SolarWinds Hackers Accessed DHS Chief’s Email

พบว่าแฮ็กกอร์ที่อยู่เบื้องหลังการโจมตี SolarWinds เข้าถึงอีเมลของระดับหัวหน้าในกระทรวง DHS (Department of Homeland Security)

รายงานระบุว่ากลุ่มแฮ็กเกอร์ดังกล่าวสามารถเข้าถึงบัญชีอีเมลของเจ้าหน้าที่ในกระทรวงหลายคน รวมถึง Chad Wolf ที่มีตำแหน่งเป็นอดีตผู้รักษาการรัฐมนตรีว่าการกระทรวง ส่งผลให้ Wolf และเจ้าหน้าที่ของกระทรวงอีกหลายคนต้องเปลี่ยนโทรศัพท์มือถือใหม่ และเปลี่ยนข้อมูลการสื่อสารใหม่ทั้งหมดหลังจากพบเหตุการณ์ การรั่วไหลข้อมูลในครั้งนี้ถูกพบในช่วงเดือนธันวาคมที่ผ่านมา ซึ่งเป็นช่วงเวลาเดียวกับที่พบว่ามีกลุ่มแฮ็กเกอร์ชาวรัสเซียโจมตี SolarWinds Orion การโจมตีในครั้งนั้นส่งผลกระทบกับหลายกระทรวงในสหรัฐอเมริกา รวมถึงบริษัทยักษ์ใหญ่อีกหลายแห่ง อย่างไรก็ตามรัสเซียได้ออกมาปฏิเสธถึงการอยู่เบื้องหลังเหตุการณ์ดังกล่าวแล้ว

ที่มา: darkreading

อัปเดตสถานการณ์ SolarWinds: เจอมัลแวร์ใหม่เพิ่มอีก 3, SUPERNOVA อาจเกี่ยวกับแฮกเกอร์จีน

ไมโครซอฟต์ประกาศการตรวจพบมัลแวร์ใหม่ 3 ชนิดในสภาพแวดล้อมที่ปรากฎการโจมตีที่เกี่ยวข้องกับกลุ่ม NOBELIUM ได้แก่ GoldMax, GoldFinder และ Sibot มัลแวร์ใหม่ทั้ง 3 ชนิดถูกใช้ในช่วงเดือนสิงหาคมถึงเดือนกันยายน 2020 และอาจถูกติดตั้งตั้งแต่เดือนมิถุนายน 2020 อ่านบทวิเคราะห์เพิ่มเติมได้จากหัวข้อการวิเคราะห์มัลแวร์ (I-SECURE)
ทีม Counter Threat Unit ของ SecureWorks ออกมาเปิดเผยถึงสมมติฐานและความเป็นไปได้ที่การโจมตีระบบ SolarWinds Orion และเกี่ยวข้องกับการใช้งานมัลแวร์แบบ Web shell ชื่อ SUPERNOVA นั้นอาจมีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์ชื่อ SPIRAL ซึ่งเป็นกลุ่มแฮกเกอร์จากประเทศจีน
บริษัท Mimecast ซึ่งตกเป็นเหยื่อของการโจมตีในลักษณะของ Supply chain attack ผ่านแพลตฟอร์ม SolarWinds Orion ออกมาเปิดเผยถึงความเสียหายว่าผู้โจมตีมีการเข้าถึงใบรับรองที่ Mimecast สร้างขึ้น, การเชื่อมต่อที่เกี่ยวข้องกับผู้ใช้งานบางรายการ รวมไปถึงดาวโหลดซอร์สโค้ดของซอฟต์แวร์ออกไป Mimecast ไม่พบการแก้ไขซอร์สโค้ดที่มีอยู่และเชื่อว่าซอร์สโค้ดที่ผู้โจมตีได้ไปนั้นไม่สมบูรณ์ และไม่สามารถเอาใช้ในการสร้างเซอร์วิสที่เหมือนกับ Mimecast ได้

