กลุ่มผู้คุกคามขั้นสูงที่ระบุว่าคือ UAT-8837 ซึ่งเชื่อว่าเชื่อมโยงกับจีน ได้มุ่งเป้าไปที่ระบบโครงสร้างพื้นฐานที่สำคัญในอเมริกาเหนือ โดยได้เข้าถึงผ่านการใช้ประโยชน์จากช่องโหว่ทั้งที่ทราบแล้วและช่องโหว่ Zero-Day กลุ่มนี้ดำเนินการมาตั้งแต่ปี 2025 โดยมีวัตถุประสงค์หลักเพื่อเข้าถึงองค์กรเป้าหมายเป็นครั้งแรก การโจมตีเริ่มต้นด้วยการใช้ข้อมูลรับรองที่ถูกบุกรุกหรือการใช้ช่องโหว่เซิร์ฟเวอร์ รวมถึงช่องโหว่ ViewState Deserialization Zero-Day (CVE-2025-53690) ในผลิตภัณฑ์ Sitecore
Severity: วิกฤต
System Impact:
- ผลิตภัณฑ์ Sitecore (โดยเฉพาะช่องโหว่ ViewState Deserialization CVE-2025-53690)
- ระบบโครงสร้างพื้นฐานที่สำคัญในอเมริกาเหนือ
- ระบบปฏิบัติการ Windows
- Active Directory
- ระบบระยะไกลที่ใช้ WMI และ DCOM
Technical Attack Steps:
- **การเข้าถึงเริ่มต้น**: ใช้ช่องโหว่ที่ทราบแล้วและช่องโหว่ Zero-Day (เช่น CVE-2025-53690 ใน Sitecore ViewState Deserialization) หรือใช้ข้อมูลรับรองที่ถูกบุกรุก
- **การปรับใช้**: ติดตั้งแบ็คดอร์เพื่อสอดแนม เช่น ‘WeepSteel’
- **การสอดแนมและการยกระดับสิทธิ์**: ใช้คำสั่ง Windows ดั้งเดิมและเครื่องมือต่างๆ เช่น SharpHound, Certipy, setspn, dsquery, dsget เพื่อสอดแนมโฮสต์และเครือข่าย รวมถึงการแจงนับผู้ใช้ Active Directory, กลุ่ม, SPN, บัญชีบริการ และความสัมพันธ์ของโดเมน ปิดใช้งาน RDP RestrictedAdmin เพื่อเก็บเกี่ยวข้อมูลรับรอง
- **การขโมยข้อมูลรับรอง**: ใช้เครื่องมือเช่น GoTokenTheft, Rubeus, Certipy เพื่อขโมยโทเค็นการเข้าถึง, ใช้ Kerberos ในทางที่ผิด และรวบรวมข้อมูลรับรองที่เกี่ยวข้องกับ Active Directory และใบรับรอง
- **การเคลื่อนที่ภายในเครือข่ายและการเรียกใช้คำสั่ง**: เรียกใช้คำสั่งบนระบบระยะไกลโดยใช้เครื่องมือเช่น Impacket, Invoke-WMIExec, GoExec, SharpWMI (มีการเปลี่ยนเครื่องมือเพื่อหลีกเลี่ยงการตรวจจับ)
- **การคงสิทธิ์การเข้าถึงและการส่งข้อมูลออก**: สร้างอุโมงค์ SOCKS แบบย้อนกลับด้วย Earthworm และปรับใช้เครื่องมือบริหารจัดการระยะไกล เช่น DWAgent ในบางกรณี พบว่ามีการส่งไฟล์ DLL จากผลิตภัณฑ์ที่เหยื่อใช้เพื่อใช้ในการโจมตีห่วงโซ่อุปทานในอนาคต
Recommendations:
Short Term:
- อัปเดตแพตช์สำหรับผลิตภัณฑ์ Sitecore ทันทีสำหรับช่องโหว่ CVE-2025-53690 และช่องโหว่อื่นๆ ที่ทราบ
- ตรวจสอบ Indicators of Compromise (IOCs) ที่ Cisco Talos จัดหาให้ เพื่อตรวจจับกิจกรรมที่เกี่ยวข้องกับ UAT-8837
- ตรวจสอบและรักษาความปลอดภัยการกำหนดค่า RDP โดยเฉพาะโหมด RestrictedAdmin
- ใช้มาตรการจัดการข้อมูลรับรองที่แข็งแกร่ง และบังคับใช้นโยบายรหัสผ่านที่ซับซ้อน
- ปรับปรุงการตรวจสอบเครือข่ายสำหรับกิจกรรมที่ผิดปกติ โดยเฉพาะที่เกี่ยวข้องกับเครื่องมือที่กล่าวมา (เช่น GoTokenTheft, Rubeus, Certipy, Impacket, Earthworm, DWAgent)
Long Term:
- จัดทำโปรแกรมการจัดการช่องโหว่ที่แข็งแกร่งเพื่อระบุและแพตช์ช่องโหว่เชิงรุกและต่อเนื่อง
- เสริมสร้างความปลอดภัยของ Active Directory รวมถึงการใช้หลักการสิทธิ์ขั้นต่ำ (least privilege) และการปรับใช้ระบบตรวจจับภัยคุกคามขั้นสูง
- ปรับใช้โซลูชัน Endpoint Detection and Response (EDR) ขั้นสูงเพื่อตรวจจับเทคนิค Living-off-the-land (LotL) และการเคลื่อนไหวภายในเครือข่าย
- ใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) ทั่วทั้งระบบที่สำคัญทั้งหมดเพื่อเพิ่มความปลอดภัยในการเข้าถึง
- ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบเป็นประจำเพื่อระบุจุดอ่อน
- ให้ความรู้แก่พนักงานอย่างต่อเนื่องเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยไซเบอร์ โดยเฉพาะอย่างยิ่งที่เกี่ยวกับการฟิชชิ่งและการหลอกลวงทางสังคมที่อาจนำไปสู่การรั่วไหลของข้อมูลรับรอง
- พัฒนากลยุทธ์และแผนรับมือเหตุการณ์สำหรับช่องโหว่ Zero-Day และการโจมตีจาก APT
- ใช้ Application Whitelisting/Allowlisting เพื่อป้องกันการเรียกใช้เครื่องมือที่ไม่ได้รับอนุญาตบนระบบ
Share this content: