Cisco Talos รายงานว่ากลุ่ม APT ที่คาดว่าเชื่อมโยงกับจีน (UAT-8837) ได้กำหนดเป้าหมายโครงสร้างพื้นฐานสำคัญในอเมริกาเหนือตั้งแต่ปีที่แล้ว โดยใช้ช่องโหว่ Zero-Day ของ Sitecore (CVE-2025-53690, CVSS score: 9.0) เพื่อเข้าถึงระบบเบื้องต้น จากนั้นจึงใช้เครื่องมือโอเพนซอร์สเพื่อเก็บข้อมูล ตรวจสอบ Active Directory และสร้างช่องทางการเข้าถึงที่หลากหลาย นอกจากนี้ยังพบว่ามีการปิดใช้งานคุณสมบัติ RestrictedAdmin ของ RDP และมีการขโมยไฟล์ DLL ที่เกี่ยวข้องกับผลิตภัณฑ์ของเหยื่อ ซึ่งอาจนำไปสู่การโจมตี Supply Chain ในอนาคต การโจมตีนี้มีกลยุทธ์และเครื่องมือที่คล้ายคลึงกับการโจมตีที่ Mandiant เคยรายงานไปเมื่อเดือนกันยายน 2025
Severity: วิกฤต
System Impact:
- Sitecore (ช่องโหว่ CVE-2025-53690)
- Active Directory (AD)
- Remote Desktop Protocol (RDP)
- โครงสร้างพื้นฐานสำคัญในอเมริกาเหนือ
- สภาพแวดล้อมเทคโนโลยีการปฏิบัติงาน (OT)
- ไลบรารี DLL ของผลิตภัณฑ์เหยื่อ (ความเสี่ยงต่อการประนีประนอม Supply Chain)
Technical Attack Steps:
- เข้าถึงระบบเบื้องต้นผ่านการใช้ประโยชน์จากช่องโหว่ Zero-Day ของ Sitecore (CVE-2025-53690) หรือการใช้ข้อมูลประจำตัวที่ถูกบุกรุก
- ดำเนินการสำรวจเบื้องต้นหลังจากเข้าถึงเครือข่ายได้สำเร็จ
- ปิดใช้งานคุณสมบัติ RestrictedAdmin สำหรับ Remote Desktop Protocol (RDP) ซึ่งเป็นคุณสมบัติด้านความปลอดภัย
- เปิด ‘cmd.exe’ เพื่อดำเนินการด้วยตนเองบนโฮสต์ที่ติดไวรัส
- ดาวน์โหลดและปรับใช้เครื่องมือโอเพนซอร์สหลายชนิด เช่น GoTokenTheft, EarthWorm, DWAgent, SharpHound, Impacket, GoExec, Rubeus และ Certipy
- เก็บเกี่ยวข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลประจำตัว การกำหนดค่าความปลอดภัย และข้อมูลโดเมน/Active Directory
- ขโมยไลบรารี DLL ที่เกี่ยวข้องกับผลิตภัณฑ์ของเหยื่อ ซึ่งบ่งชี้ถึงความเป็นไปได้ของการประนีประนอม Supply Chain
- สร้างช่องทางการเข้าถึงที่หลากหลายเพื่อคงการเข้าถึงระบบของเหยื่อ
Recommendations:
Short Term:
- แก้ไขช่องโหว่ Sitecore CVE-2025-53690 ทันที
- ตรวจสอบและเสริมความแข็งแกร่งการกำหนดค่า Remote Desktop Protocol (RDP) โดยเปิดใช้งาน RestrictedAdmin ตามความเหมาะสม
- เฝ้าระวังเครือข่ายเพื่อตรวจจับการมีอยู่และการใช้งานเครื่องมือโอเพนซอร์สที่ระบุ (GoTokenTheft, EarthWorm, DWAgent, SharpHound, Impacket, GoExec, Rubeus, Certipy)
- ปรับปรุงการจัดการข้อมูลประจำตัวและหมุนเวียนข้อมูลประจำตัวที่ถูกบุกรุก
- แยกส่วนระบบที่ถูกบุกรุกเพื่อป้องกันการแพร่กระจายในแนวนอน
Long Term:
- นำหลักการเชื่อมต่อที่ปลอดภัยมาใช้และบังคับใช้สำหรับสภาพแวดล้อมเทคโนโลยีการปฏิบัติงาน (OT) รวมถึงการจำกัดการเปิดเผย การรวมศูนย์และการกำหนดมาตรฐานการเชื่อมต่อเครือข่าย การใช้โปรโตคอลที่ปลอดภัย และการเสริมความแข็งแกร่งของขอบเขต OT
- ตรวจสอบและบันทึกการเชื่อมต่อทั้งหมดในระบบ OT อย่างต่อเนื่อง
- หลีกเลี่ยงการใช้สินทรัพย์ที่ล้าสมัยซึ่งเพิ่มความเสี่ยงด้านความปลอดภัย
- ปรับปรุงความปลอดภัยของ Active Directory ด้วยการยืนยันตัวตนที่แข็งแกร่ง การตรวจสอบอย่างสม่ำเสมอ และหลักการ Least Privilege
- พัฒนาและฝึกซ้อมแผนรับมือเหตุการณ์สำหรับ APT และการโจมตี Zero-Day
- ใช้มาตรการรักษาความปลอดภัย Supply Chain ที่แข็งแกร่งเพื่อตรวจจับและป้องกันไลบรารีที่ถูกฝังมัลแวร์
- ติดตามข่าวสารภัยคุกคามและคำเตือนจากหน่วยงานด้านความปลอดภัยทางไซเบอร์ (เช่น CISA, Cisco Talos)
Source: https://thehackernews.com/2026/01/china-linked-apt-exploits-sitecore-zero.html
Share this content: