สำนักงานสอบสวนกลางสหรัฐฯ (FBI) เปิดเผยว่า กลุ่มอาชญากรรมไซเบอร์ชื่อดังอย่าง Scattered Spider กำลังขยายเป้าหมายการโจมตีไปยังภาคการบิน
FBI แถลงผ่านโพสต์บน X ว่า กลุ่มผู้กระทำผิดใช้เทคนิค social engineering โดยแอบอ้างเป็นพนักงาน หรือบริษัทผู้รับจ้าง เพื่อหลอกให้ IT Helpdesk อนุญาตให้เข้าถึงระบบ โดยเทคนิคนี้มักใช้เพื่อหลีกเลี่ยงการยืนยันตัวตนหลายขั้นตอน (MFA) โดย FBI ระบุว่า ขณะนี้กำลังร่วมมือกับพันธมิตรในอุตสาหกรรมการบิน และภาคธุรกิจอื่น ๆ เพื่อรับมือกับการโจมตี และให้ความช่วยเหลือองค์กรที่ได้รับผลกระทบ
ผู้เชี่ยวชาญจาก Unit 42 และ Mandiant เตือนว่า Scattered Spider กำลังขยายการโจมตีไปยังภาคการบิน และขนส่ง ด้วยวิธี social engineering และการรีเซ็ตรหัส MFA ซึ่งคล้ายกับกรณีในอุตสาหกรรมประกันภัยของสหรัฐฯ พร้อมแนะนำให้องค์กรเพิ่มความเข้มงวดในการยืนยันตัวตน โดยเฉพาะก่อนเพิ่มหมายเลขโทรศัพท์ หรืออุปกรณ์ MFA ให้บัญชีพนักงาน หรือบริษัทผู้รับจ้าง เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
หนึ่งในสาเหตุที่ทำให้กลุ่ม Scattered Spider ประสบความสำเร็จอย่างต่อเนื่องคือความเข้าใจเชิงลึกเกี่ยวกับพฤติกรรมมนุษย์ แม้จะมีมาตรการป้องกันทางเทคนิค เช่น MFA กลุ่มนี้จะเล็งเป้าไปที่บุคลากรเบื้องหลังระบบ โดยเฉพาะพนักงาน IT Helpdesk ซึ่งสามารถตกเป็นเหยื่อของเรื่องราวที่น่าเชื่อถือได้เหมือนกับบุคคลทั่วไป
การโจมตีนี้ไม่ใช่การโจมตีแบบ brute-force แต่เป็นการสร้างความไว้วางใจในระยะเวลาอันสั้นเพื่อแทรกซึมเข้าสู่ระบบ และเมื่อเผชิญกับข้อจำกัดด้านเวลา หรือความกดดันสูง การโจมตีที่เริ่มต้นจากการแอบอ้างเป็นพนักงานก็สามารถเล็ดลอดผ่านไปได้ ด้วยเหตุนี้ องค์กรจึงควรพิจารณามากกว่าการป้องกัน endpoint แบบดั้งเดิม และทบทวนกระบวนการยืนยันตัวตนแบบเรียลไทม์อย่างละเอียดรอบคอบ
เดิมที Scattered Spider ใช้การโจมตีแบบ SIM swapping แต่ปัจจุบันกลุ่มนี้ได้ขยายการโจมตีโดยใช้เทคนิคที่หลากหลายขึ้น เช่น social engineering, helpdesk phishing และการเข้าถึงจากภายใน ซึ่งทั้งหมดนี้เป็นกลยุทธ์เบื้องต้นในการแทรกซึมเข้าสู่ระบบแบบไฮบริด
Halcyon ระบุว่า Scattered Spider เป็นการพัฒนาครั้งสำคัญในความเสี่ยงของแรนซัมแวร์ โดยการผสมผสานเทคนิค social engineering ขั้นสูง, เทคนิคที่มีความซับซ้อนหลายระดับ และความสามารถในการขู่กรรโชก กลุ่มนี้สามารถเจาะระบบ สร้างการเข้าถึงอย่างต่อเนื่อง ขโมยข้อมูลที่มีความสำคัญ ปิดการทำงานของระบบ recovery และใช้แรนซัมแวร์ในทั้งระบบที่อยู่ on-premises และคลาวด์ได้ภายในเวลาไม่กี่ชั่วโมง
