เซิร์ฟเวอร์ Oracle PeopleSoft กำลังตกเป็นเป้าหมายของการโจมตีเพื่อขโมยข้อมูลอย่างต่อเนื่องโดยกลุ่ม ShinyHunters ซึ่งอ้างว่าได้ทำการขโมยข้อมูลจากองค์กรต่าง ๆ ไปแล้วกว่า 100 แห่ง
PeopleSoft เป็น Enterprise Business Software ที่ถูกใช้งานโดยองค์กรขนาดใหญ่ เพื่อจัดการการดำเนินงานทางธุรกิจ เช่น ระบบทรัพยากรบุคคล, ระบบการจ่ายเงินเดือน, ระบบการเงิน, ระบบการจัดการ Supply chain, ระบบจัดซื้อจัดจ้าง และระบบบริหารจัดการนักศึกษา
เมื่อวันที่ 9 มิถุนายนที่ผ่านมา BleepingComputer ได้รับทราบถึงเหตุการณ์การโจมตีเพื่อขโมยข้อมูลในวงกว้าง โดยพุ่งเป้าไปที่ระบบ Oracle PeopleSoft ของลูกค้าทั้งในรูปแบบ Cloud และแบบติดตั้งใช้งานภายในองค์กร (On-premises) ลูกค้าเหล่านี้ได้รับคำข่มขู่เรียกค่าไถ่ที่มาจากกลุ่ม ShinyHunters
และในวันที่ 10 มิถุนายน กลุ่มผู้โจมตีได้ออกมายืนยันกับทาง BleepingComputer ว่า พวกเขาคือผู้อยู่เบื้องหลังการโจมตีดังกล่าว โดยอ้างว่าได้ขโมยข้อมูลจาก Instances ไปถึง 300 ระบบ จากองค์กรต่าง ๆ รวมแล้วกว่า 100 แห่ง
ShinyHunters ระบุว่า พวกเขากำลังใช้ "gadget chain" ซึ่งเป็นการรวมช่องโหว่ทั้งแบบเก่าและแบบ zero-day เข้าด้วยกันเพื่อใช้ในการโจมตี อย่างไรก็ตาม พวกเขาระบุว่าการโจมตีของพวกเขาไม่ได้ผลกับทุกระบบ และเชื่อว่าความสำเร็จในการโจมตีระบบอาจขึ้นอยู่กับรูปแบบการตั้งค่าของแต่ละ Instance
BleepingComputer ได้ติดต่อไปยัง Oracle เพื่อสอบถามว่าทางบริษัทรับทราบถึงการที่ช่องโหว่ zero-day ของ Oracle PeopleSoft ถูกนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลหรือไม่ แต่ยังไม่ได้รับการตอบกลับใด ๆ ในขณะนี้
ตามข้อมูลจากกลุ่มผู้โจมตี องค์กรส่วนใหญ่ที่ได้รับผลกระทบจากการโจมตีเหล่านี้อยู่ในภาคการศึกษา ซึ่งหลายแห่งเคยถูกกลุ่มผู้โจมตีกลุ่มนี้ข่มขู่เรียกค่าไถ่มาแล้วก่อนหน้านี้
กลุ่มผู้โจมตีอ้างว่าเป้าหมายแรกเริ่มคือการโจมตีเข้าไปใน Portal ของ FBI ที่รันด้วยระบบ PeopleSoft เพื่อ "เผยแพร่แถลงการณ์ และชี้แจงข้อเท็จจริงเกี่ยวกับข้อมูลที่ผิดพลาดบางประการที่กำลังแพร่กระจายอยู่" อย่างไรก็ตาม กลุ่มผู้โจมตีระบุว่าการโจมตีดังกล่าวไม่ประสบผลสำเร็จ และไม่สามารถเข้าถึงระบบนั้นได้
กลุ่มผู้โจมตีให้ข้อมูลกับ BleepingComputer ระบุว่า มหาวิทยาลัย Nottingham เป็นหนึ่งในเหยื่อของการโจมตีเหล่านี้ และข้อมูลของทางมหาวิทยาลัยได้ถูกนำไปเผยแพร่แล้วบนเว็บไซต์ข้อมูลหลุดของ ShinyHunters โดยทางมหาวิทยาลัยก็ได้ออกแถลงการณ์ยอมรับเช่นกันว่าประสบกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์จริง
ในขณะที่ Oracle ยังไม่ได้ออกมาเปิดเผยข้อมูลใด ๆ ต่อสาธารณะเกี่ยวกับการโจมตีเหล่านี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ชื่อ "Michael R" ได้ค้นพบ Directories ออนไลน์ที่เปิดเผยสู่สาธารณะหลายรายการ ซึ่งภายในนั้นมีเครื่องมือที่เกี่ยวข้องกับการโจมตีในครั้งนี้อยู่ด้วย
นักวิจัยระบุว่า "ShinyHunters ทำให้ Directories หลายรายการถูกเปิดเผยสู่สาธารณะ ซึ่งแสดงให้เห็นถึงการมุ่งเป้าการโจมตีสภาพแวดล้อมของระบบ PeopleSoft (ซอฟต์แวร์บริหารจัดการทรัพยากรองค์กร) อย่างต่อเนื่อง"
"นอกจากนี้ยังมีข้อมูล และเครื่องมือที่เตรียมไว้สำหรับการโจมตี ซึ่งรวมถึง Agents ของ MeshCentral ตลอดจนสคริปต์ที่ใช้สำหรับดัดแปลงหน้าเว็บไซต์ (Defacement) และสคริปต์สำหรับสุ่มเดารหัสผ่าน (Credential spray)"
นักวิจัยได้เผยแพร่ IP addresses ต่อไปนี้เพื่อใช้เป็นข้อมูล IOCs ที่เกี่ยวข้องกับเหตุการณ์เหล่านี้
IP addresses บางส่วนมีการใช้ TLS certificate ที่มีชื่อ Common name คือ "azurenetfiles[.]net" ซึ่งเป็นโดเมนที่เคยมีความเชื่อมโยงกับกลุ่ม ShinyHunters มาก่อนหน้านี้
เซิร์ฟเวอร์ 5 เครื่องมีการเปิดเผยไฟล์ .bash_history ออกมา ซึ่งทำให้เห็นข้อมูลเชิงลึกบางประการเกี่ยวกับการโจมตี รวมถึง Shell script ที่ถูกออกแบบมาเพื่อสร้างข้อความเรียกค่าไถ่ในชื่อ "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" ไว้บนเซิร์ฟเวอร์ PeopleSoft ภายในองค์กรหลังจากที่ทำการโจมตีระบบได้สำเร็จ
สคริปต์ดังกล่าวจะทำการอ่านวิเคราะห์ไฟล์ /etc/hosts เพื่อค้นหาระบบต่าง ๆ ที่เกี่ยวข้องกับ PeopleSoft และพยายามเชื่อมต่อเข้าไปผ่านทาง SSH โดยใช้บัญชีผู้ดูแลระบบพื้นฐานของ PeopleSoft และ Oracle เช่น 'psoft', 'oracle' และ 'linuxadm'
หากการยืนยันตัวตนด้วยรหัสผ่านล้มเหลว สคริปต์จะพยายามเปลี่ยนไปใช้วิธีการยืนยันตัวตนด้วย SSH key เป็นทางเลือกสำรอง
เมื่อเชื่อมต่อได้สำเร็จ สคริปต์จะนำข้อความเรียกค่าไถ่ไปวางไว้ใน Directories ต่าง ๆ ที่เกี่ยวข้องกับเว็บเซิร์ฟเวอร์ และแอปพลิเคชันเซิร์ฟเวอร์ของ PeopleSoft
หากองค์กรของคุณกำลังใช้งาน Oracle PeopleSoft ขอแนะนำให้ทำการวิเคราะห์ Logs การทำงานของระบบเพื่อหาประวัติการเชื่อมต่อใด ๆ ที่มาจาก IP addresses ข้างต้น เพื่อประเมินว่าองค์กรของคุณตกเป็นเป้าหมายของการโจมตีเหล่านี้หรือไม่
หากพบข้อมูล IOCs เหล่านี้ องค์กรควรเริ่มกระบวนการรับมือกับเหตุการณ์ด้านความปลอดภัยในทันที เพื่อตรวจสอบว่าระบบ PeopleSoft ของตนถูกโจมตีหรือไม่ และควรพิจารณาตัดการเชื่อมต่ออินเทอร์เน็ตของเซิร์ฟเวอร์ที่ได้รับผลกระทบเป็นการชั่วคราว จนกว่าระบบจะได้รับการตรวจสอบ และจัดการให้ปลอดภัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.