กลุ่มผู้โจมตีที่มีเป้าหมายทางการเงินเปิดเผยว่าได้ขายช่องทางการเข้าถึงระบบขององค์กรที่ถูกโจมตี ให้กับกลุ่มผู้โจมตีรายอื่นเพื่อดำเนินการต่อ เช่น การติดตั้งแรนซัมแวร์
หน่วยงาน SecureWorks Counter Threat Unit (CTU) ตั้งชื่อกลุ่มอาชญากรไซเบอร์นี้ว่า Gold Melody ซึ่งยังเป็นที่รู้จักในชื่อ Prophet Spider (ถูกเรียกโดย CrowdStrike) และ UNC961 (ถูกเรียกโดย Mandiant)
บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า "กลุ่มที่มีเป้าหมายทางการเงินกลุ่มนี้ ได้ดำเนินการมาอย่างน้อยตั้งเเต่ปี 2017 ได้ทำการโจมตีองค์กรโดยใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตที่ยังไม่ได้รับการอัปเดตแพตช์"
ลักษณะของเหยื่อชี้ให้เห็นว่าเป็นการโจมตีแบบ opportunistic เพื่อเป้าหมายทางการเงิน มากกว่าจะเป็นแคมเปญที่กำหนดเป้าหมายที่ดำเนินการโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เพื่อการสอดแนม การทำลาย หรือการก่อความวุ่นวาย
Gold Melody เคยถูกเชื่อมโยงกับการโจมตีที่ใช้ช่องโหว่ด้านความปลอดภัยใน JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 และ CVE-2020-14882), GitLab (CVE-2021-22205), Citrix ShareFile Storage Zones Controller (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464), และ Apache Log4j (CVE-2021-44228) servers.
กลุ่ม Gold Melody ถูกสังเกตว่ากำลังขยายเป้าหมายการโจมตีไปยังภาคการค้า, สุขภาพ, พลังงาน, การทำธุรกรรมทางการเงิน และเทคโนโลยีขั้นสูงในอเมริกาเหนือ ยุโรปเหนือ และเอเชียตะวันตก ตั้งแต่กลางปี 2020
Mandiant เปิดเผยในรายงานการวิเคราะห์ที่เผยแพร่ในเดือนมีนาคม 2023 ระบุว่า ในหลายกรณีการโจมตีของ UNC961 ได้เกิดขึ้นก่อนการติดตั้ง Maze และ Egregor ransomware จากกลุ่มผู้โจมตีที่แตกต่างกัน
นอกจากนี้ ยังได้อธิบายเพิ่มเติมว่ากลุ่มนี้ "มีความสามารถในการโจมตีเพื่อทำให้สามารถเข้าถึงระบบได้ในเบื้องต้น" และตั้งข้อสังเกตว่า "กลุ่มผู้โจมตีใช้แนวทางการโจมตีเพื่อเข้าถึงระบบดังกล่าวโดยใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผย และใช้ exploit code ที่ถูกเผยแพร่ออกสู่สาธารณะ
นอกจากการใช้ช่องโหว่ที่หลากหลาย ซึ่งประกอบด้วยเว็บเชลล์, ซอฟต์แวร์บนระบบปฏิบัติการที่มีมาให้ และยูทิลิตี้สาธารณะ ยังมีการใช้ remote access trojans (RATs) และเครื่องมือ tunneling เช่น GOTROJ (MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY และ HOLERUN เพื่อทำการรันคำสั่ง รวบรวมข้อมูลระบบ และสร้าง reverse tunnel ด้วย hard-coded IP address
Secureworks ได้เชื่อมโยงกลุ่ม Gold Melody ในการโจมตี 5 ครั้งระหว่างเดือนกรกฎาคม 2020 ถึงเดือนกรกฎาคม 2022 โดยระบุว่าการโจมตีเหล่านี้ใช้ประโยชน์จากช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ที่ส่งผลกระทบต่อ Oracle E-Business Suite (CVE-2016-0545), Apache Struts (CVE- 2017-5638), Sitecore XP (CVE-2021-42237) และ Flexera FlexNet (CVE-2021-4104) ในการเข้าถึงระบบเบื้องต้น
หลังจากที่ได้แฝงตัวในระบบได้สำเร็จแล้ว ผู้โจมตีจะทำการติดตั้งเว็บเชลล์เพื่อให้ยากต่อการถูกตรวจพบ จากนั้นจึงสร้างไดเร็กทอรีในโฮสต์ที่ถูกโจมตีเพื่อจัดเก็บเครื่องมือที่ใช้ในการโจมตี
Mandiant ระบุอีกว่า "Gold Melody จะทำการสแกนอย่างละเอียดเพื่อทำความเข้าใจระบบของเหยื่อ" การสแกนจะเริ่มหลังจากได้รับสิทธิ์เข้าถึงไม่นาน แต่จะทำซ้ำ และดำเนินต่อไปตลอดระยะเวลาของการโจมตี
ขั้นตอนการสำรวจดำเนินการสำหรับการรวบรวมข้อมูลประจำตัว, โจมตีต่อไปยังระบบอื่น และการขโมยข้อมูล อย่างไรก็ตามการโจมตีทั้งหมดทั้ง 5 ครั้งนั้นไม่ประสบความสำเร็จ
Gold Melody ถือว่าเป็นผู้โจมตีที่มีเป้าหมายทางการเงิน โดยขายการเข้าถึงระบบให้กับผู้โจมตีรายอื่น ซึ่งผู้ซื้อจะทำการสร้างรายได้จากการเข้าถึงในภายหลัง ซึ่งอาจเกิดจากการเรียกค่าไถ่ผ่านการติดตั้ง Ransomware
การใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตที่ไม่ได้รับการแก้ไขเพื่อการเข้าถึง เน้นให้เห็นถึงความสำคัญของการอัปเดตแพตช์มากยิ่งขึ้น
ที่มา: https://thehackernews.com/2023/09/cyber-group-gold-melody-selling.html
You must be logged in to post a comment.