Jingle Thief ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត

Jingle Thief គឺជាចង្កោមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលជម្រុញផ្នែកហិរញ្ញវត្ថុ ដែលអ្នកស្រាវជ្រាវបាននិងកំពុងតាមដាន ដោយសារតែការវាយប្រហារដោយសំលេងរំខានទាបរបស់វាទៅលើបរិស្ថានពពកដែលប្រើប្រាស់ដោយអង្គការដែលចេញកាតអំណោយ។ ដោយសារតែប័ណ្ណអំណោយអាចត្រូវបានប្រោសលោះជាមួយនឹងទិន្នន័យផ្ទាល់ខ្លួនតិចតួច និងងាយស្រួលក្នុងការលក់បន្ត លំហូរការងារនៃការចេញការសម្របសម្រួលផ្តល់នូវការដកសាច់ប្រាក់លឿន និងពិបាកក្នុងការតាមដាន។ ប្រតិបត្តិការរបស់ក្រុមនេះគឺគួរឱ្យកត់សម្គាល់សម្រាប់រយៈពេលស្នាក់នៅយូរ ការឈ្លបយកការណ៍ដោយប្រុងប្រយ័ត្ន និងចំណូលចិត្តសម្រាប់ការប្រើប្រាស់អត្តសញ្ញាណខុសលើមេរោគប្រពៃណី ដែលជាការរួមបញ្ចូលគ្នាដែលធ្វើអោយស្មុគស្មាញដល់ការរកឃើញ និងការឆ្លើយតប។

តើពួកគេជានរណា និងអ្នកស្រាវជ្រាវហៅពួកគេ។

អ្នកវិភាគសុវត្ថិភាពដាក់ស្លាកក្រុមសកម្មភាពនេះ CL‑CRI‑1032។ ស្លាកនេះត្រូវបានបំបែកជាចង្កោម ('CL') ដែលជំរុញដោយការលើកទឹកចិត្តព្រហ្មទណ្ឌ ('CRI') ។ ការវាយតម្លៃគុណលក្ខណៈដែលបានធ្វើឡើងដោយមានទំនុកចិត្តកម្រិតមធ្យម ភ្ជាប់សកម្មភាពទៅនឹងក្រុមឧក្រិដ្ឋជនដែលត្រូវបានតាមដានដូចជា Atlas Lion និង Storm-0539 ដែលគេជឿថាដំណើរការពីប្រទេសម៉ារ៉ុក និងសកម្មតាំងពីចុងឆ្នាំ 2021។ ឈ្មោះហៅក្រៅ 'Jingle Thief' ឆ្លុះបញ្ចាំងពីទម្លាប់របស់ក្រុមក្នុងការធ្វើកូដកម្មជុំវិញអំឡុងពេលវិស្សមកាល នៅពេលដែលតម្រូវការកាតអំណោយ និងសម្ពាធអ្នកចេញកើនឡើង។

គោលបំណងចម្បង និងទម្រង់ជនរងគ្រោះ

Jingle Thief ផ្តោតលើស្ថាប័នលក់រាយ និងសេវាកម្មអតិថិជនដែលគ្រប់គ្រងការចេញកាតអំណោយនៅក្នុងវេទិកាពពក។ ហ្គេមចុងក្រោយរបស់ពួកគេគឺត្រង់៖ ទទួលបានសិទ្ធិចូលប្រើប្រាស់ដែលត្រូវការដើម្បីចេញប័ណ្ណអំណោយដែលមានតម្លៃខ្ពស់ បន្ទាប់មករកប្រាក់ពីកាតទាំងនោះ (ជាធម្មតាតាមរយៈការលក់បន្តនៅលើទីផ្សារប្រផេះ)។ ពួកគេផ្តល់អាទិភាពដល់ការចូលប្រើ ដែលអនុញ្ញាតឱ្យពួកគេធ្វើការចេញជាខ្នាត ខណៈពេលដែលចាកចេញពីផ្លូវកោសល្យវិច្ច័យតិចតួចបំផុត។

យុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធី (TTPs)

ជាជាងបង្កើតមេរោគតាមតម្រូវការ ចោរ Jingle ពឹងផ្អែកលើវិស្វកម្មសង្គម និងការរំលោភបំពានអត្តសញ្ញាណលើពពក៖

• ការលួចព័ត៌មានសម្ងាត់៖ ក្រុមនេះប្រើប្រាស់យុទ្ធនាការបន្លំ និងការលួចបន្លំតាមតម្រូវការ ដើម្បីប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណរបស់ Microsoft 365។ សារត្រូវបានប្ដូរតាមបំណងយ៉ាងខ្លាំងបន្ទាប់ពីការឈ្លបយកការណ៍បឋម ដែលជារឿយៗធ្វើត្រាប់តាមការជូនដំណឹងផ្នែកព័ត៌មានវិទ្យា ឬការអាប់ដេតសំបុត្រដើម្បីបង្កើនការចុចតាមរយៈ និងអត្រានៃការបញ្ជូនព័ត៌មាន។
• ការប្រើប្រាស់អត្តសញ្ញាណខុស និងការក្លែងបន្លំ៖ នៅពេលដែលព័ត៌មានសម្ងាត់ត្រូវបានចាប់យក អ្នកវាយប្រហារចូល និងក្លែងខ្លួនជាអ្នកប្រើប្រាស់ស្របច្បាប់ ដើម្បីចូលប្រើកម្មវិធីចេញ និងឯកសាររសើប។ ពួកគេមានចេតនាជៀសវាងការកេងប្រវ័ញ្ចនៃចំណុចបញ្ចប់ដែលមានសំលេងរំខាន ក្នុងការពេញចិត្តនៃការរំលោភបំពានគណនីដើមកំណើតនៅលើពពក។
• ការឈ្លបយកការណ៍ និងចលនានៅពេលក្រោយ៖ បន្ទាប់ពីការចូលប្រើដំបូង ពួកគេគូសផែនទីអចលនទ្រព្យលើពពក — រុករក SharePoint, OneDrive, ការណែនាំ VPN, សៀវភៅបញ្ជី និងលំហូរការងារខាងក្នុងដែលប្រើដើម្បីចេញ ឬតាមដានកាតអំណោយ — បន្ទាប់មកបង្កើនសិទ្ធិ និងផ្លាស់ទីនៅពេលក្រោយឆ្លងកាត់គណនី និងសេវាកម្មលើពពក។

ការតស៊ូនិងយុទ្ធសាស្រ្តឆ្លងកាត់ MFA

Jingle Thief រក្សាការឈរជើងរយៈពេលវែង (ពីខែទៅជាងមួយឆ្នាំ)។ បច្ចេកទេសនៃការបន្តដែលសង្កេតឃើញរួមមានការបង្កើតច្បាប់បញ្ជូនបន្តប្រអប់សំបុត្រ ផ្លាស់ទីសារបន្លំដែលបានផ្ញើភ្លាមៗទៅកាន់ធាតុដែលបានលុប ដើម្បីលាក់ដាន ចុះឈ្មោះកម្មវិធីផ្ទៀងផ្ទាត់ក្លែងក្លាយ និងការចុះឈ្មោះឧបករណ៍វាយប្រហារទៅក្នុងលេខសម្គាល់ Entra ។ សកម្មភាពទាំងនេះអនុញ្ញាតឱ្យក្រុមរស់រានមានជីវិតពីការកំណត់ពាក្យសម្ងាត់ឡើងវិញ និងការដកហូតសញ្ញាសម្ងាត់ និងបង្កើតការចូលប្រើឡើងវិញបានយ៉ាងឆាប់រហ័ស។

លំនាំប្រតិបត្តិការ និងមាត្រដ្ឋាន

អ្នកស្រាវជ្រាវបានសង្កេតឃើញការកើនឡើងនៃការវាយប្រហារក្នុងខែមេសាដល់ខែឧសភា ឆ្នាំ 2025 ដែលបានកំណត់គោលដៅសហគ្រាសជាច្រើននៅទូទាំងពិភពលោក។ នៅក្នុងយុទ្ធនាការមួយ អ្នកវាយប្រហារត្រូវបានគេរាយការណ៍ថាបានរក្សាការចូលប្រើរយៈពេល ~ 10 ខែ ហើយបានសម្របសម្រួលគណនីអ្នកប្រើប្រាស់ប្រហែល 60 នៅក្នុងបរិយាកាសជនរងគ្រោះតែមួយ។ ប្រតិបត្តិការរបស់ពួកគេជារឿយៗកំណត់គោលដៅវិបផតថលចេញកាតអំណោយដោយផ្ទាល់ ដោយចេញកាតនៅទូទាំងកម្មវិធីជាច្រើន ខណៈពេលដែលព្យាយាមកាត់បន្ថយការកត់ត្រា និងទិន្នន័យមេតានៃកោសល្យវិច្ច័យ។

ហេតុអ្វីបានជាការក្លែងបន្លំកាតអំណោយមានភាពទាក់ទាញ

ប័ណ្ណអំណោយមានភាពទាក់ទាញសម្រាប់អ្នកក្លែងបន្លំ ព្រោះវាអាចត្រូវបានលោះ ឬលក់បន្តជាមួយនឹងទិន្នន័យកំណត់អត្តសញ្ញាណតិចតួចបំផុត ហើយលំហូរការងារនៃការចេញរបស់ពួកគេច្រើនតែត្រូវបានត្រួតពិនិត្យយ៉ាងតឹងរ៉ឹងជាងប្រព័ន្ធទូទាត់ហិរញ្ញវត្ថុ។ នៅពេលដែលអ្នកវាយប្រហារទទួលបាន cloud ចូលទៅកាន់លំហូរការងារទាំងនោះ ពួកគេអាចកាត់បន្ថយការក្លែងបន្លំបានយ៉ាងឆាប់រហ័ស ខណៈពេលដែលទុកផ្លូវសវនកម្មដែលមិនសូវច្បាស់សម្រាប់អ្នកការពារធ្វើតាម។

សូចនាករនៃការសម្របសម្រួល

• ការបង្កើតច្បាប់ប្រអប់សំបុត្រដែលមិនអាចពន្យល់បាន ឬការបញ្ជូនបន្តដោយស្វ័យប្រវត្តិទៅអាសយដ្ឋានខាងក្រៅ។
• ការចុះឈ្មោះអ្នកផ្ទៀងផ្ទាត់ថ្មី ឬការចុះឈ្មោះឧបករណ៍ដែលមិនរំពឹងទុកនៅក្នុង Entra ID ។
• ការកើនឡើងភ្លាមៗនៃការចេញប័ណ្ណអំណោយតម្លៃខ្ពស់ ឬការចេញក្រៅម៉ោងធ្វើការធម្មតា។
• ចូលប្រើទីតាំង SharePoint/OneDrive ដែលរក្សាទុកដំណើរការការងារ សៀវភៅបញ្ជី ឬការណែនាំអំពី VPN/IT-admin។
• ការចូលប្រអប់សំបុត្រច្រើនពីទីតាំងភូមិសាស្ត្រផ្សេងៗគ្នា ឬ IP ដែលមិនស្គាល់ ដែលមិនស៊ីគ្នានឹងឥរិយាបថអ្នកប្រើប្រាស់ធម្មតា។

ការគ្រប់គ្រងការពារដែលបានណែនាំ

• អនុវត្ត MFA ដែលធន់នឹងការបន្លំ (លេខសម្ងាត់/FIDO2) និងទប់ស្កាត់កត្តាទីពីរខ្សោយដែលអាចចុះឈ្មោះពីចម្ងាយ។
• ពង្រឹងអនាម័យអត្តសញ្ញាណ៖ បិទការផ្ទៀងផ្ទាត់កេរ្តិ៍ដំណែល ទាមទារគោលការណ៍ចូលប្រើប្រាស់តាមលក្ខខណ្ឌ និងប្រើប្រាស់ស្ថានីយការងារដែលមានសិទ្ធិចូលប្រើប្រាស់សម្រាប់ការគ្រប់គ្រង។
• ត្រួតពិនិត្យ និងដាស់តឿនលើច្បាប់បញ្ជូនបន្តប្រអប់សំបុត្រ ការចុះឈ្មោះឧបករណ៍/ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវថ្មី និងការចូលប្រើមិនធម្មតាចំពោះកម្មវិធីចេញប័ណ្ណអំណោយ។

ការវាយតម្លៃបិទ

ការរួមបញ្ចូលគ្នារបស់ Jingle Thief នៃការឈ្លបយកការណ៍យ៉ាងស៊ីជម្រៅ ការប្រើប្រាស់គណនីមិនត្រឹមត្រូវ ពេលវេលាស្នាក់នៅយូរ និងបច្ចេកទេសនៃការគេចពី MFA ធ្វើឱ្យវាក្លាយជាសត្រូវដែលមានហានិភ័យខ្ពស់សម្រាប់អង្គការណាមួយដែលចេញប័ណ្ណអំណោយ។ ដោយសារតែក្រុមនេះប្រើប្រាស់នូវអត្តសញ្ញាណពពក និងលក្ខណៈពិសេសសេវាកម្មជាជាងការកេងប្រវ័ញ្ចចំណុចបញ្ចប់ដែលមិនមានសម្លេងរំខាន ការរកឃើញទាមទារឱ្យមានការត្រួតពិនិត្យអត្តសញ្ញាណដោយប្រយ័ត្នប្រយែង គោលការណ៍ MFA ដ៏តឹងរ៉ឹង និងការគ្រប់គ្រងដែលត្រូវបានកែសម្រួលដើម្បីការពារលំហូរការងារនៃការចេញប័ណ្ណ។ ការផ្តល់អាទិភាពដល់វិធានការការពារទាំងនេះកាត់បន្ថយឱកាសសម្រាប់អ្នកវាយប្រហារក្នុងការចេញដោយស្ងាត់ស្ងៀម ដកប្រាក់ និងបាត់។