Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม ผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML
การโจมตีช่องโหว่ Outlook
CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การยกระดับสิทธิ์ Elevation of Privilege (EoP) ใน Outlook บน Windows ซึ่ง Microsoft ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน Patch Tuesday เดือนมีนาคม 2023
การโจมตีโดยใช้ช่องโหว่ Outlook ของกลุ่ม APT28 เริ่มขึ้นตั้งแต่เดือนเมษายน 2022 ผ่าน Outlook notes ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อขโมย NTLM hashes โดยบังคับให้อุปกรณ์เป้าหมายตรวจสอบสิทธิ์การแชร์ SMB ที่ ผู้ไม่ประสงค์ดีควบคุม โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ หลังจากนั้นก็จะทำการแพร่กระจายไปในระบบของเป้าหมาย (lateral movement) และเปลี่ยนสิทธิ์กล่องจดหมายบน Outlook เพื่อดำเนินการขโมยอีเมลแบบกำหนดเป้าหมาย
ถึงแม้ว่าจะมีการออกแพตซ์อัปเดตด้านความปลอดภัย และคำแนะนำในการป้องกัน แต่ช่องทางในการโจมตียังคงมีความอันตราย รวมถึงช่องโหว่ bypass of the fix (CVE-2023-29324) ที่ถูกเผยแพร่ในเดือนพฤษภาคม 2023 ก็ทำให้มีความเสี่ยงในการโจมตีเพิ่มยิ่งขึ้น
Recorded Future ได้แจ้งเตือนในเดือนมิถุนายน 2023 ที่ผ่านมา จากการพบกลุ่ม APT28 ได้ใช้ช่องโหว่ของ Outlook ในการโจมตีไปยังองค์กรสำคัญของยูเครนในเดือนตุลาคม 2022 และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส (ANSSI) ได้เปิดเผยว่ากลุ่ม APT28 ได้ใช้ช่องโหว่ Zero-Day ในการโจมตีหน่วยงานภาครัฐ, ธุรกิจ, มหาวิทยาลัย, สถาบันวิจัย และสถาบันวิจัยในฝรั่งเศส
คำแนะนำในการป้องกันตามลำดับความสำคัญ มีดังนี้ :
- อัปเดตแพตซ์ความปลอดภัยสำหรับช่องโหว่ CVE-2023-23397 และ CVE-2023-29324
- ใช้ script จาก Microsoft เพื่อตรวจสอบว่ามีการกำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Exchange หรือไม่
- รีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกโจมตี และเปิดใช้งาน MFA (multi-factor authentication) สำหรับผู้ใช้ทั้งหมด
- จำกัดการรับส่งข้อมูลผ่าน SMB โดยการบล็อกการเชื่อมต่อไปยังพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด
- ปิดการใช้งาน NTLM บนระบบ
เนื่องจากกลุ่ม APT28 เป็นกลุ่ม ผู้ไม่ประสงค์ดีที่มีความสามารถสูง และสามารถปรับรูปแบบการโจมตีได้ตลอดเวลา วิธีการป้องกันการโจมตีที่ดีที่สุดคือการลดพื้นที่ที่มีความเสี่ยงในการถูกโจมตีให้ได้มากที่สุด รวมถึงหมั่นตรวจสอบซอฟต์แวร์ทั้งหมดในระบบ ว่าได้รับการอัปเดตอย่างสม่ำเสมอหรือไม่
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น