Cloud file-sharing sites targeted for corporate data theft attacks

นักแสดงภัยคุกคามชื่อ Zestix กำลังเสนอขายข้อมูลองค์กรที่ถูกขโมยมาจากบริษัทหลายสิบแห่ง ซึ่งคาดว่าเป็นการเข้าถึงระบบ ShareFile, Nextcloud และ OwnCloud ขององค์กรเหล่านั้น การโจมตีเริ่มต้นจากการที่มัลแวร์ขโมยข้อมูล (info-stealing malware) เช่น RedLine, Lumma และ Vidar ติดตั้งอยู่บนอุปกรณ์ของพนักงาน ซึ่งมัลแวร์เหล่านี้มักจะถูกกระจายผ่านแคมเปญโฆษณาที่เป็นอันตราย (malvertising) หรือการโจมตีแบบ ClickFix ข้อมูลประจำตัวที่ถูกขโมยมาจะถูกใช้เพื่อเข้าถึงแพลตฟอร์มการแชร์ไฟล์บนคลาวด์ที่ขาดการป้องกันด้วย Multi-Factor Authentication (MFA) ทำให้ Zestix สามารถขโมยข้อมูลสำคัญจำนวนมากเพื่อนำไปขายต่อในตลาดใต้ดินได้ Hudson Rock บริษัทข่าวกรองอาชญากรรมไซเบอร์ได้ยืนยันจุดที่อาจถูกโจมตีได้ 15 กรณี และยังพบเหยื่ออีกหลายพันรายที่อาจมีความเสี่ยงจากการไม่ปฏิบัติตามแนวทางการรักษาความปลอดภัยที่ดี

Severity: สูง

System Impact:

• ShareFile instances
• Nextcloud instances
• OwnCloud instances
• Employee devices (Windows, Macs)
• Web browsers (credentials, credit cards, personal info)
• Messaging apps
• Cryptocurrency wallets
• Corporate cloud platforms
• ERP systems

Technical Attack Steps:

1. 1. การแพร่กระจายมัลแวร์: มัลแวร์ขโมยข้อมูล (เช่น RedLine, Lumma, Vidar) ถูกแพร่กระจายไปยังอุปกรณ์ของพนักงานผ่านแคมเปญโฆษณาที่เป็นอันตราย (malvertising) หรือการโจมตีแบบ ClickFix.
2. 2. การขโมยข้อมูลประจำตัว: มัลแวร์ที่ติดตั้งจะขโมยข้อมูลประจำตัวที่เก็บไว้ในเว็บเบราว์เซอร์ แอปพลิเคชันส่งข้อความ และกระเป๋าเงินดิจิทัล รวมถึงข้อมูลส่วนบุคคลและบัตรเครดิต.
3. 3. การเข้าถึงแพลตฟอร์มคลาวด์: นักแสดงภัยคุกคาม (Zestix) ใช้ข้อมูลประจำตัวที่ถูกขโมยมาเพื่อเข้าสู่ระบบแพลตฟอร์มการแชร์ไฟล์บนคลาวด์ขององค์กร (เช่น ShareFile, Nextcloud, OwnCloud) โดยเฉพาะอย่างยิ่งในกรณีที่ไม่มีการป้องกัน Multi-Factor Authentication (MFA).
4. 4. การขโมยข้อมูลองค์กร: หลังจากเข้าถึงได้แล้ว Zestix จะขโมยข้อมูลองค์กรจำนวนมาก ซึ่งรวมถึงคู่มือการบำรุงรักษาเครื่องบินและข้อมูลฝูงบิน ไฟล์ป้องกันและวิศวกรรม ฐานข้อมูลลูกค้า บันทึกสุขภาพ แผนผังการขนส่งมวลชน แผนที่ LiDAR ของสาธารณูปโภค การกำหนดค่าเครือข่าย ISP ข้อมูลโครงการดาวเทียม ซอร์สโค้ด ERP สัญญาของรัฐบาล และเอกสารทางกฎหมาย.
5. 5. การนำข้อมูลไปขาย: Zestix ดำเนินการในฐานะนายหน้าเข้าถึงเริ่มต้น (IAB) โดยเสนอขายข้อมูลที่ถูกขโมยมาในฟอรัมใต้ดิน.

Recommendations:

Short Term:

• เปลี่ยนข้อมูลประจำตัวทั้งหมดที่อาจถูกขโมยไปทันที โดยเฉพาะอย่างยิ่งรหัสผ่านสำหรับบริการคลาวด์และระบบองค์กร.
• ตรวจสอบอุปกรณ์ของพนักงานเพื่อหามัลแวร์ขโมยข้อมูล (infostealers) และกำจัดออก.
• เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบริการคลาวด์และระบบทั้งหมดที่ยังไม่ได้ใช้งานทันที.

Long Term:

• กำหนดนโยบายการเปลี่ยนรหัสผ่านเป็นประจำและเข้มงวด.
• ให้การอบรมด้านความตระหนักรู้ด้านความปลอดภัยแก่พนักงานอย่างต่อเนื่อง เพื่อให้ระมัดระวังต่อการโจมตีแบบฟิชชิ่ง แคมเปญโฆษณาที่เป็นอันตราย (malvertising) และการโจมตีประเภท ClickFix.
• ปรับใช้โซลูชันการรักษาความปลอดภัยปลายทาง (Endpoint Security) ที่แข็งแกร่งเพื่อตรวจจับและป้องกันการติดตั้งมัลแวร์ขโมยข้อมูล.
• ตรวจสอบบันทึกการเข้าถึงและกิจกรรมในแพลตฟอร์มคลาวด์อย่างสม่ำเสมอ เพื่อตรวจหาสัญญาณของการเข้าถึงที่ไม่ได้รับอนุญาต.
• ประเมินและเสริมสร้างมาตรการรักษาความปลอดภัยสำหรับบริการคลาวด์ทั้งหมด รวมถึงการตรวจสอบสิทธิ์และอนุญาตที่แข็งแกร่ง.

Source: https://www.bleepingcomputer.com/news/security/cloud-file-sharing-sites-targeted-for-corporate-data-theft-attacks/