Ransomware โจมตี Sharepoint Online ได้โดยไม่ต้องเข้าควบคุมเครื่องผู้ใช้งาน

    Obsidian พบการโจมตีของ Ransomware ที่โจมตี Sharepoint Online (Microsoft 365) สำเร็จ ผ่านบัญชีผู้ดูแลระบบ Microsoft Global SaaS แทนที่จะโจมตีผ่านการเข้าควบคุมเครื่องผู้ใช้งานก่อน มีการวิเคราะห์การโจมตีหลังการถูกเข้าควบคุมระบบ ทีมวิจัย Obsidian ไม่ได้เปิดเผยชื่อของเป้าหมาย แต่เชื่อว่าผู้ไม่ประสงค์ดีคือกลุ่มที่รู้จักกันในชื่อ 0mega

    เมื่อผู้ไม่ประสงค์ดีเข้าระบบได้แล้วจะทำการสร้างผู้ใช้ Active Directory (AD) ใหม่ที่ชื่อว่า Omega พร้อมสิทธิ์ขั้นสูง รวมถึง Global Administrator, SharePoint Administrator, Exchange Administrator และ Teams Administrator และยังมีความสามารถเป็น Site collection administrator ไปยังไซต์ และคอลเลกชันของ Sharepoint หลายรายการ และลบผู้ดูแลระบบที่มีอยู่ (มากกว่า 200 คน) ภายใน 2 ชั่วโมง โดยการโจมตีเกี่ยวข้องกับการขโมยไฟล์ มากกว่าการการเข้ารหัส

    หลังจากสามารถขโมยไฟล์ออกไปหลายร้อยไฟล์แล้ว ผู้ไม่ประสงค์ดีก็จะทำการอัปโหลดไฟล์ PREVENT-LEAKAGE.txt เพื่อเตือนเป้าหมายถึงการโจมตี และแนะนำช่องทางติดต่อสื่อสารกับผู้ไม่ประสงค์ดี ในการเจรจาการชำระเงินเพื่อหลีกเลี่ยงการเผยแพร่ข้อมูลทางออนไลน์

    Obsidian สงสัยว่านี่อาจเป็นจุดเริ่มต้นว่าแนวโน้มการโจมตีในรูปแบบนี้จะเติบโตขึ้น นักวิจัยให้ข้อมูลกับ SecurityWeek ว่าผู้ไม่ประสงค์ดีได้ทุ่มเทเวลาเพื่อสร้างระบบอัตโนมัติสำหรับการโจมตีรูปแบบนี้ ซึ่งเป็นไปได้ว่าผู้ไม่ประสงค์ดีต้องการใช้ฟีเจอร์นี้ในอนาคต นอกจากนี้นักวิจัยยังคาดว่าการโจมตีจะมีปริมาณเพิ่มมากขึ้น เนื่องจากมีเพียงบริษัทไม่กี่แห่งที่มีโปรแกรมรักษาความปลอดภัยสำหรับ SaaS ในขณะที่บริษัทส่วนใหญ่จะลงทุนเพื่อรักษาความปลอดภัยบนอุปกรณ์ของผู้ใช้งานมากกว่า

    Obsidian เชื่อว่ากลุ่ม Omega (ซึ่งสามารถระบุได้ผ่านชื่อบัญชีที่สร้างขึ้น ข้อมูลอื่น ๆ ที่สังเกตได้ และโครงสร้างพื้นฐานที่ใช้) อยู่เบื้องหลังการโจมตี โดย Omega ถูกพบครั้งแรกในเดือนกรกฎาคม 2565 ซึ่งมีรายงานระบุว่า Omega มีการโจมตีสองแบบ (Ransomware และการโจรกรรมข้อมูล) และมีเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลกว่า 152 GB ที่ขโมยมาจากบริษัทซ่อมอุปกรณ์อิเล็กทรอนิกส์ในเดือนพฤษภาคม 2565

สิ่งสำคัญเพื่อป้องกันการโจมตีนี้คือการใช้ MFA สําหรับทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์สูง ซึ่งผู้ไม่ประสงค์ดีอาจจะได้ข้อมูลผู้ใช้งานมาจากหลายแหล่ง เช่น จากแคมเปญฟิชชิ่งของพวกเขาเอง, จากการคาดเดา และจาก dark web credential databases การใช้งาน MFA จะทําให้การใช้ข้อมูลประจำตัวผู้ใช้งานที่ถูกขโมยมาทำได้ยากขึ้น