ดูเพิ่มเติม : i-secure

อัปเดตสถานการณ์ SolarWinds: การแถลงการณ์กับวุฒิสภาและคณะกรรมการข่าวกรอง

ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้

1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ

องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว

ที่มา: bleepingcomputer

 

2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด

ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github

ที่มา: microsoft

 

3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister

 

3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn

Microsoft ออกรายงานการตรวจสอบภายในกรณี SolarWinds ฉบับสุดท้าย

ไมโครซอฟต์ประกาศการสิ้นสุดการตรวจสอบภายในกรณีการโจมตี SolarWinds และซอฟต์แวร์ SolarWinds Orion เพื่อแพร่กระจายมัลแวร์และบุกรุกเข้าองค์กรต่าง ๆ เมื่อกลางสัปดาห์ที่ผ่านมา พร้อมกับเผยแพร่ Final update หรือการอัปเดตฉบับสุดท้ายที่เป็นผลลัพธ์จากการตรวจสอบครั้งนี้

ทีมตอบสนองการโจมตีและภัยคุกคามจากไอ-ซีเคียว ขอสรุปสาระสำคัญในรายงานของไมโครซอฟต์ไว้ดังนี้

ไมโครซอฟต์พบพฤติกรรมผิดปกติตั้งแต่เดือนธันวาคม ช่วงเดียวกับที่ FireEye ออกมาประกาศการตรวจพบการโจมตี การตรวจสอบไม่พบหลักฐานซึ่งบ่งชี้ว่าระบบของไมโครซอฟต์ที่ได้รับผลกระทบจากการโจมตีนั้นถูกนำไปใช้ในการโจมตีระบบอื่น
ไมโครซอฟต์พบว่าผู้โจมตีมีการเข้าถึงและอ่านไฟล์ที่อยู่ในโครงการพัฒนาซอฟต์แวร์ภายใน และได้ดำเนินการกับบัญชีที่ถูกใช้เพื่อเข้าถึงซอร์สโค้ดดังกล่าวทันที
แม้จะมีการเข้าถึงโครงการพัฒนาซอฟต์แวร์ แต่โครงการพัฒนาซอฟต์แวร์ที่ได้รับผลกระทบนั้นถือเป็นแค่โครงการบางส่วนของผลิตภัณฑ์หรือบริการที่ไมโครซอฟต์ให้บริการ ไม่มีลักษณะการเข้าถึงโครงการพัฒนาซอฟต์แวร์เป็นจำนวนมาก และลักษณะการเข้าถึงโครงการซอฟต์แวร์ที่ได้รับผลกระทบนั้นก็เกิดขึ้นในลักษณะที่จำกัด เช่น เป็นผลลัพธ์จากการเสิร์ชคีย์เวิร์ดที่เกี่ยวข้อง secret ในซอร์สโค้ดแล้วเข้าดูเพียงบางไฟล์
หลังจากเข้าถึงแล้ว ผู้โจมตีมีการดาวน์โหลดซอร์สโค้ดบางส่วนออกไป ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบนั้นได้แก่โครงการบางส่วนของ Azure, Intune และ Exchange ซึ่งล้วนแล้วแต่เป็นส่วนน้อยของซอร์สโค้ดทั้งหมด
ด้วยมาตรการรักษาความปลอดภัยปัจจุบัน ผู้โจมตีไม่สามารถที่จะเข้าถึงข้อมูลสำหรับการยืนยันตัวตนของบัญชีที่มีสิทธิ์สูงในระบบ หรือมีการใช้เทคนิคที่เกี่ยวข้องกับ SAML กับโดเมนของไมโครซอฟต์ได้

ที่มา: msrc-blog

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

CISA ออก Alert ใหม่กรณี SolarWinds ให้รายละเอียดการตรวจจับการโจมตีใน Microsoft Cloud Environment

