ไมโครซอฟต์เข้าขัดขวางปฏิบัติการของแฮกเกอร์จีน Gadolinium ในการใช้ Azure เป็นฐานในการโจมตี

An image of the Microsoft Cyber Defense Operations Center.

ไมโครซอฟต์รายงานผลการวิเคราะห์และขัดขวางปฏิบัติการของแฮกเกอร์จีนกลุ่ม Gadolinium หลังจากมีการตรวจพบ TTP ใหม่ซึ่งผู้โจมตีมีการย้ายมาใช้ประโยชน์ free-trial sรือ one-time payment (PayGo) ของบริการ Azure และการพัฒนาแอปใน Azure Active Directory มาใช้ในการโจมตี

Gadolinium เป็นกลุ่มแฮกเกอร์จากจีนซึ่งถูกตรวจพบพฤติกรรมครั้งแรกในปี 2016 โดยมีการเปลี่ยนพฤติกรรมการโจมตี เครื่องมือที่ใช้และเป้าหมายอยู่เรื่อยมา ในปี 2020 นั้น กลุ่ม Gadolinium มีวิธีการเข้าถึงและโจมตีอยู่โดยอาศัยการส่ง spear phishing ในอ้างอิงข้อมูลของ COVID-19 ซึ่งมีการสอดแทรกโค้ดอันตรายอยู่ข้างใน โดยหากมีการเปิดไฟล์แล้ว จะมีการดาวโหลด Payload ส่วนที่สองในลักษณะของไฟล์ PNG ที่มีโค้ด PowerShell จากบริการ Microsoft Graph API โดยโค้ด PowerShell ดังกล่าวถูกสร้างมาจากโครงการ PowerShell Empire

เป้าหมายส่วนหนึ่งของกลุ่ม Gadolinium ในปี 2020 นั้นคือการเข้าถึงใน Microsoft OneDrive Storage ซึ่งแฮกเกอร์มีการสร้าง Azure Active Directory เอาไว้ในการเข้าถึงและขโมยข้อมูลออกมา โดยในกรณีนี้ ไมโครซอฟต์มีการตรวจพบแอปกว่า 18 รายการที่เกี่ยวข้องกับการโจมตีและได้นำออกจากระบบเป็นที่เรียบร้อยแล้ว

เซอร์วิส Cloud กำลังจะกลายเป็นปัญหาในการตรวจจับและเฝ้าระวังภัยคุกคามใหม่ในเร็ววันนี้หากองค์กรไม่มีการขยับตัวตาม เราขอแนะนำให้ศึกษารายละเอียดพฤติกรรมการโจมตีเพื่อการสร้างความปลอดภัยที่เหมาะสมจากข้อมูลในแหล่งที่มา

ที่มา: microsoft.com