FBI และ CISA ออกรายงานร่วม Joint Security Advisory โดยมีเนื้อหาแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์ Energetic Bear ซึ่งเชื่อว่ารัฐบาลรัสเซียหนุนหลัง รายงานดังกล่าวระบุกลุ่ม Energetic Bear ประสบความสำเร็จในการโจมตีระบบของรัฐบาลไปแล้วอย่างน้อย 2 ระบบและมีการนำข้อมูลของผู้ใช้จากระบบดังกล่าวออกไปด้วย
ข้อมูลเบื้องต้นจากรายงานระบุว่า กลุ่ม Energetic Bear มีการโจมตีระบบผ่านทางช่องโหว่ใน Citrix access gateway (CVE-2019-19781), Microsoft Exchange (CVE-2020-0688), Exim (CVE-2019-10149), และ Fortinet SSL VPN (CVE-2018-13379) และยังมีการตรวจพบการใช้ช่องโหว่ Zerologon (CVE-2020-1472) ในการเข้ายึดครองและขโมยข้อมูลจากระบบ Active Directory อีกด้วย
รายงานร่วมมีการระบุถึง IOC และพฤติกรรมของผู้โจมตีเอาไว้แล้ว ผู้ที่ดูแลระบบสามารถเข้าถึงข้อมูลดังกล่าวได้จาก https://us-cert.cisa.gov/ncas/alerts/aa20-296a เพื่อนำไปใช้เสริมความปลอดภัยของระบบได้ทันที
ที่มา: zdnet.com