ក្រុមរងហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាលរុស្ស៊ី APT44 ដែលត្រូវបានគេស្គាល់ថាជា “Seashell Blizzard” និង “Sandworm” មានគោលដៅលើអង្គការសំខាន់ៗ និងរដ្ឋាភិបាលនៅក្នុងយុទ្ធនាការជាច្រើនឆ្នាំឈ្មោះ ‘BadPilot’។
ហេគឃ័រមានដំណើរការយ៉ាងហោចណាស់តាំងពីឆ្នាំ២០២១ ហើយទទួលខុសត្រូវលើការលួចចូលបណ្តាញណិតវើករបស់ស្ថានប័នថាមពលដូចជា ប្រេងនិងហ្គាស ទូរគមនាគមន៍ ការដឹកជញ្ជូន និងវិស័យផលិតអាវុធ។ ក្រុមស៊ើបការណ៍គំរាមគំហែងរបស់ Microsoft បានប្រាប់ថា ហេគឃ័របានព្យាយាមចាប់ផ្តើមដំណើរការទៅកាន់ប្រព័ន្ធគោលដៅ រក្សាភាពជាប់លាប់ និងវត្តមានសម្រាប់អនុញ្ញាតឱ្យក្រុមរង APT44 ផ្សេងទៀតជាមួយនឹងអ្នកជំនាញក្រោយវាយប្រហារដើម្បីអាចធ្វើការគ្រប់គ្រង។
របាយការណ៍របស់ក្រុមហ៊ុន Microsoft បានរៀបរាប់ថា ក្រុមហ៊ុនក៏បានសង្កេតឃើញការចាប់ផ្តើមចូលដំណើរការរបស់ក្រុមរង ដើម្បីបន្តការលួចចូលទៅកាន់អង្គភាពមួយមុនពេលការវាយប្រហារកំទិចដែលជាប់ពាក់ព័ន្ធនឹងក្រុម Seashell Blizzard។ ការវាយតម្លៃរបស់ក្រុមហ៊ុន Microsoft គឺថា Seashell Blizzard ប្រើក្រុមរងដំណើរការចាប់ផ្តើមនេះសម្រាប់វាស់ស្ទង់ប្រតិបត្តិការរបស់ពួកគេ នៅពេលដែលការកេងចំណេញថ្មីៗត្រូវបានធ្វើឡើង និងដើម្បីរក្សាការចូលប្រើជាបន្តបន្ទាប់រហូតដល់បច្ចុប្បន្ន និងអនាគត។
វិសាលភាពគោលដៅ៖ ការស៊ើបអង្កេតថ្មីៗរបស់ក្រុមហ៊ុន Microsoft លើសកម្មភាពក្រុមរងបង្ហាញពីប្រតិបត្តិការឱកាសនិយមលើក្រុមគោលដៅរួមមាន អ៊ុយក្រែន អឺរ៉ុប អាស៊ីកណ្តាលនិងខាងត្បូង រួមទាំងមជ្ឈឹមបូព៌ា ដែលផ្តោតលើវិស័យសំខាន់ៗ។ ការចាប់ផ្តើមនៅឆ្នាំ២០២២ បន្ទាប់ពីការការឈ្លានពានរបស់រុស្ស៊ីលើអ៊ុយក្រែន ក្រុមរងធ្វើសកម្មភាពកាន់តែខ្លាំងប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗដែលគាំទ្រដល់អ៊ុយក្រែនដូចជា រដ្ឋាភិបាល យោធា ការធ្វើដំណើរ និងវិស័យភស្តុភារ។
ការឈ្លានពានរបស់ពួកគេមានបំណងប្រមូលការណ៍សម្ងាត់ រំខានប្រតិបត្តិការ និងធ្វើការវាយប្រហារ Wiper មានគោលដៅដើម្បីរំខានដល់ទិន្នន័យនៅលើប្រព័ន្ធគោលដៅ។ ក្រុមហ៊ុនបន្តថា ក្រុមហ៊ុនវាយតម្លៃថា ក្រុមរងទំនងជាបានបើកការវាយប្រហារសាយប័ររំខានចំនួន៣ លើប្រទេសអ៊ុយក្រែនតាំងពីឆ្នាំ២០២៣ បើយោងតាមការលើកឡើងរបស់ក្រុមហ៊ុន Microsoft។ ត្រឹមឆ្នាំ២០២៣ ទំហំគោលដៅរបស់ក្រុមរងបានពង្រីកបន្ថែម ដោយធ្វើការវាយប្រហារដើម្បីគ្រប់គ្រងមានលក្ខៈទ្រង់ទ្រាយធំនៅទូទាំងអឺរ៉ុប អាមេរិក និងមជ្ឈឹមបូព៌ា នៅឆ្នាំ២០២៤ វាបានចាប់ផ្តើមវាយប្រហារលើអាមេរិក អង់គ្លេស កាណាដា និងអូស្រា្តលី។
ការចាប់ផ្តើមដំណើរការ និងសកម្មភាពក្រោយការវាយប្រហារ៖ ក្រុមរង APT44 ដាក់ពង្រាយតិចនិកចម្រុះសម្រាប់ការវាយប្រហារទៅលើបណ្តាញណិតវើករួមមានការបំពានលើភាពងាយរងគ្រោះ n-day នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធ Internet-facing លួចព័ត៌មានសម្ងាត់ និងវាយប្រហារខ្សែច្រវាក់ផ្គត់ផ្គង់។ ការវាយប្រហារខ្សែច្រវាក់ផ្គត់ផ្គង់មានប្រសិទ្ធភាពប្រឆាំងនឹងអង្គភាពនៅទូទាំងប្រទេសអឺរ៉ុប និងអ៊ុយក្រែន ដែលជាកន្លែងហេគឃ័រមានគោលដៅគ្រប់គ្រងលើអ្នកផ្គត់ផ្គង់សេវា IT ក្នុងតំបន់ និងបន្ទាប់មកចូលប្រើជាអតិថិជនចម្រុះ។ ក្រុមហ៊ុន Microsoft បានសង្កេតឃើញថា ការស្គេនបណ្តាញណិតវើក និងការបំពានជាបន្តបន្ទាប់លើភាពងាយរងគ្រោះខាងក្រោមដូចជា៖
- CVE-2021-34473 (Microsoft Exchange)
- CVE-2022-41352 (Zimbra Collaboration Suite)
- CVE-2023-32315 (OpenFire)
- CVE-2023-42793 (JetBrains TeamCity)
- CVE-2023-23397 (Microsoft Outlook)
- CVE-2024-1709 (ConnectWise ScreenConnect)
- CVE-2023-48788 (Fortinet FortiClient EMS)
បន្ទាប់ពីការបំពានលើភាពងាយរងគ្រោះខាងលើសម្រាប់ចូលដំណើរការ ហេគឃ័របានបង្កើតភាពជាប់លាប់ដោយការដាក់ពង្រាយ Custom web shells ដូចជា ‘LocalOlive’។ នៅឆ្នាំ២០២៤ ក្រុមរង APT44 បានចាប់ផ្តើមប្រើប្រាស់ Tool គ្រប់គ្រង បញ្ជា IT ស្របច្បាប់ពីចម្ងាយដូចជា Atera Agent និង Splashtop Remote Services សម្រាប់បញ្ជាប្រតិបត្តិការនៅលើប្រព័ន្ធដែលត្រូវបានវាយប្រហារយកមកគ្រប់គ្រង ខណៈការបង្ហោះជា IT Admins ដើម្បីគេចពីការតាមចាប់។ ទាក់ទងនឹងសកម្មភាពក្រោយការចូលប្រើ ដំបូងហេគឃ័រប្រើ Procdump ឬ Windows registry សម្រាប់លួចព័ត៌មានសម្ងាត់ និង Rclone, Chisel និង Plink សម្រាប់ការទាញទិន្នន័យតាមរយៈបណ្តាញណិតវើក Tunnels។
អ្នកស្រាវជ្រាវបានសង្កេតឃើញថា តិចនិកនៅឆ្នាំ២០២៤ នេះហេគឃ័របានប្រើចរាចរណ៍តាមរយៈ Tor Network “បិទបាំងការចូលទាំងអស់យ៉ាងមានប្រសិទ្ធភាពទៅកាន់ទ្រព្យដែលរងប៉ះពាល់ និងកម្រិតការលាតត្រដាងចេញពីមជ្ឈដ្ឋានហេគឃ័រ និងជនរងគ្រោះ”។ ចុងក្រោយ ក្រុមរងថយក្រោយទៅកាន់គ្រប់ផ្នែកទាំងអស់នៃបណ្តាញណិតវើកដែលវាអាចធ្វើបាន និងកែប្រែរចនាសម្ព័ន្ធតាមតម្រូវការសម្រាប់ប្រតិបត្តិការរបស់វា។ ការកែប្រែរួមមានល្បិចកំណត់ DNS ការបង្កើតសេវាកម្ម និងកាលវិភាគកិច្ចការថ្មីៗ រួមទាំងការកំណត់រចនាសម្ព័ន្ធរបស់ដំណើរការ Backdoor ដែលប្រើ OpenSSH ជាមួយនឹង Public keys តែមួយគត់។ ក្រុមហ៊ុន Microsoft ថ្លែងថា ក្រុមហេគឃ័ររងរុស្ស៊ីមានឥទ្ធិពលស្ទើរពេញសកលលោក (near-global reach) និងជួយ Seashell BLizzard ពង្រីកទីតាំងភូមិសាស្រ្តរបស់វា។ នៅក្នុងរបាយការណ៍នៅថ្ងៃនេះ អ្នកស្រាវជ្រាវបានចែកចាយការអនុវត្តសុវត្ថិភាព (hunting queries) ដែលជាសូចនាករនៃការវាយប្រហារ (IoCs) និងច្បាប់ YARA សម្រាប់អ្នកការពារ ដើម្បីចាប់សកម្មភាពរបស់ហេគឃ័រ ហើយបញ្ឈប់វាបានទាន់ពេល។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១២ ខែកុម្ភៈ ឆ្នាំ២០២៥
