Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Silk Typhoon ได้เปลี่ยนกลยุทธ์การโจมตี โดยมุ่งเป้าไปที่เครื่องมือ remote management และ cloud services ผ่านการโจมตีแบบ Supply chain ซึ่งช่วยให้พวกเขาเข้าถึงระบบของลูกค้าได้
Microsoft ยืนยันว่ามีการละเมิดความปลอดภัยในหลายอุตสาหกรรม รวมถึงภาครัฐ, บริการด้านไอที, การดูแลสุขภาพ, กลาโหม, การศึกษา, องค์กรไม่แสวงหากำไร และพลังงาน
รายงานของ Microsoft ระบุว่า "กลุ่มแฮ็กเกอร์ Silk Typhoon ใช้ประโยชน์จากแอปพลิเคชันที่ยังไม่ได้รับการแก้ไขช่องโหว่ ซึ่งช่วยให้สามารถยกระดับการเข้าถึงภายในองค์กรเป้าหมาย และดำเนินการที่เป็นอันตรายเพิ่มเติมได้"
"หลังจากสามารถเจาะระบบเหยื่อได้สำเร็จ Silk Typhoon จะใช้ keys และข้อมูล credentials ที่ขโมยมาเพื่อเข้าถึงเครือข่ายของลูกค้า ซึ่งพวกเขาสามารถใช้ประโยชน์จากแอปพลิเคชันที่มีอยู่ได้หลากหลาย รวมถึงบริการของ Microsoft และแพลตฟอร์มอื่น ๆ เพื่อบรรลุเป้าหมายการโจมตี"
Silk Typhoon โจมตี IT Supply chain
Silk Typhoon เป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งเป็นที่รู้จักจากการแฮ็กสำนักงานควบคุมสินทรัพย์ต่างประเทศของสหรัฐฯ (OFAC) ในช่วงต้นเดือนธันวาคม 2024 และขโมยข้อมูลจากคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐฯ (CFIUS)
Microsoft รายงานว่า Silk Typhoon ได้เปลี่ยนกลยุทธ์ในช่วงเวลาดังกล่าว โดยใช้ API keys ที่ถูกขโมยมา และข้อมูล credentials ที่ถูกละเมิดเพื่อโจมตี IT providers, identity management, privileged access management และ RMM solutions ซึ่งถูกนำไปใช้ในการเข้าถึงเครือข่าย และข้อมูลของลูกค้าในขั้นตอนถัดไป
Microsoft กล่าวว่าผู้โจมตีสแกนที่เก็บข้อมูลบน GitHub และแหล่งข้อมูลสาธารณะอื่น ๆ เพื่อตรวจหาคีย์ยืนยันตัวตนหรือข้อมูลรับรองที่รั่วไหล และใช้ข้อมูลเหล่านั้นเพื่อเจาะเข้าสู่ระบบ กลุ่มแฮกเกอร์นี้ยังเป็นที่รู้จักจากการใช้การโจมตีแบบ password spraying เพื่อเข้าถึงข้อมูลรับรองที่ถูกต้อง
ก่อนหน้านี้ กลุ่มแฮ็กเกอร์มักใช้ช่องโหว่ zero-day และ n-day ในอุปกรณ์ที่เปิดให้เข้าถึงจากภายนอกเพื่อเจาะระบบในเบื้องต้น, ฝัง web shells และโจมตีต่อไปยังภายในเครือข่ายผ่าน VPN และ RDP ที่ถูกโจมตี
การเปลี่ยนจากการเจาะระบบในระดับองค์กรไปสู่การโจมตีระดับ MSP ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบคลาวด์, ขโมย Active Directory sync credentials (AADConnect) และใช้ประโยชน์จากแอปพลิเคชัน OAuth เพื่อปฏิบัติการโจมตีอย่างแนบเนียนมากขึ้น
ทำให้ Silk Typhoon ไม่จำเป็นต้องพึ่งพามัลแวร์ และ web shells อีกต่อไป แต่ใช้ช่องโหว่ในแอปพลิเคชันบนคลาวด์เพื่อขโมยข้อมูล จากนั้น clear logs เพื่อปกปิดร่องรอยการโจมตีให้เหลือน้อยที่สุด
จากการสังเกตของ Microsoft กลุ่ม Silk Typhoon ยังคงใช้ประโยชน์จากช่องโหว่ต่าง ๆ ควบคู่ไปกับวิธีการใหม่ โดยบางครั้งก็ยังพบการใช้ช่องโหว่แบบ zero-day ในการเข้าถึงระบบเป้าหมาย
ล่าสุด กลุ่มดังกล่าวถูกสังเกตเห็นว่าใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ VPN ของ Ivanti Pulse Connect ที่สำคัญ (CVE-2025-0282) เพื่อเจาะเครือข่ายองค์กร
ก่อนหน้านี้ในปี 2024 Silk Typhoon ได้ใช้ประโยชน์จากช่องโหว่ CVE-2024-3400 ซึ่งเป็นช่องโหว่ command injection ใน Palo Alto Networks GlobalProtect และ CVE-2023-3519 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Citrix NetScaler ADC และ NetScaler Gateway
Microsoft ระบุว่า Silk Typhoon ได้สร้าง "CovertNetwork" ซึ่งประกอบไปด้วยอุปกรณ์ Cyberoam ที่ถูกโจมตี, Zyxel routers และอุปกรณ์ QNAP ซึ่งถูกใช้เป็นฐานในการโจมตี และปกปิดการดำเนินการที่เป็นอันตราย
ที่มา : bleepingcomputer
You must be logged in to post a comment.