Hewlett Packard Enterprise (HPE) กำลังแจ้งเตือนพนักงานที่ถูกขโมยข้อมูลจากอีเมล Office 365 ของบริษัท โดยกลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในการโจมตีทางไซเบอร์เมื่อเดือนพฤษภาคม 2023

ตามเอกสารที่ยื่นต่อสำนักงานอัยการสูงสุดในรัฐนิวแฮมป์เชียร์ และแมสซาชูเซตส์ HPE ได้เริ่มส่งจดหมายแจ้งเตือนการถูกละเมิดข้อมูลเมื่อเดือนที่ผ่านมาไปยังบุคคลอย่างน้อย 16 ราย ซึ่งข้อมูลที่ถูกขโมย ได้แก่ ใบขับขี่, หมายเลขบัตรเครดิต และหมายเลขประกันสังคม

บริษัทระบุในจดหมายว่า "จากการสอบสวนทางนิติวิทยาศาสตร์ของ HPE พบว่าข้อมูลส่วนบุคคลของบางคนอาจถูกเข้าถึงโดยไม่ได้รับอนุญาต เมื่อวันที่ 29 มกราคม 2025 HPE ได้เริ่มแจ้งเตือนบุคคลที่ได้รับผลกระทบจากเหตุการณ์นี้ตามกฎหมายที่เกี่ยวข้อง"

เมื่อสอบถามเกี่ยวกับจำนวนพนักงานที่ได้รับผลกระทบจากเหตุการณ์การถูกละเมิดข้อมูลครั้งนี้ ตัวแทนของ HPE ระบุว่า "มีการเข้าถึง mailboxes ของสมาชิกทีม HPE เพียงเล็กน้อย และมีเพียงข้อมูลที่อยู่ภายใน mailboxes เท่านั้นที่ได้รับผลกระทบ"

กลุ่มที่อยู่เบื้องหลังการโจมตีครั้งนี้คือ Cozy Bear (รู้จักกันในชื่อ Midnight Blizzard, APT29 และ Nobelium) ซึ่งเชื่อว่าเป็นส่วนหนึ่งของหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) และเคยมีส่วนเกี่ยวข้องกับเหตุการณ์โจมตีครั้งใหญ่หลายครั้ง เช่น การโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020

เหตุการณ์การถูกละเมิดข้อมูล HPE ได้เปิดเผยเป็นครั้งแรกในเอกสารที่ยื่นต่อ SEC เมื่อวันที่ 29 มกราคม 2024 โดยบริษัทระบุว่าได้รับแจ้งเมื่อวันที่ 12 ธันวาคมว่ากลุ่มผู้ไม่หวังดีที่ต้องสงสัยว่ามีความเชื่อมโยงกับรัสเซียได้เจาะเข้าสู่ระบบอีเมล Office 365 บนคลาวด์ของบริษัทในเดือนพฤษภาคม 2023 โดยใช้บัญชีที่ถูกโจมตี

HPE ให้ข้อมูลกับ BleepingComputer ในขณะนั้นว่า "เราพบว่า กลุ่มผู้ไม่หวังดีที่ได้รับการสนับสนุนจากรัฐบาลได้เข้าถึง และขโมยข้อมูลออกไปตั้งแต่เดือนพฤษภาคม 2023 จาก mailboxes ของ HPE จำนวนเล็กน้อย ซึ่งเป็นของบุคคลในทีมความปลอดภัยทางไซเบอร์, ทีมกลยุทธ์ทางการตลาด, ฝ่ายธุรกิจ และฝ่ายอื่น ๆ เราเชื่อว่ากลุ่มผู้ไม่หวังดีนี้คือ Midnight Blizzard หรือที่รู้จักกันในชื่อ Cozy Bear"

"ข้อมูลที่ถูกเข้าถึงนั้นจำกัดอยู่เพียงแค่ภายใน mailboxes ของผู้ใช้งานเท่านั้น บริษัทกำลังดำเนินการสอบสวนเพิ่มเติม และจะดำเนินการแจ้งเตือนตามความเหมาะสม"

เซิร์ฟเวอร์ SharePoint ถูกโจมตี โดยผู้ไม่หวังดีกลุ่มเดียวกัน

ในเอกสารที่ยื่นต่อ SEC 'HPE' ระบุเพิ่มเติมว่า เหตุการณ์การถูกละเมิดข้อมูลใน Office 365 น่าจะเกี่ยวข้องกับเหตุการณ์การโจมตีอีกครั้งในเดือนพฤษภาคม 2023 เมื่อผู้ไม่หวังดีเข้าถึงเซิร์ฟเวอร์ SharePoint ของบริษัท และขโมยไฟล์บางส่วนออกไป

หลายวันก่อนที่ HPE จะเปิดเผย Microsoft ได้ออกมาเตือนเช่นกันว่ากลุ่ม Cozy Bear ขโมยข้อมูลจากบัญชีอีเมลของบริษัท และที่เก็บซอร์สโค้ด พวกเขาเริ่มเจาะระบบเครือข่ายของ Microsoft ในเดือนพฤศจิกายน 2024 ด้วยการโจมตีแบบ password spray เพื่อเข้าถึงบัญชีผู้ใช้งานในระบบทดสอบที่ไม่ใช่ระบบ production

