การโจมตีเป้าหมายบริการแชร์ไฟล์บนคลาวด์เพื่อขโมยข้อมูลองค์กร

กลุ่มผู้คุกคามไซเบอร์กำลังมุ่งเป้าไปที่บริการแชร์ไฟล์บนคลาวด์ยอดนิยม เช่น SharePoint, OneDrive, Google Drive และ Box เพื่อขโมยข้อมูลองค์กร โดยใช้วิธีการฟิชชิ่งขั้นสูงเพื่อขโมยข้อมูลรับรอง และเทคนิค MFA Bombing หรือ Push Fatigue เพื่อหลบเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) หลังจากเข้าถึงระบบได้สำเร็จ ผู้โจมตีจะดาวน์โหลดเอกสารและข้อมูลสำคัญของบริษัท Mandiant ระบุว่ากลุ่มที่อยู่เบื้องหลังการโจมตีนี้คือ UNC4990 ซึ่งมีรูปแบบการโจมตีที่คล้ายคลึงกับ SCATTERED SPIDER หรือที่รู้จักกันในชื่อ 0ktapus หรือ MFA Bombing group

Severity: สูง

System Impact:

• แพลตฟอร์มแชร์ไฟล์บนคลาวด์ (Cloud file-sharing platforms)
• Microsoft SharePoint
• Microsoft OneDrive
• Google Drive
• Box
• บัญชีอีเมลองค์กร (Enterprise email accounts)
• ระบบยืนยันตัวตนแบบหลายปัจจัย (Multi-factor authentication systems)

Technical Attack Steps:

1. **Initial Access (Phishing)**: ผู้โจมตีส่งอีเมลฟิชชิ่งที่ออกแบบมาอย่างแนบเนียนไปยังพนักงาน โดยปลอมแปลงเป็นข้อความรีเซ็ตรหัสผ่านหรือการแจ้งเตือนด้านความปลอดภัย เพื่อหลอกให้เหยื่อป้อนข้อมูลรับรองบนหน้าเว็บปลอมที่ควบคุมโดยผู้โจมตี
2. **Credential Harvesting**: ขโมยชื่อผู้ใช้และรหัสผ่านจากหน้าฟิชชิ่งที่เหยื่อกรอกเข้ามา
3. **MFA Bypass (MFA Bombing/Push Fatigue)**: ใช้ข้อมูลรับรองที่ขโมยมาเพื่อพยายามเข้าสู่ระบบ ส่งการแจ้งเตือน MFA ซ้ำๆ ไปยังอุปกรณ์ของเหยื่อ จนกว่าเหยื่อจะกดอนุมัติโดยไม่ตั้งใจเพราะความรำคาญหรือสับสน หรือใช้เทคนิคอื่นเพื่อขโมยโทเค็นเซสชั่น
4. **Access Cloud Storage**: เมื่อเข้าถึงบัญชีองค์กรได้สำเร็จ ผู้โจมตีจะเข้าถึงบริการแชร์ไฟล์บนคลาวด์เป้าหมาย เช่น SharePoint, OneDrive, Google Drive หรือ Box
5. **Data Exfiltration**: ดาวน์โหลดเอกสารสำคัญขององค์กร ข้อมูลที่เป็นความลับ และทรัพย์สินทางปัญญา เพื่อนำไปใช้ประโยชน์ต่อ เช่น การเรียกค่าไถ่หรือการขาย
6. **Email Access (Optional)**: ในบางกรณี ผู้โจมตีอาจเข้าถึงบัญชีอีเมลองค์กรเพื่อค้นหาข้อมูลเพิ่มเติม หรือใช้เป็นฐานในการขยายการโจมตีต่อไป

Recommendations:

Short Term:

• **เสริมสร้าง MFA ให้แข็งแกร่งขึ้น**: บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่เข้มแข็ง โดยเฉพาะแบบฮาร์ดแวร์คีย์ (เช่น FIDO2) หรือแอปพลิเคชัน Authenticator ที่รองรับหมายเลขยืนยัน (number matching) แทนการแจ้งเตือนแบบกดอนุมัติเพียงอย่างเดียว
• **อบรมพนักงานอย่างเร่งด่วน**: ให้ความรู้แก่พนักงานเกี่ยวกับความเสี่ยงของฟิชชิ่ง เทคนิค MFA Bombing/Push Fatigue และเน้นย้ำให้พนักงานระมัดระวังเป็นพิเศษในการอนุมัติ MFA ที่ไม่คาดคิด
• **ตรวจสอบบันทึกกิจกรรม**: ตรวจสอบบันทึกการเข้าสู่ระบบและกิจกรรมบนบริการคลาวด์และอีเมลอย่างสม่ำเสมอเพื่อหากิจกรรมที่ผิดปกติหรือน่าสงสัย
• **บล็อก IP ที่น่าสงสัย**: พิจารณาบล็อกการเข้าถึงจาก IP Address ที่น่าสงสัย หรือภูมิภาคที่ไม่เกี่ยวข้องกับธุรกิจ

Long Term:

• **ใช้ Conditional Access Policies**: ใช้โซลูชัน Identity and Access Management (IAM) ที่ครอบคลุม เช่น Conditional Access Policies เพื่อจำกัดการเข้าถึงจากอุปกรณ์ ตำแหน่งที่ตั้ง หรือสภาพแวดล้อมที่ไม่น่าเชื่อถือ
• **ประเมินและปรับปรุงมาตรการความปลอดภัยของคลาวด์**: ประเมินและปรับปรุงมาตรการรักษาความปลอดภัยของระบบคลาวด์อย่างต่อเนื่อง รวมถึงการตั้งค่าความปลอดภัย การจัดการสิทธิ์ และการกำหนดค่า
• **ลงทุนในการฝึกอบรมด้านความปลอดภัย**: จัดให้มีการฝึกอบรมด้านความปลอดภัยไซเบอร์ให้กับพนักงานอย่างสม่ำเสมอ เพื่อสร้างความตระหนักรู้และเสริมสร้างพฤติกรรมความปลอดภัยที่ดีที่สุด
• **ใช้เทคโนโลยี EDR และ CASB**: ใช้เทคโนโลยี Endpoint Detection and Response (EDR) และ Cloud Access Security Broker (CASB) เพื่อตรวจจับ ป้องกัน และตอบสนองต่อภัยคุกคามในระบบคลาวด์และอุปกรณ์ปลายทาง
• **บังคับใช้หลักการ Least Privilege**: กำหนดสิทธิ์การเข้าถึงข้อมูลและระบบต่างๆ ตามหลักการ Least Privilege เพื่อลดความเสียหายหากเกิดการละเมิด

Source: https://www.bleepingcomputer.com/news/security/cloud-file-sharing-sites-targeted-for-corporate-data-theft-attacks/