ពួក Hacker ប្រើប្រាស់កម្មវិធី NinjaOne RMM ស្របច្បាប់ដើម្បីរំលងការរកឃើញមេរោគបែបប្រពៃណី

យុទ្ធនាការបន្លំបន្លំដែលទើបនឹងចងក្រងជាឯកសារថ្មីមួយកំពុងប្រើប្រាស់ឧបករណ៍គ្រប់គ្រងពីចម្ងាយស្របច្បាប់ដើម្បីគ្រប់គ្រងកុំព្យូទ័ររបស់ជនរងគ្រោះដោយស្ងៀមស្ងាត់ ដោយមិនចាំបាច់ដាក់ពង្រាយមេរោគប្រពៃណីសូម្បីតែមួយខ្សែ។

អ្នកស្រាវជ្រាវបានរកឃើញប្រតិបត្តិការសកម្មមួយដែលកំណត់គោលដៅអង្គការប្រេស៊ីល ដែលអ្នកវាយប្រហារបញ្ឆោតបុគ្គលិកឱ្យដំឡើងភ្នាក់ងារកម្មវិធីសហគ្រាសពិតប្រាកដមួយ ដែលបន្ទាប់មកប្រគល់ការគ្រប់គ្រងពីចម្ងាយពេញលេញទៅឱ្យភ្នាក់ងារគំរាមកំហែង។

យុទ្ធនាការនេះចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំបន្លំដែលមើលទៅដូចជាធម្មតាទាំងស្រុង។ តំណភ្ជាប់នេះបញ្ជូនបន្តជនរងគ្រោះតាមរយៈការបញ្ជូនបន្តដែលមានមូលដ្ឋានលើ Google មុនពេលចុះចតនៅលើវិបផតថលអាជីវកម្មក្លែងក្លាយជាភាសាព័រទុយហ្គាល់។

គេហទំព័រនេះធ្វើត្រាប់តាមលំហូរការងារចូលប្រើឯកសារដែលបុគ្គលិកហិរញ្ញវត្ថុ ការផ្គត់ផ្គង់ និងរដ្ឋបាលដោះស្រាយជារៀងរាល់ថ្ងៃ ដែលធ្វើឱ្យគោលដៅងាយស្រួលក្នុងការបន្ថយការប្រុងប្រយ័ត្នរបស់ពួកគេ។

អ្វីដែលធ្វើឱ្យការវាយប្រហារនេះមានគ្រោះថ្នាក់ជាពិសេសគឺអ្វីដែលកើតឡើងបន្ទាប់ពីអ្នកប្រើប្រាស់ចុចទាញយក។ ជំនួសឱ្យការទទួលបានឯកសារអាជីវកម្ម ជនរងគ្រោះដោយមិនដឹងខ្លួនដំឡើងភ្នាក់ងារត្រួតពិនិត្យ និងគ្រប់គ្រងពីចម្ងាយ NinjaOne (RMM) ស្របច្បាប់ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីភ្ជាប់ត្រឡប់ទៅហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារវិញ។

អ្នកវិភាគនៅ Cato CTRL ដែលជាផ្នែកស្រាវជ្រាវការគំរាមកំហែងរបស់ Cato Networks បានកំណត់អត្តសញ្ញាណខ្សែសង្វាក់រំលោភបំពានដែលមិនមានឯកសារពីមុននេះ ហើយបានចែករំលែកការរកឃើញរបស់ពួកគេនៅក្នុងរបាយការណ៍មួយជាមួយ Cyber ​​Security News (CSN)។

យុទ្ធនាការនេះផ្តោតលើយ៉ាងហោចណាស់អង្គការមួយនៅក្នុងវិស័យគីមី និងសម្ភារៈទំនើប។ ប្រធានបទវិស្វកម្មសង្គមដែលបានប្រើ រួមទាំងកំណត់ត្រាសារពើពន្ធក្លែងក្លាយ ឯកសារអ្នកផ្គត់ផ្គង់ និងវិបផតថលគ្រប់គ្រងពាក្យបណ្តឹង គឺពាក់ព័ន្ធយ៉ាងទូលំទូលាយនៅទូទាំងឧស្សាហកម្ម។

អ្នកវាយប្រហារបានបង្កើតទំព័របន្លំដើម្បីឆ្លុះបញ្ចាំងពីវប្បធម៌អាជីវកម្មរបស់ប្រេស៊ីល ដោយប្រើឈ្មោះម៉ាកក្នុងស្រុកដែលគួរឱ្យទុកចិត្ត និងឯកសារយោងសេវាកម្មរដ្ឋាភិបាល ដើម្បីធ្វើឱ្យការល្បួងមានអារម្មណ៍ថាមានភាពត្រឹមត្រូវ។

