สมาชิกของพันธมิตรข่าวกรอง Five Eyes (FVEY) ออกมาแจ้งเตือนในวันนี้ว่ากลุ่มแฮ็กเกอร์ APT29 Russian Foreign Intelligence Service (SVR) กำลังเปลี่ยนไปใช้การโจมตีที่กำหนดเป้าหมายไปยังบริการคลาวด์ของเหยื่อ
APT29 (หรือที่รู้จักกันในชื่อ Cozy Bear, Midnight Blizzard, The Dukes) ได้โจมตีหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง หลังจากการโจมตีแบบ supply-chain attack กับบริษัท SolarWinds เมื่อสามปีที่แล้ว
กลุ่มแฮ็กเกอร์จากรัสเซียกลุ่มนี้ ยังโจมตีบัญชี Microsoft 365 ที่เป็นขององค์กรต่าง ๆ ภายในกลุ่มประเทศ NATO เพื่อขโมยข้อมูลที่เกี่ยวข้องกับนโยบายต่างประเทศของรัฐบาล, สถานทูต และเจ้าหน้าที่อาวุโสทั่วยุโรป โดยใช้วิธีการโจมตีแบบฟิชชิ่ง ล่าสุดไมโครซอฟต์ยืนยันว่ากลุ่มดังกล่าวได้โจมตีบัญชี Exchange Online ของผู้บริหาร และผู้ใช้งานจากองค์กรอื่น ๆ ในเดือนพฤศจิกายน 2023
บริการคลาวด์อยู่ภายใต้การถูกโจมตี
ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC), NSA, CISA, FBI และหน่วยงานรักษาความปลอดภัยทางไซเบอร์จากออสเตรเลีย แคนาดา และนิวซีแลนด์ แจ้งเตือนว่ากลุ่มแฮ็กเกอร์จากรัสเซียค่อย ๆ เริ่มต้นการโจมตีโครงสร้างพื้นฐานบนระบบคลาวด์
หน่วยงาน Five Eyes พบกลุ่ม APT29 กำลังเข้าถึงระบบคลาวด์ของเป้าหมายโดยใช้บัญชีที่ถูก compromise จากการโจมตีแบบ brute forcing หรือ password spraying นอกจากนี้ยังใช้บัญชีที่ไม่ได้มีการใช้งาน แต่ยังไม่ถูกลบออกจากองค์กร ทำให้สามารถเข้าถึงได้อีกครั้งหลังจากรีเซ็ตรหัสผ่าน
การเริ่มต้นโจมตีระบบคลาวด์ของ APT29 ยังรวมถึงการใช้ access tokens ที่ถูกขโมยมา ซึ่งช่วยให้พวกเขาแฮ็กบัญชีได้โดยไม่ต้องใช้ข้อมูล credentials รวมถึงการ bypass MFA และการลงทะเบียนอุปกรณ์ของตนเองเป็นอุปกรณ์ใหม่บนระบบคลาวด์ของเหยื่อ
วิธีตรวจจับการโจมตีบนระบบคลาวด์ของกลุ่ม SVR
หลังจากที่สามารถเข้าถึงระบบของเหยื่อได้ในครั้งแรก กลุ่ม SVR จะใช้เครื่องมือที่ซับซ้อน เช่น มัลแวร์ MagicWeb ซึ่งช่วยให้พวกเขาสามารถยืนยันตัวตนในฐานะผู้ใช้งานใด ๆ ภายในเครือข่ายที่ถูกบุกรุก เพื่อหลบเลี่ยงการตรวจจับในเครือข่ายของเหยื่อ ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาล และองค์กรสำคัญ ๆ ที่ครอบคลุมยุโรป สหรัฐอเมริกา และเอเชีย
ดังนั้นการลดความเสี่ยงจากการโจมตีเริ่มต้นของ APT29 ควรเป็นสิ่งแรกที่ต้องทำ เช่น การเปิดใช้งาน MFA ทุกที่ และทุกเวลาที่เป็นไปได้ ควบคู่ไปกับการตั้งรหัสผ่านที่รัดกุม ใช้หลักการ least privilege สำหรับบัญชีต่าง ๆ บนระบบ และบัญชีบริการทั้งหมดเพื่อตรวจจับการบุกรุกได้รวดเร็วยิ่งขึ้น และการลด session lifetimes เพื่อบล็อกการใช้งานของ session tokens ที่อาจถูกขโมยออกไป รวมถึงควรอนุญาตเฉพาะการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ที่ได้รับอนุญาต
ที่มา: https://www.