Computer Security ដំណឹង​ឆបោក! ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកេងប្រវ័ញ្ច CrowdStrike...

ដំណឹង​ឆបោក! ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកេងប្រវ័ញ្ច CrowdStrike Outage ជាមួយនឹងការជួសជុលអាប់ដេតដែលមានមេរោគ

បន្ទាប់ពី ការដាច់ CrowdStrike កាលពីសប្តាហ៍មុន ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានចាប់យកឱកាសដើម្បីចាប់ផ្តើមការវាយប្រហារផ្នែកវិស្វកម្មសង្គមដែលសំដៅទៅលើ អតិថិជនរបស់អ្នកលក់សន្តិសុខ ។ ព្រឹត្តិការណ៍នេះ ដែលរំខានដល់ការធ្វើដំណើរតាមផ្លូវអាកាស ហាងបិទទ្វារ និងកន្លែងពេទ្យដែលរងផលប៉ះពាល់ ត្រូវបានបន្តដោយការកើនឡើងនៃសកម្មភាពបន្លំដែលត្រូវបានរាយការណ៍ដោយទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិតជាតិនៅសហរដ្ឋអាមេរិក ចក្រភពអង់គ្លេស កាណាដា និងអូស្ត្រាលី។

យោងតាមលោក Luigi Lenguito នាយកប្រតិបត្តិនៃ BforeAI ការវាយប្រហារក្រោយ CrowdStrike ទាំងនេះគឺគួរឱ្យកត់សម្គាល់ច្រើនជាងមុន និងជាគោលដៅបើប្រៀបធៀបទៅនឹងការវាយប្រហារធម្មតាដែលតាមដានព្រឹត្តិការណ៍ព័ត៌មានសំខាន់ៗ។ Lenguito បានកត់សម្គាល់ថា "នៅក្នុងការវាយប្រហារកាលពីសប្តាហ៍មុនលើ Trump យើងបានឃើញការកើនឡើងនៅថ្ងៃដំបូងនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតចំនួន 200 ដែលបន្ទាប់មកបានថយចុះដល់ 40-50 ក្នុងមួយថ្ងៃ" ។ "នៅទីនេះ អ្នកកំពុងសម្លឹងមើលការកើនឡើងដែលធំជាង 3 ដង។ យើងឃើញការវាយប្រហារប្រហែល 150 ទៅ 300 ក្នុងមួយថ្ងៃ ដែលមិនមែនជាបរិមាណធម្មតាសម្រាប់ការវាយប្រហារទាក់ទងនឹងព័ត៌មាននោះទេ។"

កម្រងព័ត៌មាននៃការបោកប្រាស់តាមប្រធានបទ CrowdStrike

យុទ្ធសាស្រ្តនៅពីក្រោយការបោកប្រាស់ទាំងនេះគឺច្បាស់ណាស់៖ ជាមួយនឹងអ្នកប្រើប្រាស់សាជីវកម្មធំជាច្រើនមិនអាចភ្ជាប់ទៅសេវាកម្មរបស់ CrowdStrike ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទាញយកភាពងាយរងគ្រោះនេះ។ លក្ខណៈគោលដៅនៃការវាយប្រហារទាំងនេះ ធ្វើឱ្យពួកគេខុសពីការបោកប្រាស់ដែលមានប្រធានបទផ្សេងទៀត ដូចជាករណីដែលទាក់ទងនឹងព្រឹត្តិការណ៍នយោបាយជាដើម។ ជនរងគ្រោះជារឿយៗមានជំនាញបច្ចេកទេស និងចំណេះដឹងច្រើនជាងមុនអំពីសុវត្ថិភាពតាមអ៊ីនធឺណិត។

អ្នកវាយប្រហារបានក្លែងបន្លំ CrowdStrike ជំនួយបច្ចេកទេសដែលពាក់ព័ន្ធ ឬសូម្បីតែក្រុមហ៊ុនប្រកួតប្រជែងដែលផ្តល់ "ការជួសជុល" ផ្ទាល់ខ្លួនរបស់ពួកគេ។ Phishing និង typosquatting domains ដូចជា crowdstrikefix[.]com, crowdstrikeupdate[.]com, និង www.microsoftcrowdstrike[.]com បានផុសឡើង ដោយមានជាង 2,000 ដែនបែបនេះត្រូវបានកំណត់។

ដែនទាំងនេះកំពុងត្រូវបានប្រើដើម្បីចែកចាយមេរោគ រួមទាំងឯកសារ ZIP ដែលដាក់ជា hotfix ដែលមាន HijackLoader (ត្រូវបានគេស្គាល់ផងដែរថាជា IDAT Loader) ដែលផ្ទុកជាបន្តបន្ទាប់ RemCos RAT ។ ឯកសារនេះត្រូវបានរាយការណ៍ជាលើកដំបូងពីប្រទេសម៉ិកស៊ិក ហើយរួមបញ្ចូលឈ្មោះឯកសារជាភាសាអេស្ប៉ាញ ដែលស្នើឱ្យផ្តោតលើអតិថិជន CrowdStrike នៅអាមេរិកឡាទីន។

ក្នុង​ឧទាហរណ៍​មួយ​ទៀត អ្នក​វាយ​ប្រហារ​បាន​ផ្ញើ​អ៊ីមែល​បន្លំ​ជាមួយ​ឯកសារ​ភ្ជាប់ PDF ដែល​រចនា​មិន​ល្អ។ PDF មានតំណភ្ជាប់ដើម្បីទាញយកឯកសារ ZIP ដែលអាចប្រតិបត្តិបាន។ នៅពេលបើកដំណើរការ កម្មវិធីប្រតិបត្តិបានសុំការអនុញ្ញាតដើម្បីដំឡើងបច្ចុប្បន្នភាព ដែលប្រែទៅជា wiper ។ ក្រុម hacktivist គាំទ្រហាម៉ាស "Handala" បានអះអាងទទួលខុសត្រូវដោយបញ្ជាក់ថា "រាប់សិប" នៃអង្គការអ៊ីស្រាអែលបានបាត់បង់ទិន្នន័យជាច្រើន terabyte ជាលទ្ធផល។

ការការពារប្រឆាំងនឹងការគំរាមកំហែងទាំងនេះ

អង្គការអាចការពារខ្លួនដោយការអនុវត្តបញ្ជីបិទ ដោយប្រើឧបករណ៍ DNS ការពារ និងធានាថាពួកគេ ស្វែងរកការគាំទ្រពីគេហទំព័រផ្លូវការរបស់ CrowdStrike និងបណ្តាញសេវាកម្មអតិថិជនប៉ុណ្ណោះ។ Lenguito ណែនាំថាការកើនឡើងនៃការវាយប្រហារនៅតែស្ថិតក្នុងដំណាក់កាលដំបូងរបស់វា ប៉ុន្តែទំនងជានឹងកាត់បន្ថយក្នុងរយៈពេលប៉ុន្មានសប្តាហ៍ខាងមុខនេះ។ លោក​បាន​សង្កេត​ឃើញ​ថា​៖ «​ជា​ទូទៅ យុទ្ធនាការ​ទាំង​នេះ​មាន​រយៈពេល​ពីរ​ទៅ​បី​សប្តាហ៍​។

ដោយរក្សាការប្រុងប្រយ័ត្ន និងពឹងផ្អែកលើប្រភពដែលបានផ្ទៀងផ្ទាត់សម្រាប់ការគាំទ្រផ្នែកបច្ចេកទេស អង្គការអាចកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយការវាយប្រហារក្លែងបន្លំដ៏ទំនើប និងគោលដៅទាំងនេះ។

កំពុង​ផ្ទុក...