ទីភ្នាក់ងារ CISA និង FBI បានថ្លែងថា ហេគឃ័រដាក់ពង្រាយមេរោគចាប់ជម្រិតបានបំពានដល់ជនរងគ្រោះនៅតាមវិស័យឧស្សាហកម្មជាច្រើននៅទូទាំងប្រទេសចំនួន ៧០ ដែលរួមមានស្ថាប័នហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។ឧស្សាហកម្មដទៃទៀតដែលបានប៉ះពាល់រួមមានវិស័យសុខាភិបាល រដ្ឋាភិបាល ការអប់រំ បច្ចេកវិទ្យា ផលិតកម្ម អាជីវកម្មខ្នាតតូច និងមធ្យមជាច្រើនទៀត។ ទីភ្នាក់ងារ CISA, FBI រួមទាំងមជ្ឈមណ្ឌលវិភាគនិងចែករំលែកព័ត៌មានរដ្ឋចម្រុះ (MS-ISAC) បានថ្លែងកាលពីថ្ងៃពុធថា ចាប់តាំងពីដើមឆ្នាំ២០២១ ហេគឃ័រ Ghost បានចាប់ផ្តើមវាយប្រហារលើជនរងគ្រោះ ដែលការប្រើប្រាស់សេវារបស់ពួកជាមួយនឹងអ៊ីនធឺណិតមានកម្មវិធី បូករួមទាំង Firmware ហួសសម័យ។
ការវាយប្រហារនេះមានគោលដៅលើបណ្តាញណិតវើកដែលមានផ្ទុកភាពងាយរងគ្រោះបានបណ្តាលឱ្យមានការព្យាយាមវាយប្រហារដើម្បីគ្រប់គ្រងដោយក្រុមហេគឃ័រ លើស្ថាប័ននៅទូទាំងប្រទេសមិនតិចជាង ៧០ទេ ដែលរួមមានស្ថាប័ននៅក្នុងប្រទេសចិនផងដែរ។ ប្រតិបត្តិករមេរោគចាប់ជម្រិត Ghost ជាទូទៅប្តូរប្រតិបត្តិការមេរោគរបស់ពួកគេ ប្តូរ File Extensions នៃឯកសារដែលបានអ៊ីនគ្រីប ប្តូរមាតិកានៃសារជម្រិតទារប្រាក់ និងប្រើប្រាស់អាសយដ្ឋានអ៊ីម៉ែលចម្រុះសម្រាប់ការទាក់ទងទារប្រាក់លោះ ដែលជាទូទៅមានភាពប្រែប្រួលនៃការចូលរួមរបស់ក្រុមពីមួយពេលទៅមួយពេល។ ឈ្មោះដែលទាក់ទងនឹងក្រុមនេះរួមមាន Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada និង Rapture ជាមួយនឹងគម្រូមេរោគចាប់ជម្រិតដែលប្រើនៅក្នុងការវាយប្រហាររួមមាន Cring.exe, Ghost.exxe, ElysiumO.exe និង Locker.exe។ ក្រុមមេរោគចាប់ជម្រិតដែលជំរុញដោយហិរញ្ញវត្ថុនេះប្រើប្រាស់កូដដែលអាចដំណើរការបានជាសាធារណៈសម្រាប់កេងចំណេញលើបញ្ហាសុវត្ថិភាពនៅក្នុងម៉ាស៊ីនមេដែលងាយនឹងរងគ្រោះ។ ពួកគេមានគោលដៅលើភាពងាយរងគ្រោះដែលបន្សល់ទុកមិនបាន Patched នៅក្នុង Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960), និង Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)។
ដើម្បីការពារខ្លួនប្រឆាំងនឹងមេរោគចាប់ជម្រិត Ghost នេះ អ្នកការពារបណ្តាញណិតវើកត្រូវបានណែនាំឱ្យអនុវត្តនូវវិធានការខាងក្រោម៖
១. ធ្វើការ Backups ប្រព័ន្ធ Off-site ឱ្យបានទៀងទាត់ ដែលមិនអាចត្រូវបានអ៊ីនគ្រីបដោយមេរោគ
២. អនុវត្តការ Patch ប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងភាពងាយរងគ្រោះ Firmware ភ្លាមៗ
៣. ផ្តោតលើបញ្ហាសុវត្ថិភាពដែលជាគោលដៅរបស់មេរោគ Ghost (ឧ. CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)។
៤. បណ្តាញណិតវើករងតូចៗត្រូវកម្រិតពីការផ្លាស់ទី (Lateral Movement) ពីឧបករណ៍ដែលឆ្លងមេរោគ
៥. អនុវត្តការផ្ទៀងផ្ទាត់ចម្រុះកត្តា (MFA) ដែលធន់នឹងការបន្លំ សម្រាប់គណនីដែលមានសិទ្ធិពិសេស និងគណនីដែលប្រើប្រាស់សេវាកម្មអ៊ីម៉ែលទាំងអស់។
ភ្លាមៗក្រុម Amigo_A and Swisscom’s CSIRT បានរកឃើញមេរោគចាប់ជម្រិត Ghost កាលពីដើមឆ្នាំ២០២១ ប្រតិបត្តិកររបស់មេរោគត្រូវបានទម្លាក់ជា Mimikatz Samples ផ្ទាល់ខ្លួន ដែលតាមពីក្រោយដោយ CobaltStrike Beacons និងដាក់ពង្រាយ Payloads មេរោគជម្រិតដែលប្រើ Windows CertUtil Certificate Manager ស្របច្បាប់សម្រាប់ឆ្លងកាត់កម្មវិធីសុវត្ថិភាព។ ជាងនេះទៀត ដើម្បីកេងចំណេញនៅក្នុងការចាប់ផ្តើមវាយប្រហារមេរោគចាប់ជម្រិត Ghost ដែលជាក្រុមគាំទ្រដោយរដ្ឋាភិបាលនោះ បានស្គេនរកមើលភាពងាយរងគ្រោះ Fortinet SSL VPN Appliances និងបានកំណត់គោលដៅលើភាពងាយរងគ្រោះ CVE-2018-13379។ ហេគឃ័រក៏កេងចំណេញលើភាពងាយរងគ្រោះសុវត្ថិភាពដូចគ្នាដើម្បីបំពានលើប្រព័ន្ធ Internet-exposed U.S. Election Support នៅលើអ៊ីនធឺណិត។
ក្រុមហ៊ុន Fortinet បានព្រមានដល់អតិថិជនឱ្យ Patch កម្មវិធី SSL VPN Appliances របស់ពួកគេប្រឆាំងនឹងបញ្ហា CVE-2018-13379 ជាច្រើនដងកាលពីខែសីហា ឆ្នាំ២០១៩ ខែកក្កដា ឆ្នាំ២០២០ ខែវិច្ឆិកា ឆ្នាំ២០២០ និងម្តងទៀតខែមេសា ឆ្នាំ២០២១។ ការណែនាំចម្រុះចេញពីទីភ្នាក់ងារ CISA, FBI និង MS-ISAC នៅថ្ងៃនេះ ក៏បានរួមបញ្ចូលនូវការគ្រប់គ្រងដោយការវាយប្រហារ (IOCs) តិចនិក បច្ចេកទេស និងដំណើរការ (TTPs) រួមទាំងវិធីសាស្រ្តតាមចាប់ដែលទាក់ទងនឹងសកម្មភាពមេរោគចាប់ជម្រិត Ghost កាលពីមុន ជាពិសេសបានកំណត់អត្តសញ្ញាណនៅក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតរបស់ FBI នាពេលថ្មីៗកាលពីខែមករា ឆ្នាំ២០២៥ នេះផងដែរ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកុម្ភៈ ឆ្នាំ២០២៥
