កញ្ចប់បន្លំ EvilProxy

អ្នកស្រាវជ្រាវ Infosec បានកត់សម្គាល់ពីនិន្នាការគួរឱ្យព្រួយបារម្ភនៃតួអង្គពាក់ព័ន្ធនឹងការក្លែងបន្លំកំពុងប្រើប្រាស់កញ្ចប់ឧបករណ៍ Phishing-as-a-Service (PhaaS) ដែលមានឈ្មោះថា EvilProxy ។ មេរោគនេះកំពុងត្រូវបានដាក់ពង្រាយជាមធ្យោបាយមួយដើម្បីរៀបចំការវាយប្រហារដណ្តើមយកគណនីដោយផ្តោតជាក់លាក់ទៅលើនាយកប្រតិបត្តិនៅក្នុងស្ថាប័នលេចធ្លោ។

យុទ្ធនាការវាយប្រហារបែបនេះត្រូវបានគេសង្កេតឃើញប្រើប្រាស់យុទ្ធសាស្រ្តកូនកាត់ដែលប្រើប្រាស់មុខងារសំខាន់ៗនៃប្រអប់ឧបករណ៍ EvilProxy ។ គោលបំណងគឺដើម្បីកំណត់គោលដៅចំនួនដ៏ច្រើននៃគណនីអ្នកប្រើប្រាស់ Microsoft 365 ដោយឈានដល់ការចែកចាយអ៊ីមែលបន្លំប្រហែល 120,000 នៅទូទាំងស្ថាប័នជាច្រើននៅទូទាំងពិភពលោកក្នុងរយៈពេលពីខែមីនាដល់ខែមិថុនា ឆ្នាំ 2023។

គួរឲ្យកត់សម្គាល់ ក្នុងចំណោមអ្នកប្រើប្រាស់ជាច្រើនដែលត្រូវបានសម្របសម្រួល ជិត 39% ត្រូវបានកំណត់ថាជានាយកប្រតិបត្តិកម្រិត C ។ នេះរួមមាន CEOs បង្កើត 9% និង CFOs 17% ។ ការវាយប្រហារទាំងនេះក៏ផ្តោតលើបុគ្គលិកដែលមានសិទ្ធិចូលប្រើប្រាស់ធនធានហិរញ្ញវត្ថុរសើប ឬព័ត៌មានសំខាន់ៗផងដែរ។ គួរឱ្យចាប់អារម្មណ៍ មិនតិចជាង 35% នៃអ្នកប្រើប្រាស់ដែលបានសម្របសម្រួលទាំងអស់បានជ្រើសរើសស្រទាប់បន្ថែមនៃសុវត្ថិភាពគណនី។

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបង្ហាញថាយុទ្ធនាការរៀបចំទាំងនេះគឺជាការឆ្លើយតបដោយផ្ទាល់ទៅនឹងការអនុវត្តកម្រិតខ្ពស់នៃការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) នៅក្នុងសហគ្រាស។ អាស្រ័យហេតុនេះ តួអង្គគម្រាមកំហែងបានកែសម្រួលយុទ្ធសាស្ត្ររបស់ពួកគេ ដើម្បីយកឈ្នះលើរបាំងសុវត្ថិភាពថ្មី ដោយបញ្ចូលឧបករណ៍បន្លំរបស់សត្រូវនៅកណ្តាលកណ្តាល (AitM)។ ឧបករណ៍ទាំងនេះត្រូវបានរៀបចំឡើងដើម្បីចាប់យកព័ត៌មានសម្ងាត់ ខូគីវគ្គ និងពាក្យសម្ងាត់ប្រើតែមួយដង ដោយហេតុនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចដឹងពីពេលវេលាជាក់ស្តែងថាតើអ្នកប្រើប្រាស់ដែលលួចបន្លំមានសារៈសំខាន់កម្រិតខ្ពស់ដែរឬទេ។ ការកំណត់អត្តសញ្ញាណច្បាស់លាស់នេះ អាចឱ្យអ្នកវាយប្រហារអាចចូលប្រើគណនីបានយ៉ាងឆាប់រហ័ស ដោយផ្តោតលើការខិតខំប្រឹងប្រែងរបស់ពួកគេលើគោលដៅដែលរកប្រាក់ចំណេញ ខណៈពេលដែលមិនយកចិត្តទុកដាក់លើទម្រង់ដែលមានតម្លៃតិចជាង។