    Obsidian ระบุว่า ถึงแม้ Administrative account จะเปิดใช้งาน MFA แต่ผู้ไม่ประสงค์ดีก็อาจใช้วิธีการโจมตีแบบ MFA push fatigue เพื่อ bypass MFA ได้ แต่บริษัทต่าง ๆ สามารถเสริมความแข็งแกร่งให้กับระบบจากการโจมตีเหล่านี้ได้ ตัวอย่างเช่น การใช้เทคโนโลยี phishless เช่น WebAuthn

นักวิจัยแนะนำให้ทำให้การควบคุมการใช้งาน SaaS อย่างเข้มงวด รวมถึงการตรวจสอบสิทธิ์พิเศษที่มากเกินไป และยกเลิกรายการที่ไม่ได้รับอนุญาต หรือมีความเสี่ยงสูง ร่วมกับการรวบรวม และการวิเคราะห์บันทึกการตรวจสอบ/กิจกรรมของ SaaS ที่เกี่ยวข้อง เพื่อตรวจจับรูปแบบที่สอดคล้องกับการโจมตี, ภัยคุกคามจากภายใน หรือการโจมตีจาก third-party ที่ถูกโจมตี

securityweek

IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours

IcedID Malware กลับมาโจมตีอีกครั้ง โดยสามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง

    Cybereason เผยข้อมูลการโจมตีของ IcedID Malware ที่สามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง หลักจากได้รับสิทธิ์การเข้าถึงในครั้งแรก รวมไปถึงตลอดการโจมตี Hacker ยังพยายามทำการค้นหาช่องโหว่อื่น ๆ, ขโมยข้อมูลประจำตัว, แพร่กระจายตัวโดยการใช้ Windows protocol และการใช้เครื่องมืออย่าง Cobalt Strike บนเครื่่องเหยื่อที่ถูกโจมตี

    IcedID หรือที่รู้จักในชื่อ BokBot เริ่มต้นด้วยการเป็น banking trojan ในปี 2017 ก่อนจะพัฒนาเป็น dropper malware แบบเดียวกันกับ Emotet, TrickBot, Qakbot, Bumblebee และ Raspberry Robin

วิธีการโจมตี

    นักวิจัยได้อธิบายการโจมตีของ IcedID ไว้ว่า มันจะเริ่มจากการส่งไฟล์อิมเมจ ISO ที่อยู่ในไฟล์ ZIP ซึ่งได้ฝัง payload อันตรายเอาไว้ไปหาเหยื่อ เมื่อสามารถโจมตีเข้าไปยังระบบของเหยื่อได้แล้ว ก็จะสร้าง Process เพื่อฝังตัวเองในเครื่อง (Persistence) และทำการติดต่อกับเซิร์ฟเวอร์ภายนอกของ Hacker เพื่อดาวน์โหลด payload เพิ่มเติม เช่น Cobalt Strike Beacon สำหรับหาช่องโหว่อื่น ๆ บนระบบสำหรับการ lateral movement รวมไปถึงเครื่องมือภาษา C# ที่ชื่อว่า Rubeus เพื่อขโมยข้อมูลประจำตัว เพื่อยกระดับสิทธิ์ตัวเอง และแพร่กระจายไปยัง Windows Server เครื่องอื่น ๆ รวมไปถึงเพื่อการโจมตีแบบ DCSync ซึ่งจะทำให้ Hacker สามารถจำลอง domain controller ( DC ) และดึงข้อมูลประจำตัวของผู้ใช้งานทั้งหมดบนระบบ domain controllers ออกมาได้

    รวมไปถึงการใช้เครื่องมืออื่น ๆ เป็นส่วนหนึ่งของการโจมตี ได้แก่ netscan.exe เพื่อสแกนเครือข่าย, Rclone ซอฟต์แวร์ซิงค์ไฟล์ เพื่อส่งข้อมูลที่ขโมยมาไปที่เก็บข้อมูลบนคลาวด์ MEGA และติดตั้ง Atera agent ซึ่งเป็น remote administration tool ที่ถูกต้องตามกฎหมาย ซึ่งสามารถใช้ในการสั่งการจากระยะไกลได้

    โดยการใช้เครื่องมือเหล่านี้เป็นการสร้าง backdoor เพื่อที่ทำให้ผู้โจมตีสามารถแฝงตัวอยู่ในระบบของเหยื่อต่อไปได้ ทำให้อุปกรณ์ตรวจจับด้านความปลอดภัย เช่น EDR มีโอกาสน้อยลงที่จะสามารถตรวจจับพฤติกรรมผิดปกติเหล่านี้ได้

Ref: thehackernews