นักวิจัยเตือนว่ากลุ่มโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐที่รู้จักกันในชื่อ Billbug สามารถประนีประนอมผู้ออกใบรับรองดิจิทัล (CA) ซึ่งเป็นส่วนหนึ่งของแคมเปญจารกรรมในวงกว้างที่ยืดเยื้อไปถึงเดือนมีนาคม ซึ่งเป็นการพัฒนาที่เกี่ยวข้องในคู่มือป้องกันภัยคุกคามแบบถาวรขั้นสูง (APT) นักวิจัยเตือน
ใบรับรองดิจิทัลคือไฟล์ที่ใช้เพื่อลงชื่อซอฟต์แวร์ว่าถูกต้อง และยืนยันตัวตนของอุปกรณ์หรือผู้ใช้เพื่อเปิดใช้งานการเชื่อมต่อที่เข้ารหัส ด้วยเหตุนี้ การประนีประนอมของ CA อาจนำไปสู่การโจมตีที่ติดตามมาอย่างลับๆ ล่อๆ
“การกำหนดเป้าหมายของผู้ออกใบรับรองเป็นสิ่งที่น่าทึ่ง ราวกับว่าผู้โจมตีสามารถเจาะระบบเพื่อเข้าถึงใบรับรองได้สำเร็จ พวกเขาอาจใช้พวกเขาเพื่อลงนามมัลแวร์ด้วยใบรับรองที่ถูกต้อง และช่วยหลีกเลี่ยงการตรวจจับในเครื่องของเหยื่อ” ตามรายงาน เพื่อรายงาน ในสัปดาห์นี้จากไซแมนเทค “มันยังอาจใช้ใบรับรองที่ถูกบุกรุกเพื่อสกัดกั้นทราฟฟิก HTTPS”
"นี่อาจเป็นอันตรายมาก" นักวิจัยตั้งข้อสังเกต
การประนีประนอมทางไซเบอร์อย่างต่อเนื่อง
Billbug (หรือที่รู้จักกันในนาม Lotus Blossom หรือ Thrip) เป็นกลุ่มจารกรรมที่มีฐานอยู่ในจีน ซึ่งมุ่งเป้าหมายไปที่เหยื่อในเอเชียตะวันออกเฉียงใต้เป็นหลัก เป็นที่รู้จักในเรื่องการตามล่าเกมใหญ่ — เช่น การตามล่าความลับที่องค์กรทางทหาร หน่วยงานของรัฐ และผู้ให้บริการสื่อสารปกปิดไว้ บางครั้งมันก็ส่งเครือข่ายที่กว้างขึ้นโดยบอกเป็นนัยถึงแรงจูงใจที่มืดมนกว่า: ในอดีตครั้งหนึ่งมันแทรกซึมเข้าไปในผู้ควบคุมการบินและอวกาศเพื่อแพร่เชื้อไปยังคอมพิวเตอร์ที่ตรวจสอบและควบคุมการเคลื่อนที่ของดาวเทียม
ในการดำเนินกิจกรรมชั่วร้ายครั้งล่าสุด APT ได้โจมตีหน่วยงานรัฐบาลและหน่วยงานป้องกันทั่วเอเชีย ในกรณีหนึ่งเป็นการรบกวน "เครื่องจำนวนมาก" ในเครือข่ายของรัฐบาลด้วยมัลแวร์ที่กำหนดเอง
“แคมเปญนี้ดำเนินต่อเนื่องตั้งแต่เดือนมีนาคม 2022 ถึงกันยายน 2022 เป็นอย่างน้อย และเป็นไปได้ว่ากิจกรรมนี้อาจดำเนินต่อไป” Brigid O Gorman นักวิเคราะห์ข่าวกรองอาวุโสจาก Symantec Threat Hunter Team กล่าว “Billbug เป็นกลุ่มภัยคุกคามที่มีมาอย่างยาวนาน ซึ่งได้ดำเนินการหลายแคมเปญในช่วงหลายปีที่ผ่านมา เป็นไปได้ว่ากิจกรรมนี้สามารถขยายไปยังองค์กรหรือพื้นที่อื่นๆ เพิ่มเติมได้ แม้ว่าไซแมนเทคจะไม่มีหลักฐานใดๆ ในตอนนี้”
แนวทางที่คุ้นเคยในการโจมตีทางไซเบอร์
ที่เป้าหมายเหล่านั้นรวมถึงที่ CA เวกเตอร์การเข้าถึงเริ่มต้นนั้นเป็นการใช้ประโยชน์จากแอปพลิเคชันที่มีช่องโหว่และเปิดเผยต่อสาธารณะ หลังจากได้รับความสามารถในการรันโค้ดแล้ว ผู้ก่อภัยคุกคามจะติดตั้งแบ็คดอร์ Hannotog หรือ Sagerunex ที่รู้จักและกำหนดเองก่อนที่จะขุดลึกเข้าไปในเครือข่าย
สำหรับขั้นตอน kill-chain ในภายหลัง ผู้โจมตี Billbug ใช้หลายตัว ไบนารีที่อาศัยอยู่นอกที่ดิน (LoLBins)เช่น AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail และ WinRAR ตามรายงานของ Symantec
เครื่องมือที่ถูกกฎหมายเหล่านี้สามารถนำไปใช้ประโยชน์ในทางที่ผิดได้ เช่น การสืบค้น Active Directory เพื่อแมปเครือข่าย การ ZIP-ing ไฟล์สำหรับการกรอง การเปิดเผยเส้นทางระหว่างจุดสิ้นสุด การสแกน NetBIOS และพอร์ต และติดตั้งใบรับรองรูทของเบราว์เซอร์ — ไม่ต้องพูดถึงการดาวน์โหลดมัลแวร์เพิ่มเติม .
แบ็คดอร์ที่กำหนดเองรวมกับเครื่องมือแบบใช้สองทางเป็นรอยเท้าที่คุ้นเคยซึ่ง APT เคยใช้ในอดีต แต่ที่ไร้ข้อกังขาเกี่ยวกับการเปิดเผยต่อสาธารณชนก็คือ พาร์สำหรับหลักสูตรสำหรับกลุ่ม.
“เป็นที่น่าสังเกตว่า Billbug ดูเหมือนจะไม่ถูกขัดขวางโดยความเป็นไปได้ที่จะมีสาเหตุมาจากกิจกรรมนี้ ด้วยการนำเครื่องมือที่เคยเชื่อมโยงกับกลุ่มมาใช้ซ้ำ” กอร์แมนกล่าว
เธอกล่าวเสริมว่า “การใช้งานอย่างหนักของกลุ่มในการใช้ชีวิตนอกพื้นที่และเครื่องมือแบบใช้สองทางก็เป็นสิ่งที่น่าสังเกตเช่นกัน และเน้นย้ำถึงความจำเป็นที่องค์กรจะต้องมีผลิตภัณฑ์รักษาความปลอดภัยที่ไม่เพียงแต่สามารถตรวจจับมัลแวร์ได้เท่านั้น แต่ยังสามารถ รับรู้ด้วยว่าเครื่องมือที่ถูกกฎหมายอาจถูกนำมาใช้หรือไม่ ในลักษณะที่น่าสงสัยหรือมุ่งร้าย”
ไซแมนเทคได้แจ้งให้ CA ที่ไม่มีชื่อทราบเพื่อแจ้งให้ทราบเกี่ยวกับกิจกรรมดังกล่าว แต่ Gorman ปฏิเสธที่จะให้รายละเอียดเพิ่มเติมเกี่ยวกับการตอบสนองหรือความพยายามในการแก้ไข
แม้ว่าจนถึงขณะนี้ยังไม่มีข้อบ่งชี้ว่ากลุ่มสามารถดำเนินการต่อเพื่อประนีประนอมใบรับรองดิจิทัลจริงได้ ผู้วิจัยแนะนำว่า “องค์กรต่างๆ ควรตระหนักว่ามัลแวร์สามารถลงนามด้วยใบรับรองที่ถูกต้อง หากผู้คุกคามสามารถเข้าถึงผู้ออกใบรับรองได้”
โดยทั่วไปแล้ว องค์กรต่างๆ ควรใช้กลยุทธ์การป้องกันในเชิงลึก โดยใช้เทคโนโลยีการตรวจจับ การป้องกัน และการเสริมกำลังที่หลากหลายเพื่อลดความเสี่ยงในแต่ละจุดของห่วงโซ่การโจมตีที่อาจเกิดขึ้น เธอกล่าว
“ไซแมนเทคยังแนะนำให้ดำเนินการตรวจสอบและควบคุมการใช้บัญชีดูแลระบบอย่างเหมาะสม” กอร์แมนกล่าว “เรายังแนะนำให้สร้างโปรไฟล์การใช้งานสำหรับเครื่องมือการดูแลระบบ เนื่องจากเครื่องมือเหล่านี้จำนวนมากถูกใช้โดยผู้โจมตีเพื่อเคลื่อนที่โดยตรวจไม่พบในแนวขวางผ่านเครือข่าย การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) สามารถช่วยจำกัดประโยชน์ของข้อมูลรับรองที่ถูกบุกรุกได้”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์