Obsidian บริษัทด้านความปลอดภัยทางไซเบอร์พบการโจมตีของแรนซัมแวร์ที่โจมตี Sharepoint Online (Microsoft 365) สำเร็จ ผ่านบัญชีผู้ดูแลระบบ Microsoft Global SaaS แทนที่จะโจมตีผ่านการเข้าควบคุมเครื่องผู้ใช้งานก่อน
มีการวิเคราะห์การโจมตีหลังการถูกเข้าควบคุมระบบ ทีมวิจัย Obsidian ไม่ได้เปิดเผยชื่อของเหยื่อ แต่เชื่อว่าผู้โจมตีคือกลุ่มที่รู้จักกันในชื่อ 0mega
เมื่อผู้โจมตีเข้าระบบได้แล้วจะทำการสร้างผู้ใช้ Active Directory (AD) ใหม่ที่ชื่อว่า Omega พร้อมสิทธิ์ขั้นสูง รวมถึง Global Administrator, SharePoint Administrator, Exchange Administrator และ Teams Administrator และยังมีความสามารถเป็น Site collection administrator ไปยังไซต์ และคอลเลกชันของ Sharepoint หลายรายการ และลบผู้ดูแลระบบที่มีอยู่ (มากกว่า 200 คน) ภายใน 2 ชั่วโมง โดยการโจมตีเกี่ยวข้องกับการขโมยไฟล์ มากกว่าการการเข้ารหัส หลังจากสามารถขโมยไฟล์ออกไปหลายร้อยไฟล์แล้ว ผู้โจมตีก็จะทำการอัปโหลดไฟล์ PREVENT-LEAKAGE.txt เพื่อเตือนเหยื่อถึงการโจมตี และแนะนำช่องทางติดต่อสื่อสารกับผู้โจมตี ในการเจรจาการชำระเงินเพื่อหลีกเลี่ยงการเผยแพร่ข้อมูลทางออนไลน์
Obsidian สงสัยว่านี่อาจเป็นจุดเริ่มต้นของเทรนด์ และคาดว่าแนวโน้มการโจมตีในรูปแบบนี้จะเติบโตขึ้น นักวิจัยให้ข้อมูลกับ SecurityWeek ว่าผู้โจมตีได้ทุ่มเทเวลาเพื่อสร้างระบบอัตโนมัติสำหรับการโจมตีรูปแบบนี้ ซึ่งเป็นไปได้ว่าผู้โจมตีต้องการใช้ฟีเจอร์นี้ในอนาคต นอกจากนี้นักวิจัยยังคาดว่าการโจมตีจะมีปริมาณเพิ่มมากขึ้น เนื่องจากมีเพียงบริษัทไม่กี่แห่งที่มีโปรแกรมรักษาความปลอดภัยสำหรับ SaaS ในขณะที่บริษัทส่วนใหญ่จะลงทุนเพื่อรักษาความปลอดภัยบนอุปกรณ์ของผู้ใช้งานมากกว่า
Obsidian เชื่อว่ากลุ่ม Omega (ซึ่งสามารถระบุได้ผ่านชื่อบัญชีที่สร้างขึ้น ข้อมูลอื่น ๆ ที่สังเกตได้ และโครงสร้างพื้นฐานที่ใช้) อยู่เบื้องหลังการโจมตี โดย Omega ถูกพบครั้งแรกในเดือนกรกฎาคม 2565 ซึ่งมีรายงานระบุว่า Omega มีการโจมตีสองแบบ (แรนซัมแวร์ และการโจรกรรมข้อมูล) และมีเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลกว่า 152 GB ที่ขโมยมาจากบริษัทซ่อมอุปกรณ์อิเล็กทรอนิกส์ในเดือนพฤษภาคม 2565
สิ่งสำคัญเพื่อป้องกันการโจมตีนี้คือการใช้ MFA สําหรับทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์สูง ซึ่งผู้โจมตีอาจจะได้ข้อมูลผู้ใช้งานมาจากหลายแหล่ง เช่น จากแคมเปญฟิชชิ่งของพวกเขาเอง, จากการคาดเดา และจาก dark web credential databases การใช้งาน MFA จะทําให้การใช้ข้อมูลประจำตัวผู้ใช้งานที่ถูกขโมยมาทำได้ยากขึ้น
Obsidian ระบุว่า ถึงแม้ Administrative account จะเปิดใช้งาน MFA แต่ผู้โจมตีก็อาจใช้วิธีการโจมตีแบบ MFA push fatigue เพื่อ bypass MFA ได้ แต่บริษัทต่าง ๆ สามารถเสริมความแข็งแกร่งให้กับระบบจากการโจมตีเหล่านี้ได้ ตัวอย่างเช่น การใช้เทคโนโลยี phishless เช่น WebAuthn
นักวิจัยแนะนำให้ทำให้การควบคุมการใช้งาน SaaS อย่างเข้มงวด รวมถึงการตรวจสอบสิทธิ์พิเศษที่มากเกินไป และยกเลิกรายการที่ไม่ได้รับอนุญาต หรือมีความเสี่ยงสูง ร่วมกับการรวบรวม และการวิเคราะห์บันทึกการตรวจสอบ/กิจกรรมของ SaaS ที่เกี่ยวข้อง เพื่อตรวจจับรูปแบบที่สอดคล้องกับการโจมตี, ภัยคุกคามจากภายใน หรือการโจมตีจาก third-party ที่ถูกโจมตี
ที่มา : securityweek
You must be logged in to post a comment.