កំពុងតែដាច់អគ្គិសនីនៅហាងលក់ទំនិញយក្ស Mark & Spencer របស់អង់គ្លេស ដែលបណ្តាលមកពីការវាយប្រហារមេរោគចាប់ជម្រិត និងត្រូវបានគេជឿជាក់ថាជាស្នាដៃរបស់ក្រុមហេគឃ័រ “Scattered Spider” បើយោងតាមការសិក្សាពីប្រភពចម្រុះរបស់ BleepingComputer។
ហាង Marks & Spencer (M&S) គឺជាហាងលក់ចម្រុះប្រទេសអង់គ្លេស ដែលមានបុគ្គលិក ៦៤,០០០នាក់ និងលក់ផលិតផលជាច្រើនដូចជាសំលៀកបំពាក់ អាហារ និងផលិតផលប្រើប្រាស់ក្នុងផ្ទះ (Home Goods) មានហាងមិនតិចជាង ១,៤០០ទីតាំងទេ នៅទូទាំងពិភពលោក។ កាលពីថ្ងៃអង្គារកន្លងទៅនេះ M&S បានបញ្ជាក់ថា ខ្លួនបានរងគ្រោះដោយសារការវាយប្រហារសាយប័រ ដែលបានបណ្តាលឱ្យមានការរំខានដ៏ធំទៅដល់ប្រព័ន្ធទូទាត់ប្រាក់ Contactless និងការបញ្ជាទិញតាមអនឡាញ។ នៅថ្ងៃនេះ Sky News បានរាយការណ៍ថា ការរំខាននៅតែបន្ត ហើយបុគ្គលិកនៅឃ្លាំងចំនួន ២០០នាក់ត្រូវបានប្រាប់ឱ្យសម្រាកនៅផ្ទះ ខណៈពេលក្រុមហ៊ុនកំពុងតែដោះស្រាយបញ្ហានេះ។
ឥឡូវនេះ សារព័ត៌មាន BleepingComputer បានឱ្យដឹងថា ការដាច់ចរន្តអគ្គិសនីបានបណ្តាលមកពីការវាយប្រហារដោយមេរោគចាប់ជម្រិត ដែលបានធ្វើការអ៊ីនគ្រីបទិន្នន័យនៅក្នុងម៉ាស៊ីនមេរបស់ក្រុមហ៊ុន។ ហេគឃ័រត្រូវបានជឿជាក់ថា ដំបូងហេគឃ័របានបំពានលើ M&S កាលពីដើមខែកុម្ភៈ នៅពេលពួកគេបានរាយការណ៍ថាបានលួច Windows Domain’s NTDS.dit file។ NTDS.dit file គឺជា Database សំខាន់សម្រាប់ Active Directory Services ដែលកំពុងដំណើរការនៅលើ Windows Domain Controller។ ឯកសារ (file) នេះមានផ្ទុកលេខសម្ងាត់ (password hashes) សម្រាប់គណនី Windows ដែលអាចត្រូវបានទាញចេញដោយហេគឃ័រ និងបាន Cracked Offline ដើម្បីចូលប្រើពាក្យសម្ងាត់ Plain-text។ ការប្រើអត្តសញ្ញាណទាំងនេះ បន្ទាប់មក ហេគឃ័រអាចចូលទៅកាន់ទូទាំង Windows Domain និងលួចទិន្នន័យចេញពីឧបករណ៍ណិតវើក និងម៉ាស៊ីនមេ។ ប្រភពបានប្រាប់ BleepingComputer ថា ហេគឃ័រចុងក្រោយបានដាក់ពង្រាយ DragonForce Encryptor ទៅ VMware ESXi Host កាលពីថ្ងៃទី២៤ ខែមេសា ដើម្បីអ៊ីនគ្រីបទិន្នន័យនៅក្នុងម៉ាស៊ីននិម្មិត។ BleepingComputer បានឲ្យដឹងថា Marks and Spencer បានស្នើសុំជំនួយពីក្រុមហ៊ុន CrowdStrike, Microsoft និង Fenix24 ដើម្បីស៊ើបអង្កេត និងដោះស្រាយចំពោះការវាយប្រហារនេះ។ ការស៊ើបអង្កេតបង្ហាញថា ហេគឃ័រនៅពីក្រោយរឿងនេះគឺជាក្រុម Scattered Spider ឬ Octo Tempest។ ទាក់ទងនឹងព័ត៌មាននេះ M&S ថ្លែងថា ពួកគេមិនអាចផ្តល់ព័ត៌មានលម្អិតអំពីឧប្បត្តិហេតុសាយប័រនេះបានទេ។
តើនរណាជាក្រុម Scattered Spider?