ឧបករណ៍បន្លំដូចជា EvilProxy អនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលមានជំនាញទាប ធ្វើការវាយប្រហារដ៏ស្មុគ្រស្មាញ

EvilProxy ត្រូវបានរាយការណ៍ដំបូងដោយអ្នកស្រាវជ្រាវនៅខែកញ្ញា ឆ្នាំ 2022 នៅពេលដែលពួកគេបានបង្ហាញពីសមត្ថភាពរបស់ខ្លួនក្នុងការសម្របសម្រួលគណនីអ្នកប្រើប្រាស់ដែលទាក់ទងនឹងវេទិកាលេចធ្លោជាច្រើន រួមមាន Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo និង Yandex ក្នុងចំណោមអ្នកផ្សេងទៀត។ កញ្ចប់ឧបករណ៍នេះត្រូវបានលក់ក្នុងទីផ្សារជាសេវាកម្មជាវ ដែលអាចរកបានក្នុងអត្រាមូលដ្ឋាន 400 ដុល្លារក្នុងមួយខែ។ ទោះជាយ៉ាងណាក៏ដោយ ការចំណាយអាចកើនឡើងដល់ $600 សម្រាប់ការកំណត់គោលដៅគណនី Google ដែលឆ្លុះបញ្ចាំងពីតម្លៃខ្ពស់ដែលទាក់ទងនឹងព័ត៌មានសម្ងាត់ទាំងនោះ។

កញ្ចប់ឧបករណ៍ Phishing-as-a-Service (PhaaS) តំណាងឱ្យការវិវត្តគួរឱ្យកត់សម្គាល់នៅក្នុងទិដ្ឋភាពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដោយកាត់បន្ថយរបាំងចូលសម្រាប់ឧក្រិដ្ឋជនដែលមិនសូវមានជំនាញបច្ចេកទេស។ ការវិវត្តន៍នេះអនុញ្ញាតឱ្យអនុវត្តការវាយប្រហារដោយបន្លំស្មុគ្រស្មាញលើទ្រង់ទ្រាយធំ ខណៈពេលដែលរក្សាបាននូវវិធីសាស្រ្តគ្មានថ្នេរ និងសន្សំសំចៃ។

ភាពអាចរកបាននៃការគំរាមកំហែងជាមួយនឹងចំណុចប្រទាក់ងាយស្រួលនិងថវិកាបែបនេះបានបណ្តាលឱ្យមានការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងសកម្មភាពបន្លំការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ដែលទទួលបានជោគជ័យ។ និន្នាការនេះបង្ហាញពីការផ្លាស់ប្តូរនៃយុទ្ធសាស្ត្រដែលប្រើដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលអនុញ្ញាតឱ្យពួកគេទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនៃប្រព័ន្ធ MFA ប្រកបដោយប្រសិទ្ធភាព និងពង្រីកទំហំនៃការវាយប្រហាររបស់ពួកគេ។

តួអង្គគំរាមកំហែង EvilProxy ប្រើអ៊ីមែលក្លែងបន្លំដើម្បីទាក់ទាញជនរងគ្រោះដែលមិនសង្ស័យ