HPE เคยถูกโจมตีในปี 2018 เมื่อกลุ่มผู้ไม่หวังดีจากจีนแฮ็กเข้าสู่เครือข่ายของบริษัท และใช้การเข้าถึงนั้นในการโจมตีอุปกรณ์ของลูกค้า

ในปี 2021 HPE ยังได้เปิดเผยว่า data repos สำหรับแพลตฟอร์มการตรวจสอบเครือข่าย Aruba Central ถูกโจมตี ทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลเกี่ยวกับอุปกรณ์ที่ถูกตรวจสอบ และตำแหน่งของอุปกรณ์เหล่านั้นได้

เมื่อเร็ว ๆ นี้ ในเดือนกุมภาพันธ์ 2024 และมกราคม 2025 บริษัทเริ่มทำการสอบสวนเกี่ยวกับความเป็นไปได้ของการละเมิดความปลอดภัยอื่น ๆ หลังจากที่ผู้ไม่หวังดีที่ใช้ชื่อ IntelBroker อ้างว่าได้ขโมยข้อมูลการเข้าสู่ระบบของ HPE, ซอร์สโค้ด และข้อมูลที่สำคัญอื่น ๆ

ที่มา : bleepingcomputer.

สมาชิกของพันธมิตรข่าวกรอง Five Eyes (FVEY) ออกมาแจ้งเตือนในวันนี้ว่ากลุ่มแฮ็กเกอร์ APT29 Russian Foreign Intelligence Service (SVR) กำลังเปลี่ยนไปใช้การโจมตีที่กำหนดเป้าหมายไปยังบริการคลาวด์ของเหยื่อ

APT29 (หรือที่รู้จักกันในชื่อ Cozy Bear, Midnight Blizzard, The Dukes) ได้โจมตีหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง หลังจากการโจมตีแบบ supply-chain attack กับบริษัท SolarWinds เมื่อสามปีที่แล้ว

กลุ่มแฮ็กเกอร์จากรัสเซียกลุ่มนี้ ยังโจมตีบัญชี Microsoft 365 ที่เป็นขององค์กรต่าง ๆ ภายในกลุ่มประเทศ NATO เพื่อขโมยข้อมูลที่เกี่ยวข้องกับนโยบายต่างประเทศของรัฐบาล, สถานทูต และเจ้าหน้าที่อาวุโสทั่วยุโรป โดยใช้วิธีการโจมตีแบบฟิชชิ่ง ล่าสุดไมโครซอฟต์ยืนยันว่ากลุ่มดังกล่าวได้โจมตีบัญชี Exchange Online ของผู้บริหาร และผู้ใช้งานจากองค์กรอื่น ๆ ในเดือนพฤศจิกายน 2023

บริการคลาวด์อยู่ภายใต้การถูกโจมตี

ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC), NSA, CISA, FBI และหน่วยงานรักษาความปลอดภัยทางไซเบอร์จากออสเตรเลีย แคนาดา และนิวซีแลนด์ แจ้งเตือนว่ากลุ่มแฮ็กเกอร์จากรัสเซียค่อย ๆ เริ่มต้นการโจมตีโครงสร้างพื้นฐานบนระบบคลาวด์

หน่วยงาน Five Eyes พบกลุ่ม APT29 กำลังเข้าถึงระบบคลาวด์ของเป้าหมายโดยใช้บัญชีที่ถูก compromise จากการโจมตีแบบ brute forcing หรือ password spraying นอกจากนี้ยังใช้บัญชีที่ไม่ได้มีการใช้งาน แต่ยังไม่ถูกลบออกจากองค์กร ทำให้สามารถเข้าถึงได้อีกครั้งหลังจากรีเซ็ตรหัสผ่าน

การเริ่มต้นโจมตีระบบคลาวด์ของ APT29 ยังรวมถึงการใช้ access tokens ที่ถูกขโมยมา ซึ่งช่วยให้พวกเขาแฮ็กบัญชีได้โดยไม่ต้องใช้ข้อมูล credentials รวมถึงการ bypass MFA และการลงทะเบียนอุปกรณ์ของตนเองเป็นอุปกรณ์ใหม่บนระบบคลาวด์ของเหยื่อ

วิธีตรวจจับการโจมตีบนระบบคลาวด์ของกลุ่ม SVR

หลังจากที่สามารถเข้าถึงระบบของเหยื่อได้ในครั้งแรก กลุ่ม SVR จะใช้เครื่องมือที่ซับซ้อน เช่น มัลแวร์ MagicWeb ซึ่งช่วยให้พวกเขาสามารถยืนยันตัวตนในฐานะผู้ใช้งานใด ๆ ภายในเครือข่ายที่ถูกบุกรุก เพื่อหลบเลี่ยงการตรวจจับในเครือข่ายของเหยื่อ ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาล และองค์กรสำคัญ ๆ ที่ครอบคลุมยุโรป สหรัฐอเมริกา และเอเชีย