CISA ออก Alert ใหม่ในกรณี SolarWinds รหัส AA21-008A โดยในรอบนี้นั้น รายละเอียดของการแจ้งเตือนพุ่งเป้าไปที่การอธิบาย TTP ใหม่ของผู้โจมตีในระบบคลาวด์ของ Microsoft ที่ถูกระบุและให้รายละเอียดไปแล้วจากทาง Microsoft เอง และแนวทางในการตรวจจับ ป้องกันและตอบสนอง

ในส่วนของข้อมูลใหม่เกี่ยวกับ TTP ทีม Intelligent Response ขอสรุปประเด็นที่น่าสนใจเพิ่มเติมตามรายการดังนี้

TTP ที่น่าสนใจหลังที่ผู้โจมตีประสบความสำเร็จในการเข้าถึงระบบได้แล้ว (Post-compromise) ประกอบด้วย 3 องค์ประกอบหลักด้วยกัน คือการโจมตีระบบสำหรับยืนยันตัวตนแบบ Federation service, การสร้างข้อมูลสำหรับยืนยันตัวตนใหม่เพื่อใช้ในการทำ Lateral movement และการฝังตัวในระบบคลาวด์ผ่านการเข้าถึง API ด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้จากขั้นตอนก่อนหน้า

กระบวนการ Privilege escalation ของผู้โจมตีจะมีการใช้ฟีเจอร์ WMI กับเซอร์วิส Microsoft Active Directory Federated Services เพื่อสร้างโทเคนสำหรับการยืนยันตัวตนและทำการรับรอง โทเคนสำหรับการยืนยันตัวตนดังกล่าวจะถูกใช้เพื่อเข้าถึงระบบบนคลาวด์ของไมโครซอฟต์ที่เป้าหมายใช้งาน

CISA ยังพบพฤติกรรมของผู้โจมตีที่ไม่ได้ทำการเข้าถึงระบบเป้าหมายผ่านทาง SUNBURST แต่มีการใช้เทคนิคในการคาดเดารหัสทั้งแบบ Bruteforcing, แบบ Spraying และการโจมตีระบบสำหรับจัดการระบบที่ไม่ปลอดภัยด้วย

ในส่วนของคำแนะนำเพื่อตรวจจับและระบุหาพฤติกรรมตามที่ CISA ได้แจ้งเตือนนั้น เราขอสรุปประเด็นสำคัญตามคำแนะนำให้ดังนี้

การระบุหาความผิดปกติในระบบ Microsoft 365 สามารถใช้เครื่องมือซึ่ง Sparrow (https://github.

JetBrains denies being involved in SolarWinds hack

JetBrains แถลงปฏิเสธการมีส่วนเกี่ยวกับเหตุการณ์ Supply-chain attack ของ SolarWinds

บริษัทด้านการพัฒนาซอฟต์แวร์ชื่อดัง JetBrains ได้มีการแถลงออกมาวันนี้เพื่อปฏิเสธรายงานและข้อมูลจาก New York Times และ Wall Street Journal ซึ่งอ้างว่า JetBrains กำลังถูกสอบสวนภายใต้ข้อกล่าวหาว่า JetBrains อาจมีส่วนเกี่ยวข้องกับกรณีการโจมตีระบบของ SolarWinds

รายงานของสองสำนักข่าวอ้างว่าข้อมูลดังกล่าวมีที่มาจากบุคคลภายในของรัฐบาลสหรัฐฯ ซึ่งระบุว่าทางการสหรัฐฯ กำลังตรวจสอบความเป็นไปได้ว่าแฮกเกอร์ซึ่งโจมตีระบบ SolarWinds อาจทำการโจมตีระบบของ JetBrains ในลักษณะเดียวกัน โดยผลิตภัณฑ์ของ JetBrains ซึ่งอ้างว่าได้รับผลกระทบนั้นคือ TeamCity ซึ่งเป็นผลิตภัณฑ์กลุ่มแพลตฟอร์มสำหรับ CI/CD

อ้างอิงจากแถลงการณ์ของ JetBrains "Maxi Shafirov" CEO ของ JetBrains ระบุว่าทางบริษัทไม่ทราบเรื่องของการตรวจสอบดังกล่าวมาก่อน และยังไม่ได้รับการติดต่อใดๆ และมีการระบุอย่างชัดเจนว่า JetBrians ไม่ได้มีส่วนเกี่ยวข้องในลักษณะใดๆ กับการโจมตีในครั้งนี้

ที่มา: blog.