ប្រតិបត្តិការវាយប្រហារដែលបានកត់ត្រាចាប់ផ្តើមជាមួយនឹងការចែកចាយអ៊ីមែលបន្លំដែលទទួលយកការក្លែងបន្លំនៃសេវាកម្មដែលអាចទុកចិត្តបានដូចជា Adobe និង DocuSign ។ វិធីសាស្រ្តបោកបញ្ឆោតនេះមានគោលបំណងទាក់ទាញអ្នកទទួលឱ្យធ្វើអន្តរកម្មជាមួយ URL ព្យាបាទដែលរកឃើញនៅក្នុងអ៊ីមែល។ នៅពេលដែល URL ទាំងនេះត្រូវបានចុច លំដាប់ប្តូរទិសពហុដំណាក់កាលត្រូវបានកេះ។ គោលដៅគឺដើម្បីយកគោលដៅឆ្ពោះទៅរកទំព័រចូលដែលមើលទៅស្រដៀងនឹង Microsoft 365 ដែលត្រូវបានរចនាឡើងយ៉ាងឆ្លាតវៃដើម្បីធ្វើត្រាប់តាមវិបផតថលពិតប្រាកដ។ ទំព័រចូលក្លែងក្លាយដើរតួនាទីជាប្រូកស៊ីបញ្ច្រាស ដោយចាប់យកព័ត៌មានដែលដាក់ជូនតាមរយៈទម្រង់មិនច្បាស់លាស់។

ធាតុគួរឱ្យកត់សម្គាល់នៅក្នុងយុទ្ធនាការនេះគឺការបដិសេធដោយចេតនារបស់ខ្លួននៃចរាចរណ៍អ្នកប្រើប្រាស់ដែលមានប្រភពមកពីអាសយដ្ឋាន IP ទួរគី។ ចរាចរណ៍ពិសេសនេះត្រូវបានបញ្ជូនបន្តទៅកាន់គេហទំព័រស្របច្បាប់ ដោយបង្ហាញអំពីលទ្ធភាពដែលអ្នករៀបចំយុទ្ធនាការអាចមានប្រភពដើមនៅក្នុងប្រទេសនោះ។

នៅពេលដែលការកាន់កាប់គណនីជោគជ័យត្រូវបានសម្រេច តួអង្គគំរាមកំហែងបន្តបង្កើតជំហររឹងមាំនៅក្នុងបរិយាកាសពពករបស់ស្ថាប័ន។ នេះត្រូវបានសម្រេចដោយការណែនាំវិធីសាស្ត្រផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ផ្ទាល់ខ្លួនរបស់ពួកគេ ដូចជាកម្មវិធីផ្ទៀងផ្ទាត់កត្តាពីរ។ សកម្មភាពយុទ្ធសាស្ត្រនេះធានាថា អ្នកគំរាមកំហែងអាចរក្សាការចូលប្រើពីចម្ងាយដែលជាប់លាប់ សម្របសម្រួលចលនានៅពេលក្រោយនៅក្នុងប្រព័ន្ធ និងការរីកសាយនៃមេរោគបន្ថែម។

បន្ទាប់មក ការចូលប្រើប្រាស់ដែលបានទទួលគឺត្រូវបានប្រើប្រាស់សម្រាប់គោលបំណងរកប្រាក់។ តួអង្គគំរាមកំហែងអាចជ្រើសរើសចូលរួមក្នុងការក្លែងបន្លំផ្នែកហិរញ្ញវត្ថុ ទាញយកទិន្នន័យសម្ងាត់ ឬសូម្បីតែលក់គណនីអ្នកប្រើប្រាស់ដែលត្រូវបានសម្របសម្រួលទៅឱ្យអង្គភាពព្យាបាទផ្សេងទៀត។ នៅក្នុងទិដ្ឋភាពនៃការគំរាមកំហែងថាមវន្តបច្ចុប្បន្ន ការគំរាមកំហែងប្រូកស៊ីបញ្ច្រាស - គំរូជាក់លាក់ដោយ EvilProxy - គឺជាការគំរាមកំហែងដ៏ខ្លាំងក្លាដែលលើសពីសមត្ថភាពនៃឧបករណ៍បន្លំដែលមិនសូវស្មុគ្រស្មាញដែលបានប្រើប្រាស់កាលពីអតីតកាល។ គួរកត់សម្គាល់ថា សូម្បីតែការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ក៏មិនមានភាពស៊ាំទៅនឹងការគំរាមកំហែងដែលមានមូលដ្ឋានលើពពកកម្រិតខ្ពស់ទាំងនេះដែរ។