แจ้งเตือนกลุ่มแฮกเกอร์ Lebanese Cedar พุ่งเป้าโจมตี Oracle 10g และ Jira/Confluence เพื่อขโมยข้อมูล มีเหยื่อในไทย

บริษัทด้านความปลอดภัยสัญชาติอิสราเอล ClearSky ออกรายงานวิเคราะห์พฤติกรรมของกลุ่มแฮกเกอร์สัญชาติเลบานอนภายใต้ชื่อ Lebanense Cedar ซึ่งพุ่งเป้าโจมตีระบบทั่วโลกมาตั้งแต่ช่วงปี 2012 เพื่อการจารกรรมข้อมูล เป้าหมายส่วนใหญ่อยู่ในตะวันออกกลางและมีบางส่วนอยู่ในไทย ภาคส่วนธุรกิจที่ตกเป็นเป้าหมายหลักนั้นได้แก่กลุ่มโทรคมนาคมและกลุ่มบริษัทไอทีฯ

พฤติกรรมการโจมตีของกลุ่ม Lebanese Cedar จะมีพุ่งเป้าไปที่ระบบที่มีช่องโหว่อยู่แล้วเพื่อทำการโจมตี จากการรวบรวมข้อมูลโดย ClearSky นั้น Lebanese Cedar จะพุ่งเป้าไปที่ระบบ 3 ลักษณะได้แก่ ระบบ Atlassian Confluence Server โดยจะโจมตีช่องโหว่รหัส CVE-2019-3396, ระบบ Atlassian Jira Server/Data Center โดยจะโจมตีช่องโหว่รหัส CVE-2019-11581 และระบบ Oracle 10g 11.1.2.0 โดยจะโจมตีช่องโหว่รหัส CVE-2012-3152

จุดเด่นของกลุ่ม Lebanese Cedar นอกเหนือจากการพุ่งเป้าโจมตีช่องโหว่ซึ่งไม่ค่อยเป็นที่สนใจแล้ว กลุ่มฯ ยังมีการพัฒนาแบ็คดอร์และเครื่องมือในการฝังตัวในระบบของเหยื่อเอง อาทิ web shell ที่พัฒนาโดยภาษา JSP และมัลแวร์ในกลุ่ม Trojan

รายงานของ ClearSky ฉบับเต็มมีรายละเอียดการโจมตีและ IOC สำหรับการระบุหาการมีอยู่ของภัยคุกคามไว้แล้ว โดยสามารถดูข้อมูลเพิ่มเติมได้ที่ : clearskysec

ที่มา: bleepingcomputer | zdnet