สิ่งที่ทำให้ Scattered Spider เป็นอันตรายคือการผสมผสานระหว่างการวางแผนที่รอบคอบ และการขยายตัวอย่างรวดเร็ว กลุ่มนี้ไม่เพียงแค่ขโมยข้อมูลจากบัญชีผู้ใช้ แต่ยังใช้เวลาในการรวบรวมข้อมูลจากสื่อสังคมออนไลน์ และข้อมูลรั่วไหลต่าง ๆ เพื่อแอบอ้างเป็นบุคคลได้อย่างแม่นยำ การโจมตีที่ผสมผสานเทคนิค Social engineering กับ cloud infrastructure sabotage ทำให้สามารถหลุดรอดจากการตรวจจับจนกระทั่งมันสายเกินไป
ในรายงานที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา ReliaQuest เปิดเผยว่า Scattered Spider ได้เจาะระบบองค์กรหนึ่งเมื่อปลายเดือนที่แล้ว โดยมุ่งเป้าหมายไปที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO) เป็นหลัก ซึ่งกลุ่มผู้โจมตีได้ใช้การเข้าถึงระดับสูงเพื่อดำเนินการโจมตีอย่างแม่นยำ และมีการวางแผนมาอย่างดี
ผู้โจมตีได้ทำการศึกษาข้อมูลอย่างละเอียดเพื่อเลือกเป้าหมายที่มีมูลค่าสูง โดยเฉพาะอย่างยิ่งการแอบอ้างเป็น CFO เพื่อโทรศัพท์ติดต่อ IT Helpdesk ของบริษัท และหลอกให้รีเซ็ตรหัส MFA และข้อมูลการเข้าสู่ระบบที่เชื่อมโยงกับบัญชีของ CFO
นอกจากนี้ กลุ่มผู้โจมตียังใช้ข้อมูลที่ได้จากการสอดแนม เช่น วันเกิดของ CFO และหมายเลขสี่หลักสุดท้ายของหมายเลขประกันสังคม (SSN) เพื่อกรอกลงในพอร์ทัลการเข้าสู่ระบบของบริษัท ซึ่งเป็นส่วนหนึ่งของกระบวนการเข้าสู่ระบบ และยืนยันรหัสพนักงานพร้อมกับข้อมูลที่ได้มา
Scattered Spider พุ่งเป้าโจมตีบัญชีระดับ C-Suite ด้วยเหตุผลสองประการหลัก ประการแรก บัญชีเหล่านี้มักมีสิทธิ์การเข้าถึงระบบที่กว้างขวาง และประการที่สอง คำขอที่มาจากบัญชีเหล่านี้ไปยัง IT Helpdesk มักได้รับการดำเนินการอย่างเร่งด่วน ซึ่งเพิ่มโอกาสที่การโจมตีทาง social engineering จะประสบความสำเร็จ
หลังจากเข้าถึงบัญชี CFO กลุ่ม Scattered Spider ได้แสดงให้เห็นถึงความสามารถในการปรับตัว และขยายการโจมตีอย่างรวดเร็วในสภาพแวดล้อมเป้าหมาย โดยดำเนินการดังนี้:
ค้นหาข้อมูลบัญชี และกลุ่มที่มีสิทธิ์พิเศษใน Entra ID รวมถึง service principals เพื่อใช้ในการยกระดับสิทธิ์ และแฝงตัวอยู่ในระบบอย่างต่อเนื่อง
ตรวจสอบไฟล์สำคัญ และทรัพยากรที่ใช้ร่วมกันใน SharePoint เพื่อทำความเข้าใจกระบวนการทำงาน, ระบบ IT และ cloud architectures ขององค์กร เพื่อปรับแผนการโจมตีให้เหมาะสม
