สหรัฐฯ และพันธมิตรออกเตือนแฮกเกอร์ชาวรัสเซียเปลี่ยนมาโจมตีระบบคลาวด์

russian-hackers-shift-to-cloud-attacks-us-and-allies-warn-Social

สมาชิกของพันธมิตรข่าวกรอง Five Eyes (FVEY) เตือนว่าแฮกเกอร์ APT29 Russian Foreign Intelligence Service (SVR) กำลังเปลี่ยนการโจมตีโดยกำหนดไปที่เป้าหมายการบริการคลาวด์ของเหยื่อ

APT29 (หรือในชื่อ Cozy Bear, Midnight Blizzard, The Dukes) เข้าโจมตีหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง หลังจากการโจมตี Supply-chain ของ SolarWinds เมื่อกว่าสามปีที่แล้ว สายลับไซเบอร์ของรัสเซียยังโจมตีบัญชี Microsoft 365 ที่เป็นขององค์กรต่างๆ ภายในประเทศ NATO เพื่อละเมิดข้อมูลที่เกี่ยวข้องกับนโยบายต่างประเทศและกำหนดเป้าหมายรัฐบาล สถานทูต และเจ้าหน้าที่อาวุโสทั่วยุโรปโดยที่เกี่ยวข้องกับการโจมตีแบบฟิชชิ่ง ล่าสุด Microsoft ยืนยันในเดือนมกราคมว่ากลุ่มแฮกเกอร์หน่วยข่าวกรองต่างประเทศของรัสเซียได้ละเมิดบัญชี Exchange Online ของผู้บริหารและผู้ใช้จากองค์กรอื่นในเดือนพฤศจิกายน 2023

ภัยคุกคามบนระบบคลาวด์

วันนี้ ที่ปรึกษาร่วมโดยศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC), NSA, CISA, FBI และหน่วยงานรักษาความปลอดภัยทางไซเบอร์จากออสเตรเลีย แคนาดา และนิวซีแลนด์ เตือนว่ากลุ่มภัยคุกคามรัสเซียค่อยๆ เข้าโจมตีเพื่อต่อต้าน โครงสร้างพื้นฐานคลาวด์ ตามที่หน่วยงาน Five Eyes ค้นพบ ขณะนี้แฮกเกอร์ APT29 กำลังเข้าถึงสภาพแวดล้อมคลาวด์ของเป้าหมายโดยใช้ข้อมูลประจำตัวของบัญชีบริการการเข้าถึงที่ถูกบุกรุกจากการบังคับแบบเดรัจฉานหรือการโจมตีแบบกระจายรหัสผ่าน

นอกจากนี้ พวกเขากำลังใช้บัญชีที่ไม่มีความเคลื่อนไหวซึ่งไม่เคยถูกลบออกหลังจากที่ผู้ใช้ออกจากองค์กรเป้าหมาย และยังทำให้พวกเขาสามารถเข้าถึงได้อีกครั้งหลังจากรีเซ็ตรหัสผ่านทั้งระบบ เวกเตอร์การละเมิดระบบคลาวด์ในช่วงเริ่มต้นของ APT29 ยังรวมถึงการใช้โทเค็นการเข้าถึงที่ถูกขโมยซึ่งช่วยให้พวกเขาสามารถจี้บัญชีโดยไม่ต้องใช้ข้อมูลประจำตัว เราเตอร์ที่อยู่อาศัยที่ถูกบุกรุกเพื่อพร็อกซีกิจกรรมที่เป็นอันตราย ความเหนื่อยล้าของ MFA ในการเลี่ยงผ่านการรับรองความถูกต้องแบบหลายปัจจัย (MFA) และการลงทะเบียนอุปกรณ์ของตนเองเป็น อุปกรณ์ใหม่บนผู้เช่าระบบคลาวด์ของเหยื่อ

วิธีตรวจจับการโจมตี SVR บนคลาวด์

หลังจากเข้าถึงเบื้องต้น แฮกเกอร์ SVR จะใช้เครื่องมือที่ซับซ้อน เช่น มัลแวร์ MagicWeb (ซึ่งช่วยให้พวกเขาตรวจสอบสิทธิ์ในฐานะผู้ใช้ใดๆ ภายในเครือข่ายที่ถูกบุกรุก) เพื่อหลบเลี่ยงการตรวจจับในเครือข่ายของเหยื่อ ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาลและองค์กรสำคัญๆ ที่ครอบคลุมยุโรป สหรัฐอเมริกา และเอเชีย

ดังนั้น การบรรเทาเวกเตอร์การเข้าถึงเริ่มต้นของ APT29 ควรอยู่ด้านบนสุดของรายการสำหรับผู้ดูแลเครือข่ายเมื่อพยายามบล็อกการโจมตี ผู้ดูแลเครือข่ายควรเปิดใช้งาน MFA ทุกที่และทุกเวลาที่เป็นไปได้ ควบคู่ไปกับรหัสผ่านที่รัดกุม เพื่อใช้หลักการของสิทธิ์ขั้นต่ำสำหรับบัญชีระบบและบัญชีบริการทั้งหมด เพื่อสร้างบัญชีบริการ Canary เพื่อตรวจจับการบุกรุกได้รวดเร็วยิ่งขึ้น และลดอายุการใช้งานของเซสชันเพื่อบล็อกการใช้งาน ของโทเค็นเซสชันที่ถูกขโมย

นอกจากนี้ควรอนุญาตการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ที่ได้รับอนุญาตและติดตามตัวบ่งชี้ของ Compromise ที่จะให้ผลบวกลวงน้อยที่สุดเมื่อตรวจสอบการละเมิดความปลอดภัย

bleepingcomputer.com

ผู้ที่สนใจสอบถามข้อมูลเพิ่มเติม สามารถติดต่อทีมงาน WIT ได้ที่

Related Posts