Class Action Lawsuit Filed Against SolarWinds Over Hack

กลุ่มผู้ลงทุนใน SolarWinds ยื่นฟ้องดำเนินคดีกับ SolarWinds เชื่อทางบริษัทรับรู้ความเสี่ยงแต่ไม่ดำเนินการอย่างเหมาะสม

กลุ่มผู้ลงทุนในหุ้นของ SolarWinds ในช่วงวันที่ 24 กุมภาพันธ์ ถึง 15 ธันวาคม 2020 นำโดย Timothy Bremer ได้มีการยื่นฟ้องเพื่อดำเนินคดีแบบกลุ่มกับ SolarWinds จากกรณีการโจมตีระบบซึ่งส่งผลให้หุ้นของ SolarWinds นั้นร่วงจาก 24 ดอลลาร์สหรัฐฯ ลงไปอยู่ที่ 18 ดอลลาร์สหรัฐฯ หลังจากที่รายละเอียดการโจมตีปรากฎขึ้นมา

คำฟ้องมีการอ้างเหตุการณ์ตามที่ไอ-ซีเคียวเคยรายงานออกไปตั้งแต่การโจมตีในลักษณะของ Supply-chain attack, กรณีการตั้งพาสเวิร์ดที่คาดเดาง่ายของเซิร์ฟเวอร์อัปเดตของ SolarWinds และผลกระทบที่เกิดขึ้น คำฟ้องยังมีการอ้างถึงรายงานซึ่งระบุว่าความเสี่ยงด้านความปลอดภัยและช่องโหว่นั้นได้เคยถูกรายงานไปให้แก่ SolarWinds แล้ว แต่ SolarWinds เพิกเฉยที่จะดำเนินการอย่างเหมาะสม

ผู้ลงทุนใน SolarWinds สามารถเข้าร่วมการดำเนินคดีแบบกลุ่มได้จนวันที่ 5 มีนาคม 2021 นี้

ที่มา: securityweek

SolarWinds hackers had access to over 3,000 US DOJ email accounts

กระทรวงยุติธรรมสหรัฐฯ เผย แฮกเกอร์ซึ่งโจมตี SolarWinds เข้าถึงเซิร์ฟเวอร์อีเมล O365 เพื่อลักลอบอ่านอีเมล

กระทรวงยุติธรรมสหรัฐฯ ออกมาแถลงการณ์วันนี้ว่าแฮกเกอร์ซึ่งอยู่เบื้องหลังการโจมตี SolarWinds ได้พุ่งเป้าโจมตีระบบของกระทรวงฯ และสามารถเข้าถึงอีเมลของบุคลากรภายในกระทรวงฯ เป็นจำนวน 3% ของจำนวนบุคลากรทั้งหมดได้

กระทรวงยุติธรรมสหรัฐฯ มีบุคลากรอยู่ทั้งสิ้น 100,000 ถึง 115,000 คน โดยหากนับจำนวน 3% ที่ได้รับผลกระทบนั้น ตัวเลขของผู้ที่ได้รับผลกระทบจะอยู่ที่ประมาณ 3,000 ถึง 3,450 คน โฆษกของกระทรวงฯ แถลงว่ายังไม่มีข้อบ่งชี้ซึ่งแสดงให้เห็นว่าระบบซี่งมีความละเอียดอ่อนและเป็นความลับนั้นได้รับผลกระทบจากการโจมตี

ที่มา: zdnet.

กลุ่มรวมยอดมนุษย์ของรัฐบาลสหรัฐฯ Cyber Unified Coordination Group ยืนยันว่าอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลังการโจมตี SolarWinds เชื่อเป้าหมายคือการรวบรวมข่าวกรอง

กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.