กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ
เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น
ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)
Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ
สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.talosintelligence.com
ที่มา: www.theregister.co.uk
You must be logged in to post a comment.