ดังนั้นการลดความเสี่ยงจากการโจมตีเริ่มต้นของ APT29 ควรเป็นสิ่งแรกที่ต้องทำ เช่น การเปิดใช้งาน MFA ทุกที่ และทุกเวลาที่เป็นไปได้ ควบคู่ไปกับการตั้งรหัสผ่านที่รัดกุม ใช้หลักการ least privilege สำหรับบัญชีต่าง ๆ บนระบบ และบัญชีบริการทั้งหมดเพื่อตรวจจับการบุกรุกได้รวดเร็วยิ่งขึ้น และการลด session lifetimes เพื่อบล็อกการใช้งานของ session tokens ที่อาจถูกขโมยออกไป รวมถึงควรอนุญาตเฉพาะการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ที่ได้รับอนุญาต

ที่มา: https://www.

กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อนำมาใช้ในการเก็บข้อมูลที่ขโมยมา เก็บมัลแวร์ หรือไฟล์ที่เป็นอันตรายเพื่อใช้ในการโจมตีเหยื่อ และยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ เนื่องจาก Google Drive เป็นบริการพื้นที่เก็บข้อมูลที่ได้รับความไว้วางใจจากผู้ใช้งานนับล้านทั่วโลก จึงทำให้การโจมตีโดยเชื่อมโยงกับไฟล์ที่อยู่บน Google Drive อาจไม่ถูกตรวจจับ หรือป้องกัน

กลุ่ม APT29 หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Nobelium ได้ใช้กลยุทธ์ดังกล่าวในการโจมตีเมื่อเร็วๆนี้ โดยมุ่งเป้าไปที่ภารกิจทางการทูตของตะวันตก และสถานทูตต่างประเทศทั่วโลกระหว่างต้นเดือนพฤษภาคมถึงมิถุนายน 2565

นักวิเคราะห์จาก Unit 42 ผู้พบเห็นแนวโน้มการโจมตีในรูปแบบนี้ระบุว่า “สองแคมเปญล่าสุดของพวกเขาใช้ประโยชน์จากบริการจัดเก็บข้อมูลระบบคลาวด์ของ Google Drive เป็นครั้งแรก”

"การใช้งานที่แพร่หลายของบริการพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Drive บวกกับความไว้วางใจจากผู้ใช้งานหลายล้านคนทั่วโลก ทำให้ Google Drive ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์จากกลุ่ม APT"

ขณะที่ Mandiant ได้เปิดเผยในรายงานเดือนเมษายนที่มีการติดตามหนึ่งในแคมเปญฟิชชิ่งของกลุ่ม APT ว่า นี่ไม่ใช่ครั้งแรกที่กลุ่มแฮ็กเกอร์ APT29 ใช้บริการเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2) และการจัดเก็บข้อมูลต่างๆ

เช่นเดียวกับในแคมเปญที่พบโดย Unit 42 ทีมของ Mandiant ยังพบการโจมตีด้วยฟิชชิ่งของกลุ่มแฮ็กเกอร์กับพนักงานขององค์กรทางการทูตต่างๆ ทั่วโลก ซึ่งสอดคล้องกับผลประโยชน์เชิงกลยุทธ์ทางภูมิรัฐศาสตร์ของรัสเซียในปัจจุบัน และการกำหนดเป้าหมายของ APT29 ก่อนหน้านี้

เป้าหมายระดับสูงของ APT29

APT29 คือกลุ่มผู้โจมตีที่คาดว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ที่ดำเนินการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds ซึ่งนำไปสู่การเข้าถึงข้อมูลของหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่งในปี 2563

เมื่อปลายเดือนกรกฎาคม กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่าสำนักงานอัยการสหรัฐฯ 27 แห่งถูกละเมิดข้อมูลในระหว่างการถูกโจมตีของ SolarWinds

ในเดือนเมษายน พ.ศ. 2564 รัฐบาลสหรัฐฯ กล่าวโทษ SVR อย่างเป็นทางการว่ามีส่วนเกี่ยวข้องกับการเข้าถึงข้อมูลของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง

หลังจากการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds กลุ่ม APT29 ยังได้ทำการโจมตีเครือข่ายขององค์กรอื่นๆ โดยใช้มัลแวร์ที่ยังไม่เคยถูกตรวจพบมาก่อน เช่น GoldMax Linux backdoor และ TrailBlazer Malware

โดยกลุ่มยังมีการกำหนดเป้าหมายไปที่กลุ่มบริษัท I.T. supply chain จากรายงานที่ Microsoft เปิดเผยเมื่อเดือนตุลาคมว่ามีบริษัทที่โดนโจมตีสำเร็จอย่างน้อย 14 ราย หลังจากการพยายามโจมตีผู้ให้บริการในลักษณะ MSP และผู้ให้บริการระบบคลาวด์ประมาณ 140 รายตั้งแต่เดือนพฤษภาคม 2564

ที่มา: bleepingcomputer, unit42.paloaltonetworks

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.