ហេគឃ័រប្រើ FastHTTP នៅក្នុងការវាយប្រហារលេខសម្ងាត់ Microsoft 365 ថ្មីដែលមានល្បឿនលឿន

0

ហេគឃ័រកំពុងប្រើ FastHTTP Go library សម្រាប់ដាក់ចេញនូវការវាយប្រហារលេខសម្ងាត់ដោយបង្ខំយ៉ាងឆាប់រហ័ស (High-speed brute-force password attacks) ដោយមានគោលដៅលើគណនី Microsoft 365 ជាសកល។

យុទ្ធនាការនេះ ក្នុងពេលថ្មីៗនេះត្រូវបានរកឃើញដោយក្រុមហ៊ុនឆ្លើយតបឧប្បត្តិហេតុ SpearTip ដែលថ្លែងថា ការវាយប្រហារចាប់ផ្តើមកាលពីថ្ងៃទី០៦ ខែមករា ឆ្នាំ២០២៥ ដោយមានគោលដៅលើ Azure Active Directory Graph API។ អ្នកស្រាវជ្រាវបានព្រមានថា ការវាយប្រហារដោយបង្ខំ គួតែជោគជ័យក្នុងការគ្រប់គ្រងលើគណនីប្រមាណជា ១០%។

Table

ការកេងចំណេញលើ FastHTTP សម្រាប់គ្រប់គ្រង៖ FastHTTP គឺជាម៉ាស៊ីនមេ HTTP ដែលដំណើរការលឿន ហើយអតិថិជនដែលប្រើភាសាកម្មវិធី Go ជ្រើសយកវាជាជំនួយសម្រាប់សំណើ HTTP ជាមួយនឹងដំណើរការដ៏ប្រសើរ ល្បឿនក៏លឿន និងមានប្រសិទ្ធភាពខ្ពស់ សូម្បីតែនៅពេលប្រើជាមួយការតភ្ជាប់ច្រើនក្តី។ នៅក្នុងយុទ្ធនាការនេះ វាត្រូវបានជំរុញសម្រាប់បង្កើតសំណើ HTTP ដើម្បីអាច Login ចូលដោយគ្មានការអនុញ្ញាត។ SpearTip ថ្លែងថា សំណើទាំងអស់មានគោលដៅលើអ្នកប្រើប្រាស់ Azure Active Directory endpoints ដើម្បីវាយប្រហារលេខសម្ងាត់ដោយបង្ខំ ឬផ្ញើកូដផ្ទៀងផ្ទាត់ច្រើនជាន់ច្រំដែល (MFA) ដើម្បីមានប្រៀបលើគោលដៅនៅក្នុងការវាយប្រហារ MFA Fatigue។ SpearTip រាយការណ៍ថា ៦៥%នៃចរាចរណ៍អាក្រក់ដែលបានបង្កើតពីប្រទេសប្រេស៊ីល បានប្រើជាប្រយោជន៍ដ៏ធំសម្រាប់អ្នកផ្តល់សេវា ASN និងអាសយដ្ឋាន IP ដែលបន្ទាប់មកតាមពីក្រោយដោយប្រទេសតួកគី អាហ្សង់ទីន និងអូបេគីស្ថាន។

អ្នកស្រាវជ្រាវថ្លែងថា ៤១,៥%នៃការវាយប្រហារបរាជ័យ ២១%នាំឱ្យមានការបិទគណនីដែលប្រើយន្តការការពារ ១៧,៧%ត្រូវបានច្រានចោលដោយសារតែការបំពានគោលការណ៍ចូលដំណើរការ (ការអនុលោមតាមភូមិសាស្រ្ត និងឧបករណ៍) និង១០%ត្រូបានការពារដោយ MFA។ រីឯ ៩,៧%ទៀតជាករណីដែលហេគឃ័រអាចផ្ទៀងផ្ទាត់គណនីគោលដៅដោយជោគជ័យ ដែលជាអត្រាជោគជ័យខ្ពស់គួរឱ្យកត់សម្គាល់។

ការរកឃើញ និងការការពារ៖ ការគ្រប់គ្រងគណនី Microsoft 365 អាចនាំទៅដល់ការលាតត្រដាងទិន្នន័យសម្ងាត់ ការលួចកម្មសិទ្ធិបញ្ញា ការផ្អាកសេវាកម្ម និងលទ្ធផលអវិជ្ជមានផ្សេងទៀត។ SpearTip បានចែករំលែក PowerShell Script administrators សម្រាប់ឆែករកវត្តមានភ្នាក់ងារអ្នកប្រើ FastHTTP នៅក្នុង Audit Logs ដែលបង្ហាញថា ពួកគេអាចក្លាយជាគោលដៅដោយប្រតិបត្តិការនេះ។ អ្នកគ្រប់គ្រង (Admins) ក៏អាចឆែករកមើលភ្នាក់ងារអ្នកប្រើប្រាស់ដោយការ Login ចូលទៅក្នុង Azure Portal ដោយចូលទៅកាន់ Microsoft Entra IDà Usersà Sign in logs ហើយអនុវត្តកម្មវិធី Filter Client App: “Other Clients”។

ប្រសិនបើសញ្ញាណាមួយនៃសកម្មភាពព្យាបាទត្រូវបានរកឃើញ អ្នកគ្រប់គ្រង (Admins) ត្រូវបានណែនាំឱ្យដាក់ Expire User Sessions និងកំណត់ឡើងវិញ (Reset) នូវព័ត៌មានសម្ងាត់គណនីទាំងអស់ភ្លាមៗ ពិនិត្យមើលឧបករណ៍ MFA ដែលបានចុះឈ្មោះ រួចលុបការបន្ថែមដែលមិនមានការអនុញ្ញាត។

https://www.bleepingcomputer.com/news/security/hackers-use-fasthttp-in-new-high-speed-microsoft-365-password-attacks/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៤ ខែមករា ឆ្នាំ២០២៥

LEAVE A REPLY

Please enter your comment!
Please enter your name here