รายงานล่าสุดเปิดเผยว่ากลุ่มอาชญากรไซเบอร์กำลังใช้มัลแวร์ประเภท Infostealers ในการขโมยข้อมูลรับรองของผู้ใช้งาน เพื่อเข้ายึดโครงสร้างพื้นฐานทางธุรกิจที่ถูกต้องตามกฎหมาย เช่น แพลตฟอร์ม SaaS, บริการอีเมล, ระบบจัดเก็บข้อมูลบนคลาวด์ และ VPNs การกระทำนี้ช่วยให้ผู้โจมตีสามารถซ่อนตัวตน, หลีกเลี่ยงการตรวจจับ และใช้โครงสร้างพื้นฐานเหล่านี้ในการโจมตีเพิ่มเติม รวมถึงการกระจายมัลแวร์, การเข้าถึงเครือข่ายภายใน และการขายสิทธิ์การเข้าถึงให้แก่กลุ่ม Ransomware-as-a-Service (RaaS) ทำให้ยากต่อการป้องกันและตรวจจับกิจกรรมที่เป็นอันตราย เนื่องจากกิจกรรมเหล่านี้กลมกลืนไปกับการทำงานปกติขององค์กร
Severity: สูง
System Impact:
- SaaS applications
- Email services
- Social media platforms
- File-sharing services
- Cloud storage platforms
- VPNs
- Remote Desktop Protocol (RDP)
- Web proxies
- Corporate networks
- Identity and Access Management (IAM) systems
Technical Attack Steps:
- **Initial Compromise:** ผู้โจมตีใช้เทคนิคต่าง ๆ เช่น ฟิชชิ่ง, การดาวน์โหลดอัตโนมัติ (drive-by downloads) หรือการใช้ข้อมูลรับรองที่ถูกขโมยมาเพื่อติดตั้ง Infostealer บนอุปกรณ์เป้าหมาย
- **Data Exfiltration:** Infostealer จะขโมยข้อมูลสำคัญ เช่น ข้อมูลรับรองการเข้าสู่ระบบ, คุกกี้เซสชัน, ข้อมูลบัตรเครดิต และข้อมูลส่วนบุคคลอื่น ๆ จากเบราว์เซอร์และแอปพลิเคชัน
- **Account Hijacking:** ข้อมูลรับรองที่ถูกขโมยจะถูกนำไปใช้เพื่อเข้ายึดบัญชีผู้ใช้งานบนโครงสร้างพื้นฐานทางธุรกิจที่ถูกต้องตามกฎหมาย เช่น บัญชีอีเมล, SaaS, ระบบคลาวด์, VPNs หรือ RDP
- **Infrastructure Abuse:** บัญชีหรือโครงสร้างพื้นฐานที่ถูกยึดจะถูกใช้เพื่อวัตถุประสงค์ที่เป็นอันตราย เช่น: กระจายมัลแวร์ (รวมถึง ransomware) ผ่านช่องทางที่น่าเชื่อถือ, ส่งอีเมลฟิชชิ่งจากบัญชีที่ถูกยึด, ใช้เป็นช่องทาง Command and Control (C2) เพื่อควบคุมมัลแวร์, หรือขายสิทธิ์การเข้าถึงให้กับ Initial Access Brokers (IABs) หรือกลุ่ม RaaS เพื่อการโจมตีที่ลึกขึ้น
- **Evasion and Persistence:** การใช้โครงสร้างพื้นฐานที่ถูกต้องตามกฎหมายทำให้กิจกรรมที่เป็นอันตรายตรวจจับได้ยากขึ้น และช่วยให้ผู้โจมตีสามารถคงอยู่ภายในเครือข่ายได้นานขึ้น
Recommendations:
Short Term:
- เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีที่มีสิทธิ์เข้าถึงโครงสร้างพื้นฐานทางธุรกิจ
- กำหนดนโยบายรหัสผ่านที่รัดกุมและบังคับให้มีการเปลี่ยนแปลงรหัสผ่านเป็นประจำ
- อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันทั้งหมดให้เป็นเวอร์ชันล่าสุดและแพตช์ช่องโหว่โดยเร็วที่สุด
- ฝึกอบรมพนักงานอย่างสม่ำเสมอเกี่ยวกับภัยคุกคามฟิชชิ่งและวิธีการตรวจจับอีเมลหรือลิงก์ที่น่าสงสัย
- ตรวจสอบบันทึก (logs) กิจกรรมการเข้าสู่ระบบและกิจกรรมบัญชีบนแพลตฟอร์ม SaaS และคลาวด์อย่างใกล้ชิดเพื่อหากิจกรรมที่ผิดปกติ
- ใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อภัยคุกคามบนอุปกรณ์ปลายทาง
Long Term:
- นำแนวคิด Zero Trust Architecture มาใช้ ซึ่งกำหนดให้มีการตรวจสอบยืนยันทุกการเข้าถึง ไม่ว่าจะเป็นภายในหรือภายนอกเครือข่าย
- ลงทุนในโซลูชัน Identity and Access Management (IAM) ที่แข็งแกร่งเพื่อจัดการสิทธิ์การเข้าถึงอย่างมีประสิทธิภาพ
- ใช้การแบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตีหากมีการบุกรุก
- ดำเนินการประเมินความเสี่ยงและทดสอบเจาะระบบ (penetration testing) เป็นประจำเพื่อระบุและแก้ไขช่องโหว่
- พัฒนากลยุทธ์การป้องกันข้อมูล (data loss prevention – DLP) เพื่อป้องกันการรั่วไหลของข้อมูลที่ละเอียดอ่อน
- เข้าร่วมแพลตฟอร์มการแบ่งปันข้อมูลภัยคุกคาม (Threat Intelligence Sharing) เพื่อรับทราบข้อมูลเกี่ยวกับภัยคุกคามใหม่ๆ
Source: https://cybersecuritynews.com/infostealers-to-hijack-legitimate-business-infrastructure/
Share this content: