Google Uncovered Significant Expansion in ShinyHunters Threat Activity with New Tactics

กลุ่มภัยคุกคาม ShinyHunters ได้ขยายปฏิบัติการรีดไถด้วยวิธีการโจมตีที่ซับซ้อนขึ้น โดยมุ่งเป้าไปที่ระบบคลาวด์ของหลายองค์กร อาชญากรไซเบอร์กลุ่มนี้ใช้การโทรหลอกลวง (voice phishing) และเว็บไซต์ปลอมเพื่อขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เมื่อเข้าถึงได้แล้ว พวกเขาจะดึงข้อมูลที่ละเอียดอ่อนจากแอปพลิเคชันซอฟต์แวร์บนคลาวด์และใช้ข้อมูลนี้เพื่อเรียกร้องค่าไถ่จากบริษัทเหยื่อ นักวิเคราะห์ของ Google Cloud ได้ระบุกลุ่มภัยคุกคามนี้ภายใต้รหัส UNC6661, UNC6671 และ UNC6240 โดยพบว่ามีการขยายเป้าหมายไปยังแพลตฟอร์มคลาวด์หลากหลายประเภทมากขึ้น และใช้กลยุทธ์ที่รุนแรงขึ้น เช่น การก่อกวนพนักงานและการโจมตีแบบปฏิเสธการให้บริการ (DDoS) เพื่อกดดันเหยื่อ

Severity: วิกฤต

System Impact:

• ระบบคลาวด์
• แอปพลิเคชันซอฟต์แวร์บนคลาวด์ (เช่น SharePoint, Salesforce, DocuSign, Slack)
• บัญชี Google Workspace
• เว็บไซต์ของบริษัท (สำหรับ DDoS)

Technical Attack Steps:

1. 1. ลงทะเบียนโดเมนปลอมที่แอบอ้างเป็นพอร์ทัลของบริษัทที่ถูกต้อง (เช่น companynamesso.com, companynameinternal.com)
2. 2. ใช้การโทรหลอกลวง (voice phishing) โดยอ้างว่าเป็นเจ้าหน้าที่ IT เพื่อโทรหาพนักงานและชักจูงให้เข้าสู่เว็บไซต์ปลอม
3. 3. หลอกให้พนักงานป้อนข้อมูล Single Sign-On (SSO) และรหัส Multi-Factor Authentication (MFA) บนเว็บไซต์ปลอม (credential harvesting)
4. 4. ได้รับสิทธิ์การเข้าถึงบัญชีของพนักงาน
5. 5. ลงทะเบียนอุปกรณ์ยืนยันตัวตนของตนเองเพื่อคงการเข้าถึงอย่างต่อเนื่อง
6. 6. เคลื่อนย้ายในสภาพแวดล้อมคลาวด์ขององค์กรเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากแพลตฟอร์มต่างๆ เช่น SharePoint, Salesforce, DocuSign และ Slack โดยค้นหาเอกสารที่มีคำว่า “confidential”, “internal”, “proposal” และ “vpn”
7. 7. ในบางกรณี ใช้เครื่องมืออย่าง ToogleBox Recall ภายในบัญชี Google Workspace เพื่อลบอีเมลแจ้งเตือนด้านความปลอดภัย
8. 8. ส่งอีเมลเรียกร้องค่าไถ่เป็น Bitcoin พร้อมแนบตัวอย่างข้อมูลที่ถูกขโมยมาเป็นหลักฐาน
9. 9. เปิดการโจมตีแบบปฏิเสธการให้บริการ (DDoS) กับเว็บไซต์ของบริษัทเพื่อเพิ่มแรงกดดัน

Recommendations:

Short Term:

• แจ้งเตือนพนักงานทันทีเกี่ยวกับภัยคุกคามจากการโทรหลอกลวง (voice phishing) และเว็บไซต์เข้าสู่ระบบปลอม
• ทบทวนและบังคับใช้นโยบายการเข้าถึงที่เข้มงวดขึ้น โดยเฉพาะสำหรับแอปพลิเคชันบนคลาวด์
• ตรวจสอบการลงทะเบียนอุปกรณ์ที่ไม่ได้รับอนุญาตและกิจกรรมที่ผิดปกติในสภาพแวดล้อมคลาวด์อย่างใกล้ชิด

Long Term:

• เปลี่ยนไปใช้มาตรการยืนยันตัวตนที่ทนทานต่อการฟิชชิ่ง เช่น คีย์ความปลอดภัย FIDO2 หรือ Passkeys เพื่อป้องกันการหลีกเลี่ยงด้วยวิธี social engineering
• จัดการอบรมการรับรู้ด้านความปลอดภัยเป็นประจำ โดยเน้นการจดจำการโทรหลอกลวงและการพยายามขโมยข้อมูลประจำตัว
• เสริมสร้างความปลอดภัยของคลาวด์ด้วยการตรวจสอบอย่างต่อเนื่อง การป้องกันการสูญหายของข้อมูล (DLP) และแผนรับมือเหตุการณ์ที่แข็งแกร่ง
• ตรวจสอบและรักษาความปลอดภัยของการกำหนดค่าแอปพลิเคชันคลาวด์อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลที่ละเอียดอ่อนได้รับการปกป้องอย่างเพียงพอ

Source: https://cybersecuritynews.com/google-uncovered-significant-expansion-in-shinyhunters/