សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) យុទ្ធនាការ​សម្របសម្រួល​លើ​ពពក UNC4899

យុទ្ធនាការ​សម្របសម្រួល​លើ​ពពក UNC4899

ដោយ Mezo ក្នុង ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

ការឈ្លានពានតាមអ៊ីនធឺណិតដ៏ទំនើបមួយក្នុងឆ្នាំ ២០២៥ ត្រូវបានផ្សារភ្ជាប់ទៅនឹងក្រុមគំរាមកំហែងកូរ៉េខាងជើង UNC4899 ដែលជាក្រុមមួយដែលសង្ស័យថាបានរៀបចំការសម្របសម្រួលទ្រង់ទ្រាយធំនៃអង្គការរូបិយប័ណ្ណឌីជីថល ដែលបណ្តាលឱ្យមានការលួចទ្រព្យសម្បត្តិឌីជីថលរាប់លានដុល្លារ។ យុទ្ធនាការនេះត្រូវបានគេសន្មតថាមានទំនុកចិត្តកម្រិតមធ្យមទៅលើគូប្រជែងដែលឧបត្ថម្ភដោយរដ្ឋនេះ ដែលត្រូវបានតាមដានក្រោមឈ្មោះជាច្រើនទៀតផងដែរ រួមមាន Jade Sleet, PUKCHONG, Slow Pisces និង TraderTraitor។

ហេតុការណ៍នេះលេចធ្លោដោយសារតែវិធីសាស្រ្តពហុស្រទាប់របស់វា។ អ្នកវាយប្រហារបានផ្សំវិស្វកម្មសង្គមជាមួយនឹងការកេងប្រវ័ញ្ចយន្តការផ្ទេរទិន្នន័យពីបុគ្គលទៅសាជីវកម្ម ហើយក្រោយមកបានបង្វែរទៅហេដ្ឋារចនាសម្ព័ន្ធ cloud របស់អង្គការ។ នៅពេលដែលនៅក្នុងបរិយាកាស cloud លំហូរការងារ DevOps ស្របច្បាប់ត្រូវបានគេរំលោភបំពានដើម្បីប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ គេចចេញពីព្រំដែនកុងតឺន័រ និងរៀបចំមូលដ្ឋានទិន្នន័យ Cloud SQL ដើម្បីសម្រួលដល់ការលួច។

ពីឧបករណ៍ផ្ទាល់ខ្លួនទៅបណ្តាញសាជីវកម្ម៖ ការសម្របសម្រួលដំបូង

ការវាយប្រហារនេះបានចាប់ផ្តើមជាមួយនឹងយុទ្ធនាការវិស្វកម្មសង្គមដែលត្រូវបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន។ អ្នកអភិវឌ្ឍន៍ម្នាក់ដែលធ្វើការនៅក្នុងអង្គការគោលដៅត្រូវបានបញ្ឆោតឱ្យទាញយកឯកសារបណ្ណសារដែលបង្ហាញជាផ្នែកមួយនៃគម្រោងសហការប្រភពបើកចំហស្របច្បាប់។ បន្ទាប់ពីទាញយកឯកសារទៅកាន់ឧបករណ៍ផ្ទាល់ខ្លួន អ្នកអភិវឌ្ឍន៍បានផ្ទេរវាទៅស្ថានីយការងាររបស់ក្រុមហ៊ុនដោយប្រើ AirDrop ដោយអចេតនាបានភ្ជាប់ព្រំដែនសុវត្ថិភាពរវាងបរិស្ថានផ្ទាល់ខ្លួន និងសហគ្រាស។

អន្តរកម្មជាមួយបណ្ណសារបានកើតឡើងតាមរយៈបរិស្ថានអភិវឌ្ឍន៍រួមបញ្ចូលគ្នា (IDE) ដែលជួយដោយ AI។ ក្នុងអំឡុងពេលដំណើរការនេះ កូដ Python ព្យាបាទដែលបានបង្កប់នៅក្នុងបណ្ណសារត្រូវបានប្រតិបត្តិ។ កូដនេះបានដាក់ពង្រាយប្រព័ន្ធគោលពីរដែលក្លែងបន្លំជាឧបករណ៍បន្ទាត់ពាក្យបញ្ជា Kubernetes ដែលអនុញ្ញាតឱ្យវាមើលទៅស្របច្បាប់ខណៈពេលកំពុងអនុវត្តប្រតិបត្តិការព្យាបាទ។

បន្ទាប់មក ប្រព័ន្ធគោលពីរបានទាក់ទងដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ហើយដំណើរការជាទ្វារខាងក្រោយនៅក្នុងប្រព័ន្ធសាជីវកម្ម។ ជើងទម្រនេះបានអនុញ្ញាតឱ្យសត្រូវផ្លាស់ប្តូរពីស្ថានីយការងារដែលរងការសម្របសម្រួលទៅក្នុងបរិស្ថាន Google Cloud របស់អង្គការ ដោយទំនងជាទាញយកអត្ថប្រយោជន៍ពីវគ្គដែលបានផ្ទៀងផ្ទាត់សកម្ម និងព័ត៌មានសម្ងាត់ដែលអាចចូលប្រើបាន។

នៅពេលដែលនៅខាងក្នុងហេដ្ឋារចនាសម្ព័ន្ធ cloud អ្នកវាយប្រហារបានចាប់ផ្តើមដំណាក់កាលឈ្លបយកការណ៍ដែលត្រូវបានរចនាឡើងដើម្បីកំណត់សេវាកម្ម គម្រោង និងចំណុចចូលប្រើដែលអាចត្រូវបានទាញយកអត្ថប្រយោជន៍សម្រាប់ការសម្របសម្រួលបន្ថែមទៀត។

ការកេងប្រវ័ញ្ចបរិស្ថានពពក និងការកើនឡើងសិទ្ធិ

ក្នុងអំឡុងពេលនៃដំណាក់កាលឈ្លបយកការណ៍ អ្នកវាយប្រហារបានកំណត់អត្តសញ្ញាណម៉ាស៊ីនមូលដ្ឋានមួយនៅក្នុងបរិយាកាសពពក។ តាមរយៈការកែប្រែគុណលក្ខណៈគោលការណ៍ផ្ទៀងផ្ទាត់ពហុកត្តារបស់ម៉ាស៊ីន ការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតត្រូវបានសម្រេច។ ការចូលប្រើប្រាស់នេះបានអនុញ្ញាតឱ្យមានសកម្មភាពឈ្លបយកការណ៍កាន់តែស៊ីជម្រៅ រួមទាំងការរុករកទៅកាន់ផតជាក់លាក់នៅក្នុងបរិយាកាស Kubernetes។

បន្ទាប់មក អ្នកវាយប្រហារបានផ្លាស់ប្តូរទៅយុទ្ធសាស្ត្ររស់នៅក្រៅពពក ដោយពឹងផ្អែកជាចម្បងលើឧបករណ៍ និងការកំណត់រចនាសម្ព័ន្ធពពកស្របច្បាប់ ជាជាងមេរោគខាងក្រៅ។ ភាពស្ថិតស្ថេរត្រូវបានបង្កើតឡើងដោយការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធការដាក់ពង្រាយ Kubernetes ដើម្បីឱ្យពាក្យបញ្ជា bash ដែលមានគំនិតអាក្រក់នឹងដំណើរការដោយស្វ័យប្រវត្តិនៅពេលណាដែល pods ថ្មីត្រូវបានបង្កើត។ ពាក្យបញ្ជានេះបានទាញយក និងដាក់ពង្រាយ backdoor ដើម្បីធានាបាននូវការចូលប្រើជាបន្តបន្ទាប់។

សកម្មភាពសំខាន់ៗដែលបានអនុវត្តដោយអ្នកគំរាមកំហែងក្នុងអំឡុងពេលសម្របសម្រួលរួមមាន៖

  • ការកែប្រែធនធាន Kubernetes ដែលភ្ជាប់ជាមួយវេទិកា CI/CD របស់អង្គការ ដើម្បីចាក់បញ្ចូលពាក្យបញ្ជាដែលបង្ហាញថូខឹនគណនីសេវាកម្មនៅក្នុងកំណត់ហេតុប្រព័ន្ធ។
  • ការទទួលបានថូខឹនដែលភ្ជាប់ទៅនឹងគណនីសេវាកម្ម CI/CD ដែលមានសិទ្ធិខ្ពស់ ដែលអាចឱ្យមានការកើនឡើងសិទ្ធិ និងចលនាចំហៀងឆ្ពោះទៅរកផតដែលទទួលខុសត្រូវចំពោះគោលការណ៍បណ្តាញ និងការធ្វើឱ្យមានតុល្យភាពបន្ទុក។
  • ការប្រើប្រាស់ថូខឹនដែលត្រូវបានគេលួចដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទៅនឹងផតហេដ្ឋារចនាសម្ព័ន្ធដ៏រសើបដែលដំណើរការក្នុងរបៀបពិសេស ការគេចចេញពីបរិស្ថានកុងតឺន័រ និងការដំឡើងទ្វារក្រោយអចិន្ត្រៃយ៍។
  • ធ្វើការឈ្លបយកការណ៍បន្ថែមមុនពេលកំណត់គោលដៅបន្ទុកការងារដែលទទួលខុសត្រូវក្នុងការគ្រប់គ្រងព័ត៌មានអតិថិជន រួមទាំងអត្តសញ្ញាណអ្នកប្រើប្រាស់ ព័ត៌មានលម្អិតសុវត្ថិភាពគណនី និងទិន្នន័យកាបូបលុយឌីជីថល។
  • កំពុងស្រង់យកព័ត៌មានសម្ងាត់មូលដ្ឋានទិន្នន័យឋិតិវន្តដែលត្រូវបានរក្សាទុកមិនត្រឹមត្រូវនៅក្នុងអថេរបរិស្ថាន pod។
  • ការប្រើប្រាស់ព័ត៌មានសម្ងាត់ទាំងនោះតាមរយៈ Cloud SQL Auth Proxy ដើម្បីចូលប្រើមូលដ្ឋានទិន្នន័យផលិតកម្ម និងប្រតិបត្តិពាក្យបញ្ជា SQL ដែលបានកែប្រែគណនីអ្នកប្រើប្រាស់ រួមទាំងការកំណត់ពាក្យសម្ងាត់ឡើងវិញ និងការអាប់ដេតទៅកាន់គ្រាប់ពូជផ្ទៀងផ្ទាត់ពហុកត្តាសម្រាប់គណនីដែលមានតម្លៃខ្ពស់ជាច្រើន។

ការរៀបចំទាំងនេះនៅទីបំផុតអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងគណនីដែលរងការសម្របសម្រួល និងដកប្រាក់ឌីជីថលជាច្រើនលានដុល្លារដោយជោគជ័យ។

ផលប៉ះពាល់សន្តិសុខនៃការផ្ទេរទិន្នន័យឆ្លងបរិស្ថាន

ឧប្បត្តិហេតុនេះបានបង្ហាញពីចំណុចខ្សោយសន្តិសុខសំខាន់ៗមួយចំនួនដែលត្រូវបានរកឃើញជាទូទៅនៅក្នុងបរិយាកាស cloud-native ទំនើប។ យន្តការផ្ទេរទិន្នន័យ peer-to-peer ពីបុគ្គលទៅសាជីវកម្មដូចជា AirDrop អាចរំលងការគ្រប់គ្រងសុវត្ថិភាពសហគ្រាសដោយអចេតនា ដែលអាចឱ្យមេរោគដែលបានបញ្ចូលនៅលើឧបករណ៍ផ្ទាល់ខ្លួនទៅដល់ប្រព័ន្ធសាជីវកម្ម។

កត្តាហានិភ័យបន្ថែមរួមមានការប្រើប្រាស់របៀបកុងតឺន័រដែលមានសិទ្ធិ ការបែងចែកមិនគ្រប់គ្រាន់រវាងបន្ទុកការងារ និងការផ្ទុកព័ត៌មានសម្ងាត់ដែលមិនមានសុវត្ថិភាពនៅក្នុងអថេរបរិស្ថាន។ ចំណុចខ្សោយនីមួយៗបានបង្កើនកាំផ្ទុះនៃការឈ្លានពាន នៅពេលដែលអ្នកវាយប្រហារទទួលបានទីតាំងដំបូង។

យុទ្ធសាស្ត្រការពារដើម្បីកាត់បន្ថយការគំរាមកំហែងស្រដៀងគ្នា

អង្គការដែលដំណើរការហេដ្ឋារចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើពពក ជាពិសេសអង្គការដែលគ្រប់គ្រងទ្រព្យសកម្មហិរញ្ញវត្ថុ ឬរូបិយប័ណ្ណគ្រីបតូ ត្រូវតែអនុវត្តការគ្រប់គ្រងការពារជាស្រទាប់ៗ ដែលដោះស្រាយទាំងហានិភ័យចំណុចបញ្ចប់ និងហានិភ័យលើពពក។

វិធានការកាត់បន្ថយប្រកបដោយប្រសិទ្ធភាពរួមមាន៖

  • ការអនុវត្តការគ្រប់គ្រងការចូលប្រើដែលយល់ដឹងពីបរិបទ និងការផ្ទៀងផ្ទាត់ពហុកត្តាដែលធន់នឹងការបន្លំ។
  • ធានាថាមានតែរូបភាពកុងតឺន័រដែលគួរឱ្យទុកចិត្ត និងបានផ្ទៀងផ្ទាត់ប៉ុណ្ណោះដែលត្រូវបានដាក់ពង្រាយនៅក្នុងបរិស្ថានពពក។
  • ការញែកណូតដែលរងការគំរាមកំហែង និងការពារពួកវាពីការបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនខាងក្រៅ។
  • តាមដានបរិស្ថានកុងតឺន័រសម្រាប់ដំណើរការដែលមិនបានរំពឹងទុក ឬឥរិយាបថពេលដំណើរការមិនប្រក្រតី។
  • ការអនុម័តការអនុវត្តការគ្រប់គ្រងអាថ៌កំបាំងដ៏រឹងមាំ ដើម្បីលុបបំបាត់ការរក្សាទុកព័ត៌មានសម្ងាត់នៅក្នុងអថេរបរិស្ថាន។
  • ការអនុវត្តគោលការណ៍ចំណុចបញ្ចប់ដែលបិទ ឬរឹតត្បិតការផ្ទេរឯកសារពីមិត្តភក្ដិទៅមិត្តភក្ដិដូចជា AirDrop ឬ Bluetooth និងការពារការដំឡើងមេឌៀខាងក្រៅដែលមិនបានគ្រប់គ្រងនៅលើឧបករណ៍សាជីវកម្ម។

យុទ្ធសាស្ត្រការពារស៊ីជម្រៅដ៏ទូលំទូលាយ ដែលផ្ទៀងផ្ទាត់អត្តសញ្ញាណ ដាក់កម្រិតផ្លូវផ្ទេរទិន្នន័យដែលមិនអាចគ្រប់គ្រងបាន និងអនុវត្តការញែកដាច់ពីគ្នាយ៉ាងតឹងរ៉ឹងនៅក្នុងបរិស្ថានពពក អាចកាត់បន្ថយផលប៉ះពាល់នៃយុទ្ធនាការឈ្លានពានកម្រិតខ្ពស់ស្រដៀងគ្នានេះបានយ៉ាងច្រើន។

និន្នាការ

កម្មវិធី​ប្រឆាំង​មេរោគ BuP1w

Ransomware
ការការពារទ្រព្យសម្បត្តិឌីជីថលបានក្លាយជាការទទួលខុសត្រូវជាមូលដ្ឋានសម្រាប់ទាំងបុគ្គល និងអង្គការ។ យុទ្ធនាការ ransomware ទំនើបៗត្រូវបានរចនាឡើងដើម្បីបង្កឱ្យមានការរំខានអតិបរមា សម្ពាធហិរញ្ញវត្ថុ...

0apt Locker Ransomware

Ransomware
ការការពារឧបករណ៍ពីមេរោគបានក្លាយជាអាទិភាពដ៏សំខាន់មួយនៅក្នុងយុគសម័យមួយដែលប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតត្រូវបានរៀបចំឡើង ស្វ័យប្រវត្តិកម្ម និងមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុកាន់តែខ្លាំងឡើង។...

Critical-service.cc

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការរុករកអ៊ីនធឺណិតតម្រូវឱ្យមានការប្រុងប្រយ័ត្នជាប់លាប់។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តអភិវឌ្ឍបច្ចេកទេសបោកបញ្ឆោតដើម្បីរៀបចំអ្នកប្រើប្រាស់ឱ្យធ្វើឱ្យប៉ះពាល់ដល់សុវត្ថិភាពផ្ទាល់ខ្លួនរបស់ពួកគេ។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
21,503
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Eporner.com

បញ្ហា
20,526
អ៊ីនធឺណិត​ជា​កន្លែង​ដ៏​ធំ​មួយ​ដែល​ពោរពេញ​ទៅ​ដោយ​មាតិកា​ដែល​មាន​ប្រយោជន៍ ការ​កម្សាន្ត និង​ព័ត៌មាន ប៉ុន្តែ​វា​ក៏​មាន​ជ្រុង​ងងឹត​ដែរ។ មិនថាអ្នកកំពុងចាក់ផ្សាយកម្មវិធី ទាញយកកម្មវិធី...
កំពុង​ផ្ទុក...