ផ្នែកខ្លះនៃហេដ្ឋារចនាសម្ព័ន្ធបន្លំនៅតែអាចចូលប្រើបានគិតត្រឹមថ្ងៃទី 3 ខែមិថុនា ឆ្នាំ 2026 សូម្បីតែបន្ទាប់ពីការបង្ហាញព័ត៌មានដែលមានការទទួលខុសត្រូវត្រូវបានធ្វើឡើងក៏ដោយ។ អ្នកវាយប្រហារបានខិតខំប្រឹងប្រែងយ៉ាងខ្លាំងក្នុងការរក្សាអ្នកស្រាវជ្រាវ និងជនរងគ្រោះពិតប្រាកដឱ្យនៅដាច់ដោយឡែក ដែលធ្វើឱ្យប្រតិបត្តិការនេះក្លាយជាប្រតិបត្តិការដែលបានគ្រោងទុកយ៉ាងល្អ ជាជាងប្រតិបត្តិការឱកាសនិយម។

ពួក Hacker រំលោភបំពានកម្មវិធី RMM NinjaOne ស្របច្បាប់

នៅពេលដែលជនរងគ្រោះដំឡើងភ្នាក់ងារ NinjaOne អ្នកវាយប្រហារទទួលបានកម្រិតនៃការចូលប្រើដូចគ្នាដែលអ្នកគ្រប់គ្រង IT ស្របច្បាប់នឹងមានលើចំណុចបញ្ចប់នោះ។

នេះរួមបញ្ចូលទាំងការត្រួតពិនិត្យសកម្មភាពឧបករណ៍ ការដំណើរការពាក្យបញ្ជាពីចម្ងាយ ការផ្ទេរឯកសារ ការដាក់ពង្រាយឧបករណ៍ និងការធ្វើស្វ័យប្រវត្តិកម្មភារកិច្ច ទាំងអស់តាមរយៈវេទិកាដែលគួរឱ្យទុកចិត្ត និងចុះហត្ថលេខាឌីជីថល។

ដោយសារតែកម្មវិធីនេះមានពិតប្រាកដ និងជារឿងធម្មតានៅក្នុងបរិយាកាសសហគ្រាស ឧបករណ៍សុវត្ថិភាពភាគច្រើនមិនដាក់ទង់វាទេ។

ឯកសារដែលបានទាញយកត្រូវបានដាក់ឈ្មោះថា NinjaOne-Agent-DocumentoFiscal21782856920262001238-Sede-Auto-x86-64 ដោយរក្សាការបំភាន់ឯកសារហិរញ្ញវត្ថុឱ្យនៅរស់រវើករហូតដល់ការដំឡើង។

ជនរងគ្រោះតែងតែត្រូវបានទាក់ទងតាមទូរស័ព្ទ ហើយត្រូវបានប្រាប់ឱ្យដំឡើងអ្វីដែលហាក់ដូចជាកម្មវិធីដែលត្រូវការដើម្បីចូលប្រើឯកសាររបស់ពួកគេ។ វិធីសាស្ត្រដែលណែនាំដោយប្រតិបត្តិករនេះលុបបំបាត់តម្រូវការសម្រាប់ការកេងប្រវ័ញ្ចទាំងស្រុង ហើយដាក់វិស្វកម្មសង្គមជាចំណុចកណ្តាលនៃការវាយប្រហារ។

ហេដ្ឋារចនាសម្ព័ន្ធប្រឆាំងការវិភាគដែលរារាំងអ្នកការពារមិនឱ្យចូល

ហេដ្ឋារចនាសម្ព័ន្ធបន្លំមានភាពស្មុគស្មាញជាងអ្វីដែលវាលេចឡើងដំបូង។ ទំព័រទាំងនេះប្រើការស្កេនស្នាមម្រាមដៃរបស់កម្មវិធីរុករក ការរកឃើញប្រអប់ខ្សាច់ និងការដាក់ភូមិសាស្ត្រដើម្បីត្រួតពិនិត្យអ្នកស្រាវជ្រាវមុនពេលចែកចាយបន្ទុក។

ក្នុងអំឡុងពេលសាកល្បង កម្មវិធីដំឡើងត្រូវបានផ្តល់ជូនតែអ្នកទស្សនាមកពីអាសយដ្ឋាន IP ប្រេស៊ីលប៉ុណ្ណោះ ដែលកំណត់យ៉ាងខ្លាំងនូវភាពមើលឃើញសម្រាប់អ្នកដែលកំពុងស៊ើបអង្កេតពីខាងក្រៅតំបន់។