บริษัทชั้นนำระดับโลกหลายสิบแห่งถูกโจมตีโดยใช้ข้อมูลประจำตัวที่ถูกขโมยจากมัลแวร์ Infostealer ผู้โจมตีภายใต้นามแฝง “Zestix” และ “Sentap” ได้เข้าถึงแพลตฟอร์มจัดเก็บข้อมูลบนคลาวด์ขององค์กรอย่าง ShareFile, Nextcloud และ OwnCloud ขององค์กรระหว่างประเทศประมาณ 50 แห่ง การโจมตีครอบคลุมภาคส่วนที่สำคัญ เช่น การบิน หุ่นยนต์ป้องกันประเทศ การดูแลสุขภาพ การเงิน และโครงสร้างพื้นฐานของรัฐบาล ส่งผลให้ข้อมูลสำคัญหลายเทราไบต์รั่วไหล ความเสี่ยงหลักมาจากการขาดการยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่องค์กรไม่ได้นำมาใช้
Severity: วิกฤต
System Impact:
- แพลตฟอร์มคลาวด์: ShareFile, Nextcloud, OwnCloud
- ภาคส่วน: การบิน, หุ่นยนต์ป้องกันประเทศ, การดูแลสุขภาพ, การเงิน, โครงสร้างพื้นฐานของรัฐบาล
- องค์กรที่ได้รับผลกระทบ (ตัวอย่าง):
- – Pickett and Associates (บริษัทวิศวกรรมที่ให้บริการแก่บริษัทสาธารณูปโภคในสหรัฐฯ) สูญเสียข้อมูล 139.1 GB (ไฟล์ LiDAR ที่เป็นความลับและแผนที่สายส่ง)
- – Intecro Robotics เปิดเผยข้อมูล 11.5 GB (พิมพ์เขียวการป้องกันที่ควบคุมโดย ITAR สำหรับส่วนประกอบเครื่องบินทางทหาร)
- – Iberia Airlines มีข้อมูลรั่วไหล 77 GB (โปรแกรมการบำรุงรักษาเครื่องบินและเอกสารความปลอดภัยทางการบินที่สำคัญ)
- – Maida Health (บันทึกสุขภาพของตำรวจทหารบราซิล) มีข้อมูล 2.3 TB รั่วไหล (ข้อมูลประจำตัวส่วนบุคคลและข้อมูลทางการแพทย์สำหรับบุคลากรประจำการและครอบครัว)
Technical Attack Steps:
- 1. การติดมัลแวร์เริ่มต้น: พนักงานดาวน์โหลดไฟล์ที่เป็นอันตรายโดยไม่ตั้งใจ (ผ่านอีเมลหรือซอฟต์แวร์ปลอม)
- 2. การทำงานของมัลแวร์: มัลแวร์ Infostealer ทำงานในหน่วยความจำ มักหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัย
- 3. การเก็บเกี่ยวข้อมูลประจำตัว: มัลแวร์รวบรวมข้อมูลประจำตัวที่บันทึกไว้ ประวัติเบราว์เซอร์ และข้อมูลประจำตัวที่แคชไว้จากแอปพลิเคชัน (เช่น Outlook, Teams)
- 4. การส่งข้อมูลออก: ข้อมูลที่เก็บเกี่ยวทั้งหมดจะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2)
- 5. การเข้าถึงโดยไม่ได้รับอนุญาต: ผู้โจมตี (Zestix) วิเคราะห์ฐานข้อมูลข้อมูลประจำตัวที่ถูกขโมยเพื่อค้นหา URL ของคลาวด์ขององค์กร และใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าถึงระบบขององค์กรโดยไม่ได้รับอนุญาต
Recommendations:
Short Term:
- บังคับใช้ Multi-Factor Authentication (MFA) ทันทีบนทุกระบบที่สำคัญ
Long Term:
- เฝ้าระวังข้อมูลประจำตัวที่ถูกบุกรุกใน Infostealer logs อย่างต่อเนื่องเพื่อตรวจจับและตอบสนองก่อนที่ผู้โจมตีจะนำไปใช้ประโยชน์
Source: https://cybersecuritynews.com/threat-actors-hacked-global-companies-via-leaked-cloud-credentials/
Share this content: