Microsoft ออกมาอธิบายกรณี Exchange Online account ถูกโจมตี
Microsoft ออกมายืนยันว่ากลุ่ม Hacker ซึ่งเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย ได้โจมตีเข้าสู่บัญชีอีเมลของผู้บริหารในเดือนพฤศจิกายน 2023 รวมถึงการโจมตีองค์กรอื่น ๆ ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ Exchange Online
Midnight Blizzard (Nobelium หรือ APT29) เป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล ซึ่งเชื่อมโยงกับหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) โดยมีเป้าหมายหลักคือองค์กรภาครัฐ องค์กรพัฒนาเอกชน นักพัฒนาซอฟต์แวร์ และผู้ให้บริการด้านไอทีในสหรัฐอเมริกา และยุโรป
โดยในวันที่ 12 มกราคม 2024 Microsoft พบว่ากลุ่ม APT29 ได้เจาะระบบของ Microsoft ในเดือนพฤศจิกายน 2023 และขโมยข้อมูลอีเมลจากกลุ่มผู้บริหาร ทีมความปลอดภัยทางไซเบอร์ และทีมกฎหมาย ซึ่งอีเมลเหล่านี้บางฉบับมีข้อมูลเกี่ยวกับกลุ่ม Hacker ต่าง ๆ ทำให้ Hacker ได้ข้อมูลในสิ่งที่ Microsoft รู้เกี่ยวกับกลุ่ม Hacker ต่าง ๆ
Microsoft ระบว่า กลุ่ม Nobelium หรือ APT29 เริ่มการโจมตีโดยสร้าง residential proxy และโจมตีแบบ brute-force attack ไปยังเป้าหมายในรูปแบบ "password spraying" เพื่อกำหนดเป้าหมายไปยังบัญชีจำนวนหนึ่ง โดยหนึ่งในบัญชีเหล่านั้นเป็น "บัญชีทดสอบแบบที่ไม่ใช่การใช้งานจริง หรือ non-production test tenant account" เป้าหมายของการโจมตีดังกล่าวคือการหลบเลี่ยงการตรวจจับ และหลีกเลี่ยงการบล็อกบัญชีที่มีการพยายามล็อคอินผิดจำนวนมาก
ทั้งนี้ Microsoft ไม่สามารถยืนยันได้ว่าบัญชีทดสอบมีการเปิด MFA ไว้หรือไม่ และสามารถเข้าถึงระบบหลังจากนั้นได้อย่างไร แต่ระบุว่าบัญชีทดสอบดังกล่าว สามารถเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงสภาพแวดล้อมองค์กรในระดับที่สูงขึ้น การเข้าถึงระดับสูงนี้ทำให้ Hacker สามารถสร้างแอปพลิเคชัน OAuth เพิ่มเติมเพื่อเข้าถึง mailboxes ขององค์กรอื่น ๆ ได้
โดย Microsoft ตรวจพบหลักฐานการโจมตีได้จาก log ของ Exchange Web Services (EWS) รวมกับกลยุทธ์ และขั้นตอนที่ทำให้สามารถทราบถึงกลุ่ม Hacker ที่ใช้วิธีการโจมตีคล้ายกัน นั้นคือกลุ่ม APT29 ซึ่งกำหนดเป้าหมายไปที่องค์กรอื่น ซึ่งได้ข้อมูลมาจาก Microsoft Threat Intelligence
นอกจากนี้ทาง Hewlett Packard Enterprise (HPE) ยังได้รายงานการค้นพบกลุ่ม APT29 สามารถเข้าถึงระบบอีเมล Microsoft Office 365 และได้ทำการขโมยข้อมูลออกไปตั้งแต่เดือนพฤษภาคม 2023 แต่ทาง HPE ไม่ได้เปิดเผยว่าใครเป็นผู้พบการโจมตีดังกล่าว ทำให้ทาง BleepingComputer คาดการว่า HPE อาจเป็นอีกหนึ่งองค์กรที่ได้รับผลกระทบจากแคมเปญการโจมตีดังกล่าวเช่นกัน
รวมถึงในเดือนกันยายน 2023 มีการเปิดเผยว่ากลุ่ม Storm-0558 ของจีน ได้ขโมยอีเมล 60,000 ฉบับ จากบัญชีกระทรวงการต่างประเทศสหรัฐฯ หลังจากโจมตี Exchange email server บน cloud ของ Microsoft
คำแนะนำการป้องกัน
Microsoft ได้ให้คำแนะนำวิธีการตรวจจับ และป้องกันการโจมตีที่มาจากกลุ่ม APT29 โดยมุ่งเน้นไปที่การใช้การแจ้งเตือนจาก XDR และ SIEM ในการตรวจจับการโจมตี
- ตรวจจับกิจกรรมที่เพิ่มขึ้นในแอปคลาวด์ที่เข้าถึงใน cloud app ที่อาจเป็นการขโมยข้อมูลออกไป
- พบการ Spike ใน API call หลังการอัปเดตข้อมูลรับรองในแอปที่ไม่ใช่ Microsoft OAuth ซึ่งบ่งบอกถึงการพยายามเข้าถึงโดยไม่ได้รับอนุญาต
- พบการเพิ่มการใช้งาน Exchange Web Services API ในแอปที่ไม่ใช่ Microsoft OAuth ซึ่งอาจบ่งบอกถึงการขโมยข้อมูล
- พบ OAuth app ที่ไม่ใช่ของ Microsoft ซึ่งมีข้อมูลที่มีความเสี่ยง ซึ่งอาจเกี่ยวข้องกับการละเมิดข้อมูล
- พบ OAuth app ที่สร้างโดยผู้ใช้จากเซสชันที่มีความเสี่ยงสูง ซึ่งอาจเกี่ยวข้องกับการโจมตีจากบัญชีที่ถูกขโมย
ที่มา : BLEEPINGCOMPUTER
You must be logged in to post a comment.