นักวิจัยด้านความปลอดภัยจาก Symantec ได้เปิดเผยถึงการค้นพบแคมเปญการโจมตีเป้าหมายทางด้านธุรกิจที่เกี่ยวข้องกับอุตสาหกรรมยานยนต์, เภสัชกรรม, วิศวกรรมและผู้ให้บริการแบบ Managed Service Provider (MSP) โดยใช้ช่องโหว่ CVE-2020-1472 (ZeroLogon) จากกลุ่มเเฮกเกอร์ที่มีชื่อว่า “Cicada” หรือที่รู้จักกันในชื่อ APT10, Stone Panda และ Cloud Hopper
กลุ่ม Cicada เป็นกลุ่มภัยคุกคามที่ถูกเปิดเผยครั้งแรกในปี 2009 และเป็นกลุ่มที่รัฐบาลสหรัฐฯ เชื่อว่าอาจได้รับการสนับสนุนจากรัฐบาลจีน โดยในกิจกรรมแคมเปญการโจมตีกลุ่มธุรกิจในครั้งนี้ กลุ่ม Cicada ได้ทำการเพิ่มการใช้ประโยชน์จากช่องโหว่ CVE-2020-1472 (ZeroLogon) เข้าไปในเครื่องมือของกลุ่มแฮกเกอร์ ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) และเป็นช่องโหว่ที่สำคัญที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์และสามารถปลอมเป็นเครื่องใดๆ ในโดเมนรวมถึงภายในโดเมนคอนโทรลเลอร์และจะสามารถส่งคำขอเพื่อเปลี่ยนรหัสผ่านเพื่อยึดโดเมนคอนโทรลเลอร์ได้
กลุ่ม Cicada ยังได้ทำการเปิดตัว Backdoor.Hartip ซึ่งมัลแวร์แบบที่ไม่เคยเห็นมาก่อน โดยมัลแวร์จะถูกใช้ในการเชื่อมต่อกับกลุ่ม APT กับเป้าหมายที่ถูกบุกรุก อย่างไรก็ดีมัลแวร์กลุ่มนี้ได้มุ่งเป้าหมายไปที่การโจรกรรมข้อมูลอย่างเช่น ข้อมูลบันทึกขององค์กร, เอกสาร HR, บันทึกการประชุมและข้อมูลค่าใช้จ่ายต่างๆ ขององค์กร ซึ่งข้อมูลจะถูกบรรจุและถูกนำออกไปยังเซิร์ฟเวอร์ Command-and-Control (C&C) ของ Cicada
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ตามคำเเนะนำ KB4557222 ของ Microsoft อย่างเร่งด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: zdnet.com