័រដែលត្រូវបានសម្របសម្រួលយកមកគ្រប់គ្រងបានពីចម្ងាយ។ ហេគឃ័រក៏អាចដំណើរការ Windows Management Instrumentation (WMIC) និង whoami.exe ដើម្បីឆែកព័ត៌មានលម្អិតប្រព័ន្ធ និងបន្ទាប់មកដាក់ពង្រាយមេរោគ Java Malware សម្រាប់ប្រតិបត្តិ RPivot ដែលជា Tool តេស្តជ្រៀតចូលដែលអនុញ្ញាត SOCKS4 proxy tunneling សម្រាប់ការផ្ញើពាក្យបញ្ជា (commands)។
RPivot ត្រូវបានប្រើកាលពីមុន នៅក្នុងការវាយប្រហារដោយក្រុម FIN7។ ជាងនេះទៀត តិចនិកបន្លំក៏ត្រូវបានមើលឃើញកាលពីមុន នៅក្នុងយុទ្ធនាការ FIN7 ផងដែរ។ ទោះជាយ៉ាងណា តាំងពី RPivot និងកូដសម្រាប់បន្លំត្រូវបានផ្សព្វផ្សាយជាសាធារណៈ ក្រុមហ៊ុន Sophos មិនទុកចិត្តក្នុងការភ្ជាប់ការវាយប្រហារ STAC5143 ទៅនឹងសកម្មភាព FIN7 ទេ ជាពិសេសចាប់តាំងពី FIN7 ត្រូវបានគេដឹងថា វាបានលក់ Tool របស់ខ្លួនទៅឱ្យក្រុមឧក្រិដ្ឋជនសាយប័រផ្សេងទៀត។ អ្នកស្រាវជ្រាវពន្យល់ថា ក្រុមហ៊ុន Sophos ដំណើរការដោយទំនុកចិត្តថា មេរោគ Python ត្រូវបានប្រើនៅក្នុងការវាយប្រហារនេះ ហើយទាក់ទងនឹងក្រុមហេគឃ័រដែលនៅពីក្រោយ FIN7/Sangria Tempest។ ដោយសារតែការវាយប្រហារត្រូវបានបញ្ឈប់មុននឹងការឈានទៅរកដំណាក់កាលបញ្ចប់នោះ អ្នកស្រាវជ្រាវជឿថា គោលដៅរបស់ហេកឃ័រគឺដើម្បីលួចទិន្នន័យ និងបន្ទាប់មកដាក់ពង្រាយមេរោគចាប់ជម្រិត។ យុទ្ធនាការទី២ គឺពីក្រុម ‘STAC5777’។ ការវាយប្រហារនេះក៏បានចាប់ផ្តើមជាមួយនឹងការផ្ញើអ៊ីម៉ែលដ៏ច្រើន និងត្រូវបានតាមពីក្រោយដោយ Message នៅក្នុង Microsoft Teams និងបានលើកឡើងថា មកពី IT support department។
នៅក្នុងករណីនេះ ជនរងគ្រោះត្រូវបានបញ្ឆោតឱ្យដំឡើង Microsoft Quick Assist សម្រាប់ឱ្យហេគឃ័រដំណើរការ hands-on keyboard និងពួកគេប្រើសម្រាប់ដោនឡូតមេរោគដែលបានបង្ហោះនៅលើ Azure Blob Storage។ មេរោគ Malware (winttp.dll) គឺជា Side-loaded ដំណើរការនៅក្នុង Microsoft OneDriveStandaloneUpdater.exe ស្របច្បាប់ និង PowerShell Command បង្កើតម៉ាស៊ីនមេ ដែលដាក់ដំណើរការវាឡើងវិញ (Relaunches) នៅពេលចាប់ផ្តើមប្រព័ន្ធ (System Startup)។ DLL អាក្រក់កត់ត្រា Keystrokes របស់ជនរងគ្រោះតាមរយៈ Windows API ហើយបានប្រមូលព័ត៌មានសម្ងាត់ដែលបានរក្សាទុកពីឯកសារ បញ្ជីឈ្មោះ ហើយស្គេនបណ្តាញណិតវើកសម្រាប់ចំណុចបើកដែលមានឥទ្ធិពល (Potential Pivoting Points) តាមរយៈ SMB, RDP និង WinRM។ ក្រុមហ៊ុន Sophos បានសង្កេតឃើញពីបំណងរបស់ក្រុម STAC5777 ដើម្បីដាក់ពង្រាយមេរោគចាប់ជម្រិត Black Basta និងឯកសារ Word ដែលមានលេខសម្ងាត់នៅក្នុង File Name។ ហេគឃ័រក៏ដំណើរការឯកសារ Remote Desktop Protocol ចំនួន២ ទំនងជាការស្វែងរកទីតាំងសម្ងាត់ (Possible Credential Locations)។ ខណៈដែលតិចនិកទាំងនេះបានរីករាលដាលនៅក្នុងចំណោមក្រុមមេរោគចាប់ជម្រិត អង្គភាពជាច្រើនគួរតែពិចារណាបិទខ្ទប់ External Domains ពីការប្រើសារ និងទូរស័ព្ទហៅចូលនៅក្នុង Microsoft Teams និងបិទ Quick Assist នៅលើមជ្ឈដ្ឋានសំខាន់៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២១ ខែមករា ឆ្នាំ២០២៥
