สหรัฐฯ และพันธมิตรแจ้งเตือนแฮ็กเกอร์รัสเซียเปลี่ยนมาโจมตีระบบบนคลาวด์

สมาชิกของพันธมิตรข่าวกรอง Five Eyes (FVEY) ออกมาแจ้งเตือนในวันนี้ว่ากลุ่มแฮ็กเกอร์ APT29 Russian Foreign Intelligence Service (SVR) กำลังเปลี่ยนไปใช้การโจมตีที่กำหนดเป้าหมายไปยังบริการคลาวด์ของเหยื่อ

APT29 (หรือที่รู้จักกันในชื่อ Cozy Bear, Midnight Blizzard, The Dukes) ได้โจมตีหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง หลังจากการโจมตีแบบ supply-chain attack กับบริษัท SolarWinds เมื่อสามปีที่แล้ว

กลุ่มแฮ็กเกอร์จากรัสเซียกลุ่มนี้ ยังโจมตีบัญชี Microsoft 365 ที่เป็นขององค์กรต่าง ๆ ภายในกลุ่มประเทศ NATO เพื่อขโมยข้อมูลที่เกี่ยวข้องกับนโยบายต่างประเทศของรัฐบาล, สถานทูต และเจ้าหน้าที่อาวุโสทั่วยุโรป โดยใช้วิธีการโจมตีแบบฟิชชิ่ง ล่าสุดไมโครซอฟต์ยืนยันว่ากลุ่มดังกล่าวได้โจมตีบัญชี Exchange Online ของผู้บริหาร และผู้ใช้งานจากองค์กรอื่น ๆ ในเดือนพฤศจิกายน 2023

บริการคลาวด์อยู่ภายใต้การถูกโจมตี

ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC), NSA, CISA, FBI และหน่วยงานรักษาความปลอดภัยทางไซเบอร์จากออสเตรเลีย แคนาดา และนิวซีแลนด์ แจ้งเตือนว่ากลุ่มแฮ็กเกอร์จากรัสเซียค่อย ๆ เริ่มต้นการโจมตีโครงสร้างพื้นฐานบนระบบคลาวด์

หน่วยงาน Five Eyes พบกลุ่ม APT29 กำลังเข้าถึงระบบคลาวด์ของเป้าหมายโดยใช้บัญชีที่ถูก compromise จากการโจมตีแบบ brute forcing หรือ password spraying นอกจากนี้ยังใช้บัญชีที่ไม่ได้มีการใช้งาน แต่ยังไม่ถูกลบออกจากองค์กร ทำให้สามารถเข้าถึงได้อีกครั้งหลังจากรีเซ็ตรหัสผ่าน

การเริ่มต้นโจมตีระบบคลาวด์ของ APT29 ยังรวมถึงการใช้ access tokens ที่ถูกขโมยมา ซึ่งช่วยให้พวกเขาแฮ็กบัญชีได้โดยไม่ต้องใช้ข้อมูล credentials รวมถึงการ bypass MFA และการลงทะเบียนอุปกรณ์ของตนเองเป็นอุปกรณ์ใหม่บนระบบคลาวด์ของเหยื่อ

วิธีตรวจจับการโจมตีบนระบบคลาวด์ของกลุ่ม SVR

หลังจากที่สามารถเข้าถึงระบบของเหยื่อได้ในครั้งแรก กลุ่ม SVR จะใช้เครื่องมือที่ซับซ้อน เช่น มัลแวร์ MagicWeb ซึ่งช่วยให้พวกเขาสามารถยืนยันตัวตนในฐานะผู้ใช้งานใด ๆ ภายในเครือข่ายที่ถูกบุกรุก เพื่อหลบเลี่ยงการตรวจจับในเครือข่ายของเหยื่อ ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาล และองค์กรสำคัญ ๆ ที่ครอบคลุมยุโรป สหรัฐอเมริกา และเอเชีย

ดังนั้นการลดความเสี่ยงจากการโจมตีเริ่มต้นของ APT29 ควรเป็นสิ่งแรกที่ต้องทำ เช่น การเปิดใช้งาน MFA ทุกที่ และทุกเวลาที่เป็นไปได้ ควบคู่ไปกับการตั้งรหัสผ่านที่รัดกุม ใช้หลักการ least privilege สำหรับบัญชีต่าง ๆ บนระบบ และบัญชีบริการทั้งหมดเพื่อตรวจจับการบุกรุกได้รวดเร็วยิ่งขึ้น และการลด session lifetimes เพื่อบล็อกการใช้งานของ session tokens ที่อาจถูกขโมยออกไป รวมถึงควรอนุญาตเฉพาะการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ที่ได้รับอนุญาต

ที่มา: https://www.

กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อหลบเลี่ยงการตรวจจับ

กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อนำมาใช้ในการเก็บข้อมูลที่ขโมยมา เก็บมัลแวร์ หรือไฟล์ที่เป็นอันตรายเพื่อใช้ในการโจมตีเหยื่อ และยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ เนื่องจาก Google Drive เป็นบริการพื้นที่เก็บข้อมูลที่ได้รับความไว้วางใจจากผู้ใช้งานนับล้านทั่วโลก จึงทำให้การโจมตีโดยเชื่อมโยงกับไฟล์ที่อยู่บน Google Drive อาจไม่ถูกตรวจจับ หรือป้องกัน

กลุ่ม APT29 หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Nobelium ได้ใช้กลยุทธ์ดังกล่าวในการโจมตีเมื่อเร็วๆนี้ โดยมุ่งเป้าไปที่ภารกิจทางการทูตของตะวันตก และสถานทูตต่างประเทศทั่วโลกระหว่างต้นเดือนพฤษภาคมถึงมิถุนายน 2565

นักวิเคราะห์จาก Unit 42 ผู้พบเห็นแนวโน้มการโจมตีในรูปแบบนี้ระบุว่า “สองแคมเปญล่าสุดของพวกเขาใช้ประโยชน์จากบริการจัดเก็บข้อมูลระบบคลาวด์ของ Google Drive เป็นครั้งแรก”

"การใช้งานที่แพร่หลายของบริการพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Drive บวกกับความไว้วางใจจากผู้ใช้งานหลายล้านคนทั่วโลก ทำให้ Google Drive ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์จากกลุ่ม APT"

ขณะที่ Mandiant ได้เปิดเผยในรายงานเดือนเมษายนที่มีการติดตามหนึ่งในแคมเปญฟิชชิ่งของกลุ่ม APT ว่า นี่ไม่ใช่ครั้งแรกที่กลุ่มแฮ็กเกอร์ APT29 ใช้บริการเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2) และการจัดเก็บข้อมูลต่างๆ

เช่นเดียวกับในแคมเปญที่พบโดย Unit 42 ทีมของ Mandiant ยังพบการโจมตีด้วยฟิชชิ่งของกลุ่มแฮ็กเกอร์กับพนักงานขององค์กรทางการทูตต่างๆ ทั่วโลก ซึ่งสอดคล้องกับผลประโยชน์เชิงกลยุทธ์ทางภูมิรัฐศาสตร์ของรัสเซียในปัจจุบัน และการกำหนดเป้าหมายของ APT29 ก่อนหน้านี้

เป้าหมายระดับสูงของ APT29

APT29 คือกลุ่มผู้โจมตีที่คาดว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ที่ดำเนินการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds ซึ่งนำไปสู่การเข้าถึงข้อมูลของหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่งในปี 2563

เมื่อปลายเดือนกรกฎาคม กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่าสำนักงานอัยการสหรัฐฯ 27 แห่งถูกละเมิดข้อมูลในระหว่างการถูกโจมตีของ SolarWinds

ในเดือนเมษายน พ.ศ. 2564 รัฐบาลสหรัฐฯ กล่าวโทษ SVR อย่างเป็นทางการว่ามีส่วนเกี่ยวข้องกับการเข้าถึงข้อมูลของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง

หลังจากการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds กลุ่ม APT29 ยังได้ทำการโจมตีเครือข่ายขององค์กรอื่นๆ โดยใช้มัลแวร์ที่ยังไม่เคยถูกตรวจพบมาก่อน เช่น GoldMax Linux backdoor และ TrailBlazer Malware

โดยกลุ่มยังมีการกำหนดเป้าหมายไปที่กลุ่มบริษัท I.T. supply chain จากรายงานที่ Microsoft เปิดเผยเมื่อเดือนตุลาคมว่ามีบริษัทที่โดนโจมตีสำเร็จอย่างน้อย 14 ราย หลังจากการพยายามโจมตีผู้ให้บริการในลักษณะ MSP และผู้ให้บริการระบบคลาวด์ประมาณ 140 รายตั้งแต่เดือนพฤษภาคม 2564

ที่มา: bleepingcomputer, unit42.paloaltonetworks

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.