การวิเคราะห์ข้อมูลที่เกี่ยวข้องกับการโจมตีช่องโหว่ Zero-Day แสดงให้เห็นว่าผู้ไม่หวังดีกำลังพยายามสแกนหาช่องโหว่ในเทคโนโลยี edge-infrastructure รวมถึง VPN, Firewall และ IT management Product
นักวิจัยจาก Mandiant บริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาได้ติดตามช่องโหว่ Zero-Day ทั้งหมด 55 รายการ ที่ผู้ไม่หวังดีกำลังใช้ในแคมเปญต่าง ๆ ในปีที่ผ่านมา และพบว่ามี 10 รายการเกี่ยวข้องกับอุปกรณ์ Edge ที่เชื่อมต่อกับอินเทอเน็ต เช่น
CVE-2022-1040, CVE-2022-3236 ใน Sophos firewall
CVE-2022-20821 ใน Cisco IOS
CVE-2022-42474, CVE-2022-41226 ใน FortiOS ของ Fortinet
CVE-2022-288810 ใน Zoho ManageEngine
CVE-2022-35247 ใน SolarWins Serv-u
การค้นหาช่องโหว่ของ edge-infrastructure
Casey Charrier นักวิเคราะห์อาวุโสระดับสูงจาก Mandiant ที่ Google Cloud ระบุว่า "ผู้ไม่หวังดีกำลังมุ่งเป้าหมายการโจมตีไปที่เทคโนโลยี Edge เนื่องจากพวกเขามองว่าองค์กรต่าง ๆ มีความสามารถของอุปกรณ์ Endpoint Detection and Response (EDR) น้อยกว่าที่พวกเขามีในการตรวจสอบเครือข่าย"
Charrier ระบุว่า "องค์ประกอบหนึ่งที่ตกเป็นจุดมุ่งหมายของกลุ่มผู้ไม่หวังดีจากจีนในขณะนี้คือ เมื่อองค์กรมีการนำเอาอุปกรณ์ IoT มาใช้งาน จำเป็นต้องมีการประเมินถึงเครื่องมือรักษาความปลอดภัย และความปลอดภัยของอุปกรณ์เหล่านั้น"
ในปี 2022 Mandiant พบว่ามีการใช้ช่องโหว่ Zero-Day 55 รายการ ซึ่งน้อยกว่าในปี 2021 ที่สูงถึง 81 รายการ และมากกว่าสามเท่าเมื่อเทียบกับปี 2022 ที่มี 20 รายการ
ผู้ไม่หวังดีจากจีนยังคงเป็นกลุ่มที่ใช้ประโยชน์จากช่องโหว่ Zero-Day อย่างต่อเนื่อง
เป็นที่ทราบกันอย่างแพร่หลายว่ากลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุกจากรัฐบาลจีนใช้ประโยชน์จากช่องโหว่ Zero-Day มากที่สุดในปี 2022 ซึ่งมากกว่ากลุ่มอื่น ๆ โดย Maddiant พบว่า จาก Zero-Day 13 รายการ สามารถระบุได้ว่ากว่า 7 รายการ เป็นกลุ่ม Advanced persistent threat (APT) จากประเทศจีน ตัวอย่างของช่องโหว่ CVE-2022-30190 ที่เป็นช่องโหว่ Microsoft Windows Support Diagnostic Tool ที่ทำให้สามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ผ่านเอกสาร Office ที่เป็นอันตราย แม้ว่าจะปิดการใช้งานมาโครไว้แล้ว กลุ่มผู้ไม่หวังดีจากจีนยังใช้ช่องโหว่ Follina โจมตีในหลาย Campaigns ตลอดปี 2022 ซึ่งทำให้เป็นช่องโหว่ที่ถูกใช้มากที่สุดในปี 2022
หลายช่องโหว่ที่ผู้ไม่หวังดีจากจีนใช้ในการโจมตีในปีที่ผ่านมา มุ่งเป้าหมายไปที่อุปกรณ์เครือข่าย เช่น
CVE-2022-42475 เป็นช่องโหว่ buffer-overflow ในเทคโนโลยี FortiOS SSL VPN ที่ผู้ไม่หวังดีจากจีนใช้เพื่อส่งเครื่องมือที่สร้างขึนเองสำหรับการโจมตี Firewall ของ Fortinet
CVE-2022-41328 เป็นช่องโหว่ Path Traversal ใน FortiOS โดย Mandaint พบว่ากลุ่มผู้ไม่หวังดีจากจีนภายใต้ชื่อ UN3886 ใช้ช่องโหว่นี้โจมตีในแคมเปญ cyber-espionage และเกี่ยวข้องกับการโจมตีในแคมเปญ VMware ESXi hypervisors โดยใช้เทคนิคใหม่ที่มี vSphere Installation Bundles
Mandiant ยังพบการใช้ประโยชน์จากช่องโหว่ Zero-Day ที่เกี่ยวข้องกับผู้ไม่หวังดีจากเกาหลีเหนือเพิ่มขึ้นเล็กน้อยในปี 2022 เมื่อเทียบกับปีก่อนหน้า โดยช่องโหว่ Zero-Day 2 รายการที่ Mandiant ได้ระบุไว้คือ
CVE-2022-0609 เป็นช่องโหว่บน Google Chrome โดยกลุ่มผู้โจมตีเกาหลีเหนือมุ่งเป้าหมายไปที่องค์กรทางด้านเทคโนโลยีขั้นสูง, สื่อ และองค์กรทางด้านการเงิน
CVE-2022-41128 เป็นช่องโหว่ RCE ใน Windows Server ที่กลุ่ม APT37 จากเกาหลีเหนือใช้ประโยชน์ในแคมเปญ phishing
ผู้โจมตีทางไซเบอร์ที่มีแรงจูงใจทางด้านการเงิน
กลุ่มผู้โจมตีที่แรงจูงใจทางด้านการเงิน เป็นอีกกลุ่มที่ใช้ประโยชน์จากช่องโหว่ Zero-Day อย่างต่อเนื่องในช่วงปีที่ผ่านมา โดยจำนวนการโจมตีโดยใช้ช่องโหว่ในปี 2021 ทั้งหมด 16 รายการ ที่ Mandiant สามารถระบุวัตถุประสงค์ได้ และมี 4 รายการถูกใช้ในการโจมตีด้านการเงิน โดยการใช้ Ransomware เป็นหลัก เช่น CVE-2022-29499 ที่เป็นช่องโหว่ RCE ในอุปกรณ์ Mitel VoIP เพื่อติดตั้ง Lorenz ransomware และ CVE-2022-41091 ช่องโหว่ Mark of the Web ของ Windows ที่ใช้ Magniber ransomware
ตั้งแต่ปี 2019 มีการใช้ช่องโหว่ Zero-Day โจมตีด้วย Ramsomware เพิ่มมากขึ้น โดยสาเหตุเกิดได้จากหลายปัจจัย แต่เหตุผลหลักคือแรงจูงใจทางด้านการเงิน และอีกเหตุผลคือการโจมตีด้วย Ransomware ทำให้มีความยุ่งยากในการติดตามเส้นทางการเงินเมื่อเหยื่อยินยอมที่จะจ่ายเงิน
ในปีที่ผ่านมาบริษัท Microsoft, Google และ Apple อยู่ในอันดับต้น ๆ ที่ถูกโจมตีด้วยช่องโหว่ Zero-Day คิดเป็น 37 รายการจากทั้งหมด 55 รายการ โดย Mandiant พบช่องโหว่ Zero-Day 15 รายการ ในระบบปฎิบัติการ Window และพบ 9 รายการ จาก 11 รายการบนเว็บเบราว์เซอร์ Google Chrome
ในเวลาเดียวกัน จำนวนช่องโหว่ Zero-Day ที่กลุ่มผู้ไม่หวังดีค้นพบ และใช้ประโยชน์มีจำนวนเพิ่มขึ้น ก็ทำให้จำนวนของเหยื่อเพิ่มขึ้นเช่นกัน โดย Charrier ระบุว่า "แม้ว่าบริษัทที่ตกเป็นเป้าหมาย 3 อันดับแรกยังคงเป็นเป้าหมายหลัก แต่ก็มีการขยายเป้าหมายไปที่บริษัทอื่น ๆ และเปลี่ยนแปลงไปเรื่อย ๆ ในแต่ละปี"
ที่มา : https://www.darkreading.com/attacks-breaches/attackers-probing-zero-day-vulns-edge-infrastructure