รายงานข่าวแจ้งเตือนภัยไซเบอร์ครั้งสำคัญ หลังพบรูปแบบการโจมตีแบบหลายขั้นตอน โดยผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ F5 BIG-IP ที่เชื่อมต่อกับอินเทอร์เน็ตเป็นจุดเริ่มต้นสำหรับการโจมตีที่มุ่งเน้นไปที่ระบบยืนยันตัวตน จนกระทั่งสามารถเข้าถึงระบบ Active Directory ได้ในที่สุด
ข้อมูลจากทีมวิจัยความปลอดภัย Microsoft Defender ระบุว่า การโจมตีในครั้งนี้สะท้อนให้เห็นถึงแนวโน้มที่กำลังเติบโตขึ้น ซึ่งอุปกรณ์ประเภท Firewalls, VPN Gateways และ Load Balancer ที่โดยปกติแล้วจะถูกติดตั้งไว้เพื่อเป็นแนวป้องกันความปลอดภัย กำลังถูกนำมาใช้เป็นจุดเริ่มต้นในการเจาะเข้าสู่ระบบแทน"
เนื่องจากอุปกรณ์หน้าด่านเป็นระบบที่ต้องเปิดรับการเชื่อมต่อจากภายนอก มีการเฝ้าระวังที่ค่อนข้างน้อย และได้รับความไว้วางใจในระดับสูงภายในองค์กร ดังนั้น การถูกเจาะระบบเพียงครั้งเดียวก็เพียงพอที่จะทำให้ผู้โจมตีเข้ามาฝังตัวในระบบ และยากต่อการตรวจจับ พร้อมทั้งยังสามารถเข้าถึงข้อมูล Credentials, Certificates และระบบยืนยันตัวตนที่เชื่อมต่ออยู่ทั้งหมดได้ทันที"
การโจมตีผ่านอุปกรณ์ F5 BIG-IP ที่หมดอายุการสนับสนุน
ผู้โจมตีได้สร้างช่องทางการเข้าถึงผ่าน SSH ไปยังเครื่อง Linux เครื่องแรก จากอุปกรณ์เครือข่ายที่ระบุว่าเป็น Load Balancer F5 BIG-IP ซึ่งเมื่อตรวจสอบจากระบบบัญชีรายชื่ออุปกรณ์ พบว่าต้นทางมาจากอุปกรณ์ BIG-IP Virtual Edition ที่โฮสต์อยู่บน Azure โดยรันซอฟต์แวร์เวอร์ชัน 15.1.201000 ซึ่งเป็นเวอร์ชันที่มักถูกติดตั้งใช้งานผ่าน Azure ARM Templates และ Terraform Modules และได้หมดอายุการสนับสนุนไปแล้วตั้งแต่วันที่ 31 ธันวาคม 2024"
ผู้โจมตีได้ยืนยันตัวตนเข้าสู่เซิร์ฟเวอร์ Linux ผ่าน SSH โดยใช้บัญชีผู้ใช้ที่ได้รับสิทธิ์ระดับสูง และสามารถควบคุมระบบด้วยการพิมพ์คำสั่งโดยตรงตลอดการโจมตี โดยไม่มีการทำ persistence อย่างชัดเจน ซึ่งเหตุการณ์นี้ช่วยเน้นย้ำถึงอันตรายที่เกิดจากการกำหนดสิทธิ์ให้บัญชีผู้ใช้มากเกินความจำเป็น พร้อมสิทธิ์การใช้งานคำสั่ง เช่น คำสั่ง sudo
เมื่อเข้าสู่เครื่องเซิร์ฟเวอร์หลักได้แล้ว ผู้โจมตีได้ทำการค้นหาข้อมูลเครือข่าย โดยมีการใช้ shell script เพื่อทำ Horizontal Scan ด้วย Nmap ไปยัง internal subnets เพื่อตรวจหาจำนวนเครื่องที่มีการใช้งานอยู่ จากนั้นจึงทำ vertical scans เพื่อระบุพอร์ต หรือบริการของระบบที่เปิดทิ้งไว้
จากนั้น มีการใช้เครื่องมือ gowitness เพื่อจับภาพหน้าจอ และทำ Fingerprint ของบริการ HTTP/HTTPS ที่เปิดอยู่ โดยผ่านทางระบบ SOCKS5 proxy
ในส่วนที่ตรวจพบเซิร์ฟเวอร์ Windows ผู้โจมตีได้พยายามทำการ Lateral Movement โดยใช้ระบบยืนยันตัวตนแบบ NTLM ผ่านเครื่องมือ open-source ที่เป็นที่รู้จักกันดี เช่น enum4linux, netexec, smbclient, rpcclient, timeroast, ldapsearch, kerbrute และ responder แต่ความพยายามในขั้นแรกยังไม่ประสบความสำเร็จ
การค้นหาข้อมูลเครือข่ายนำไปสู่การตรวจพบเซิร์ฟเวอร์ Atlassian Confluence ภายในองค์กร ที่ยังไม่ได้มีการอัปเดตปิดช่องโหว่ ซึ่งผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่นี้ในการ Remote Code Execution ซึ่งที่น่าสังเกตคือ เซิร์ฟเวอร์ Confluence นี้ไม่ได้เปิดเชื่อมต่อกับอินเทอร์เน็ตภายนอก แต่สามารถเข้าถึงได้เมื่อผู้โจมตีสามารถเข้าถึงระบบภายในได้แล้ว
เนื่องจากระบบป้องกันแบบเรียลไทม์ ได้ทำการบล็อกความพยายามในการส่งไฟล์อันตรายซ้ำ ๆ ผู้โจมตีจึงเปลี่ยนกลยุทธ์ โดยสันนิษฐานว่าอาจเกิดจากการบล็อกในระดับ network ผู้โจมตีจึงสร้างเซิร์ฟเวอร์ FTP แบบไม่ระบุตัวตนขึ้นมาบนเครื่อง Linux ที่ใช้พักข้อมูล โดยใช้ไลบรารี ftplib ของ Python แล้วทำการส่งผ่านเครื่องมือดังกล่าวเข้าสู่โฟลเดอร์ /dev/shm ด้วยคำสั่ง curl
หลังจากเจาะระบบ Confluence ได้สำเร็จ ผู้โจมตีได้ทำการดักเก็บข้อมูล credentials จากไฟล์ Configuration ต่าง ๆ ซึ่งรวมถึงไฟล์ server.xml และ confluence.cfg.xml จากนั้นจึงนำข้อมูล credentials เหล่านั้นกลับมาใช้โจมตีโครงสร้างพื้นฐานระบบ Windows ต่อ
การโจมตีได้ขยายไปสู่การทำ Kerberos Relay Attacks และการใช้ประโยชน์จากช่องโหว่หมายเลข CVE-2025-33073 โดยมีการใช้เครื่องมือ netexec ร่วมกับการบังคับสิทธิ์ด้วยเทคนิค PetitPotam รวมถึงเครื่องมือจัด DNS manipulation เพื่อมุ่งเป้าโจมตีไปที่เครื่อง Domain Controller ในที่สุด
ข้อเสนอแนะเพื่อความปลอดภัย และมาตรการป้องกันจาก Microsoft
Microsoft ระบุว่า เหตุการโจมตีระบบในครั้งนี้แสดงให้เห็นว่า ช่องโหว่ประเภท Remote Code Execution (RCE) เพียงจุดเดียวบน web component ที่อยู่ใกล้เคียงกับแนวป้องกันด้านนอก สามารถส่งผลกระทบต่อเนื่อง นำไปสู่การถูกขโมยสิทธิ์ระบบยืนยันตัวตนในอีกแอปพลิเคชันหนึ่งที่แยกส่วนกันโดยสิ้นเชิง ซึ่งเป็นการก้าวข้ามผ่านทั้งแพลตฟอร์ม และความน่าเชื่อถือ นอกจากนี้ ยังแสดงให้เห็นว่าผู้โจมตีไม่จำเป็นต้องมีความเชี่ยวชาญระดับสูง เพียงแต่ต้องมีความพยายามอย่างต่อเนื่องในจุดที่องค์กรยังมีช่องโหว่ด้านการอัปเดตแพตช์ และการเฝ้าระวังภายในระบบ hybrid
ระบบ Microsoft Defender for Endpoint สามารถตรวจพบกิจกรรมดังกล่าว และได้ทำการบล็อกไฟล์อันตรายประเภท ELF บนเครื่องโฮสต์ Confluence เครื่องหนึ่งที่มีการเปิดใช้งานระบบป้องกันแบบเรียลไทม์เอาไว้
บริษัทแนะนำให้กำหนดให้อุปกรณ์ปลายทางที่เชื่อมต่อกับอินเทอร์เน็ตมีสถานะเป็นอุปกรณ์ที่มีระดับความสำคัญสูงสุด พร้อมทั้งมีระบบกำกับดูแลแพตช์ความปลอดภัยอย่างเข้มงวด, ยกระดับความปลอดภัยให้กับเว็บแอปพลิเคชันภายในอย่างเร่งด่วนในระดับเดียวกับบริการภายนอก, เพิ่มความแข็งแกร่งให้กับระบบยืนยันตัวตน รวมถึงปิดการใช้งานโปรโตคอล NTLM ในกรณีที่ทำได้, บังคับใช้ระบบ Digital Sign บน SMB และ LDAP และเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการตรวจสอบสิทธิ์เพื่อลดผลกระทบจากการโจมตีแบบ relay
Key indicators ประกอบด้วย หมายเลข IP ของเซิร์ฟเวอร์ C2 206[.]189[.]27[.]39 และ file hashes สำหรับเครื่องมือสแกนแบบกำหนดเอง, โปรแกรม Kerbrute, โปรแกรม gowitness และสคริปต์ที่ใช้ทำ NTLM Relay นอกจากนี้ Microsoft ยังได้เผยแพร่ชุดคำสั่งสำหรับค้นหาภัยคุกคามขั้นสูง เพื่อใช้ตรวจจับการเข้าสู่ระบบผ่าน SSH ที่มีต้นทางมาจากอุปกรณ์ F5 BIG-IP รวมถึงการเข้าถึงข้อมูล credentials จากกระบวนการทำงานของ Confluence ด้วย
Indicators of compromise (IOC)
ที่มา : cybersecuritynews
You must be logged in to post a comment.