Scattered Spider ឬ Oktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest និង Muddled Libra គឺជាក្រុមហេគឃ័រដែលប្រើប្រាស់ការវាយប្រហារបែប Social Engineering, Phishing ឬផ្ញើសារ MFA ក្លែងក្លាយ (bombing) និងប្តូរស៊ីម (SIM Swapping) ដើម្បីអាចចាប់ផ្តើមចូលដំណើរការបណ្តាញណិតវើកនៅលើស្ថាប័នគោលដៅបាន។ ក្រុមនេះរួមមានសមាជិកនិយាយភាសាអង់គ្លេសក្មេងៗ (អាយុ ១៦ឆ្នាំ) ដែលមានជំនាញច្រើនជាទូទៅនៅលើ Hacker Forums ដូចគ្នា Telegram Channel និង Discord Servers។ ឧបករណ៍ទាំងនេះត្រូវបានប្រើសម្រាប់រៀបចំផែនការ និងធ្វើការវាយប្រហារនៅពេលជាក់ស្តែង។ សមាជិកខ្លះត្រូវបានជឿជាក់ថាជាផ្នែកមួយនៃ “Comm” ដែលជាសមាគមន៍ទាក់ទងនឹងអំពើហិង្សា និងឧប្បត្តិហេតុសាយប័រដែលទទួលបានការចាប់អារម្មណ៍ពីប្រព័ន្ធផ្សព្វផ្សាយ។ ខណៈប្រព័ន្ធផ្សព្វផ្សាយ និងអ្នកស្រាវជ្រាវគិតថាជាស្នាដៃក្រុម Scattered Spider ដូចជាក្រុមចម្រុះ ពួកគេជាបណ្តាញមកពីបុគ្គលច្រើននាក់រួមគ្នានឹងហេគឃ័រដទៃទៀត ដែលចូលរួមនៅក្នុងការវាយប្រហារមួយ។ រចនាសម្ព័ន្ធនេះជារឿងមួយដ៏លំបាកនៅក្នុងការតាមដានពួកគេណាស់។
ក្រុមនេះបានចាប់ផ្តើមជាមួយនឹងការឆបោកហិរញ្ញវត្ថុ និងហេគបណ្តាញផ្សព្វផ្សាយសង្គម ប៉ុន្តែក្រោយមកងាកមកវាយប្រហារបែប Social Engineering ដើម្បីលួចប្រាក់គ្រីបតូ ពីបុគ្គល ឬបំពានលើសហគ្រាសនៅក្នុងការវាយប្រហារបែបចាប់ជម្រិតវិញ។ ក្រុមនេះពង្រីកការវាយប្រហារនៅខែកញ្ញា ឆ្នាំ២០២៣ នៅពេលពួកគេបានបំពានលើ MGM Resorts ដោយប្រើប្រាស់ការវាយប្រហារបែប Social Engineering ដោយបន្លំជាបុគ្គលិកក្រុមហ៊ុនផ្នែកជំនួយ (IT Help desk)។ នៅក្នុងការវាយប្រហារនេះ ហេគឃ័របានដាក់ពង្រាយមេរោគចាប់ជម្រិត BlackCat ដើម្បីអ៊ីនគ្រីប VMware ESXi hypervisors មិនតិចជាង ១០០ទេ។ នេះជារឿងមួយដែលបង្ហាញថា ហេគឃ័រនិយាយភាសាអង់គ្លេសកំពុងតែធ្វើការជាមួយក្រុមមេរោគចាប់ជម្រិតនិយាយភាសារុស្ស៊ី។ តាំងពីពេលនោះមក ក្រុម Scattered Spider ត្រូវបានគេស្គាល់ថា ជាសាខារបស់ RansomHub, Qilin និង DragonForce។ DragonForce គឺជាប្រតិបត្តិការមេរោគចាប់ជម្រិត ដែលដាក់ចេញកាលពីខែធ្នូ ឆ្នាំ២០២៣ និងបានចាប់ផ្តើមផ្សព្វផ្សាយសេវាថ្មីៗ ដែលពួកគេអនុញ្ញាតឱ្យក្រុមឧក្រិដ្ឋកម្មសាយប័រប្រើសេវារបស់ពួកគេ។ អ្នកស្រាវជ្រាវបានកំណត់ការវាយប្រហារថាជាក្រុម Scattered Spider ដោយផ្អែកលើមូលដ្ឋានសូចនាករនៃការសម្របសម្រួល រួមទាំងការវាយប្រហារលួចព័ត៌មានសម្ងាត់ ដែលកំណត់គោលដៅលើ SSO Platforms ការវាយប្រហារ Social Engineering ការបន្លំជាអ្នកជំនួយផ្នែក IT និងប្រើប្រាស់តិចនិកផ្សេងៗទៀត។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៨ ខែមេសា ឆ្នាំ២០២៥