เข้าถึงแพลตฟอร์ม Horizon Virtual Desktop Infrastructure (VDI) โดยใช้ข้อมูล CFO ที่ได้มา จากนั้นจึงขโมยข้อมูลสำคัญเพิ่มเติมจากอีกสองบัญชีโดยเทคนิค social engineering ซึ่งเป็นการสร้างช่องทางเข้าถึงถาวร เพื่อให้สามารถกลับเข้ามาในระบบได้ซ้ำ ๆ
เจาะระบบ VPN ขององค์กรเพื่อให้สามารถเข้าถึงทรัพยากรภายในได้อย่างต่อเนื่อง
กู้คืนเครื่อง Virtual machines (VMs) ที่ถูกยกเลิก จากนั้นสร้างเครื่องใหม่เพื่อเข้าถึงโครงสร้าง VMware vCenter เพื่อปิดการทำงานของ virtualized production domain controller และดึงข้อมูลจากไฟล์ฐานข้อมูล NTDS.dit
ใช้สิทธิ์ที่เพิ่มขึ้นในการเจาะเข้า CyberArk password vault และขโมยข้อมูลสำคัญมากกว่า 1,400 รายการ
ขยายการโจมตีอย่างต่อเนื่อง โดยใช้บัญชีที่มีสิทธิ์พิเศษ ซึ่งรวมถึงการให้สิทธิ์ผู้ดูแลระบบแก่บัญชีผู้ใช้ที่ถูกบุกรุก
ใช้เครื่องมือที่ถูกต้อง เช่น ngrok เพื่อการควบคุมเครื่อง VMs ของเหยื่ออย่างต่อเนื่อง
หลังจากทีมรักษาความปลอดภัยขององค์กรตรวจพบการโจมตี กลุ่ม Scattered Spider ได้ใช้กลยุทธ์ทำลายทุกอย่าง โดยให้ความสำคัญกับความเร็ว เพื่อลบ Azure Firewall policy rule และขัดขวางการดำเนินธุรกิจตามปกติ
ReliaQuest ได้บรรยายถึงการต่อสู้ที่ดุเดือดระหว่างทีมตอบสนองเหตุการณ์กับผู้โจมตี เพื่อแย่งชิงการควบคุม Global Administrator ภายใน Entra ID tenant โดยการต่อสู้ดังกล่าวได้สิ้นสุดลงเมื่อ Microsoft เข้ามาให้ความช่วยเหลือในการฟื้นฟูการควบคุม tenant นั้น
สรุปประเด็นสำคัญ การโจมตีแบบ social engineering ได้พัฒนาไปสู่การควบคุมทางอัตลักษณ์ที่มีความซับซ้อน โดยผู้โจมตีอย่าง Scattered Spider ใช้กลวิธีหลากหลาย เช่น การ SIM swapping, vishing และการยกระดับสิทธิ์ เพื่อเจาะระบบป้องกัน และโจมตีได้อย่างรวดเร็วเมื่อเข้าถึงช่องทางโจมตีได้
สำหรับองค์กรส่วนใหญ่ การรับมือไม่จำเป็นต้องลงทุนในเครื่องมือใหม่ แต่ควรมุ่งเน้นที่การปรับปรุงกระบวนการภายใน โดยเฉพาะอย่างยิ่งในเรื่องการอนุมัติของ help desk และการกู้คืนบัญชี การให้ความสำคัญกับการตัดสินใจของบุคลากรเกี่ยวกับข้อมูลอัตลักษณ์ ยิ่งทำให้การฝึกอบรมพนักงานด้วยสถานการณ์จริงมีความสำคัญมากขึ้น
Alexa Feminella และ James Xiang นักวิจัยด้านความปลอดภัย ระบุว่า Scattered Spider เปิดเผยจุดอ่อนสำคัญจากการพึ่งพากระบวนการตรวจสอบอัตลักษณ์ที่เน้นมนุษย์ ซึ่งผู้โจมตีใช้ความไว้วางใจนี้หลบเลี่ยงการป้องกันทางเทคนิค และบิดเบือนกระบวนการเดิมได้ง่าย ข้อเปราะบางนี้เน้นย้ำว่าธุรกิจต้องเร่งประเมิน และเสริมโปรโตคอลตรวจสอบอัตลักษณ์ เพื่อลดความเสี่ยงจากข้อผิดพลาดของมนุษย์ที่อาจเปิดช่องทางโจมตี
ที่มา : thehackernews