អ្នកស្រាវជ្រាវបានរំខានដល់ដំណើរការក្រុមហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាលរុស្ស៊ីឈ្មោះ Midnight Blizzard ដែលមានបំណងចូលប្រើគណនី និងទិន្នន័យ Microsoft 365 ។
បន្ទាប់ពីការស្រាវជ្រាវក៏ត្រូវបានគេស្គាល់ថាជាក្រុម APT29 ផងដែរ ក្រុមហេគឃ័រនេះបានគ្រប់គ្រងគេហទំព័រនៅក្នុងយុទ្ធនាការ Watering Hole ដើម្បីបញ្ជូនក្រុមគោលដៅដែលបានជ្រើសរើសចូលទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធព្យាបាទដែលត្រូវបានបង្កើតឡើងសម្រាប់បញ្ឆោតអ្នកប្រើប្រាស់ឱ្យផ្តល់សិទ្ធិឱ្យពួកគេប្រើប្រាស់ឧបករណ៍ដែលបានគ្រប់គ្រង តាមរយៈដំណើរការផ្ទៀងផ្ទាត់កូដឧបករណ៍របស់ Microsoft។ ក្រុម Midnight Blizzard ជាប់ទាក់ទងនឹងសេវាស៊ើបការណ៍បរទេសរបស់រុស្ស៊ី (SVR) និងជំនាញប្រើវិធីសាស្រ្តឆបោក (Phishing) ដែលថ្មីៗនេះបានប៉ះពាល់ដល់ស្ថានទូតអឺរ៉ុប សហគ្រាស Hewlett Packard និង TeamViewer។
ការជ្រើសរើសគោលដៅ Random៖ ក្រុមស៊ើបការណ៍ការគំរាមកំហែងរបស់ Amazon បានរកឃើញឈ្មោះ Domain ដែលបានប្រើនៅក្នុងយុទ្ធនាការ Watering Hole បន្ទាប់ពីការបង្កើតការវិភាគមួយសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុម APT29។ ការស៊ើបអង្កេតនេះបានបង្ហាញថា ហេគឃ័របានគ្រប់គ្រងគេហទំព័រស្របច្បាប់ចម្រុះជាច្រើន និងបានច្របល់កូដព្យាបាទដោយប្រើ Base64 Encoding។ ដោយការប្រើប្រាស់ Random ក្រុម APT29 បាននាំអ្នកចូលមើលគេហទំព័រដែលបានគ្រប់គ្រងប្រមាណជា ១០% ទៅកាន់ Domains ដែលចម្លងតាមទំព័រផ្ទៀងផ្ទាត់ Cloudflare ដូចជា findcloudflare.com ឬ cloudflare.redirectpartner.com។
ដូចក្រុមហ៊ុន Amazon បានពន្យល់ ក្រុមហេគឃ័របានប្រើនូវ Cookie-based System ដើម្បីទប់ស្កាត់អ្នកប្រើប្រាស់ដដែលពីការបញ្ជូនបន្តច្រើនដង ក្នុងបំណងកាត់បន្ថយការសង្ស័យ។ ជនរងគ្រោះដែលបានចូលទៅគេហទំព័រ Cloudflare ក្លែងក្លាយត្រូវបានណែនាំពីដំណើរការផ្ទៀងផ្ទាត់កូដ Microsoft Device ព្យាបាទមួយ ក្នុងបំណងបញ្ឆោតពួកគេឱ្យបើកសិទ្ធិប្រើប្រាស់ឧបករណ៍ដែលបានគ្រប់គ្រងដោយហេគឃ័រ។
Amazon កត់សម្គាល់ថា យុទ្ធនាការនេះត្រូវបានរកឃើញ ហើយអ្នកស្រាវជ្រាវរបស់ក្រុមហ៊ុនបានកាត់ផ្តាច់ EC2 Instances ដែលហេគឃ័របានប្រើ និងបានសហការជាមួយ Cloudflare និង Microsoft ដើម្បីទប់ស្កាត់ Domains ដែលបានកំណត់អត្តសញ្ញាណ។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញថា ក្រុម APT29 បានព្យាយាមផ្លាស់ទីហេដ្ឋារចនាសម្ព័ន្ធរបស់ខ្លួនទៅក្រុមហ៊ុនផ្តល់សេវាក្លោដផ្សេងទៀត និងបានចុះឈ្មោះ Domain ថ្មី (ឧ. Cloudflare.redirectpartners.com)។ ប្រធានផ្នែកសន្តិសុខព័ត៌មានរបស់ Amazon បានថ្លែងថា អ្នកស្រាវជ្រាវបានបន្តតាមដានការផ្លាស់ទីរបស់ហេគឃ័រ និងបានរារាំងដល់កិច្ចការរបស់ពួកគេ។ ក្រុមការងារបានបន្តថា យុទ្ធនាការចុងក្រោយនេះបានបង្ហាញពីការវិវឌ្ឍន៍របស់ក្រុម APT29 ក្នុងបំណងប្រមូលអត្តសញ្ញាណ និងស៊ើបការណ៍។
ទោះជាយ៉ាងណា មានការកែលម្អវិធីសាស្រ្តបច្ចេកទេសរបស់ពួកគេ ដែលឈប់ពឹងផ្អែកលើ Domains ដែលក្លែងបន្លំ AWS ឬការប៉ុនប៉ងឆបោកបែប Social Engineering ដើម្បីឆ្លងកាត់ការផ្ទៀងផ្ទាត់ច្រើនជាន់ (MFA) បង្វែរជាបញ្ឆោតគោលដៅឱ្យបង្កើតពាក្យសម្ងាត់ App-specific Passwords ជំនួសវិញ។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យផ្ទៀងផ្ទាត់សំណើអនុញ្ញាតលើឧបករណ៍ បើកការផ្ទៀងផ្ទាត់ច្រើនជាន់ (MFA) និងជៀសវាងប្រតិបត្តិការ Commands នៅលើប្រព័ន្ធរបស់ខ្លួនដែលបានចម្លងចេញពីគេហទំព័រ។ អ្នកគ្រប់គ្រង (Admins) គួរតែពិចារណាបិទការអនុញ្ញាតលើឧបករណ៍ដែលមិនចាំបាច់ អនុវត្តគោលការណ៍ចូលប្រើតាមលក្ខខណ្ឌ និងត្រួតពិនិត្យព្រឹត្តិការណ៍ការផ្ទៀងផ្ទាត់ដែលសង្ស័យ។ ក្រុមហ៊ុនក៏បានបញ្ជាក់ដែរថា យុទ្ធនាការ APT29 នេះមិនបានគ្រប់គ្រងលើហេដ្ឋារចនាសម្ព័ន្ធ ឬប៉ះពាល់ដល់សេវារបស់ក្រុមហ៊ុននោះទេ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០១ ខែកញ្ញា ឆ្នាំ២០២៥
