ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบรายงานการดำเนินการของพบกลุ่มภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) ภายใต้ชื่อกลุ่ม UNC5221 กำลังดำเนินการจารกรรมข้อมูลเชิงรุก โดยพุ่งเป้าไปที่การแทรกซึมอยู่ในระบบขององค์กรเป้าหมาย โดยผู้โจมตีได้พัฒนาและใช้ประโยชน์จากมัลแวร์รวมถึง Backdoor รูปแบบใหม่ เพื่อฝังตัวอยู่ในระบบและหลบเลี่ยงการตรวจจับ [1]
1. พฤติกรรมการโจมตี
ผู้โจมตีจะใช้ Backdoor ที่ชื่อ Brickstorm ร่วมกับมัลแวร์ที่ไม่เคยถูกเปิดเผยมาก่อน ได้แก่ Plenet และ AgentPSD เพื่อหลบเลี่ยงการตรวจจับ เพื่อสร้างช่องทางการสื่อสารกับเครื่องควบคุม (Command and Control: C2) และรักษาการเข้าถึงระบบเป้าหมายในระยะยาว โดยกลุ่ม UNC5221 มีเป้าหมายในการดำเนินการจารกรรมข้อมูล โดยจะทำการแทรกซึมเข้าสู่ Microsoft 365 และระบบคลาวด์ขององค์กร แล้วทำการติดตั้ง Backdoor Brickstorm เพื่อเปิดช่องทางให้เข้าถึงระบบได้ และใช้งานมัลแวร์ Plenet และ AgentPSD เพื่อสร้างความคงอยู่ในระบบ (Persistence) และเพิ่มความสามารถในการหลบหลีกการตรวจจับ
2. ผลกระทบที่อาจเกิดขึ้น
2.1 ข้อมูลสำคัญ หรือข้อมูลส่วนบุคคลรั่วไหล
2.2 ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้งาน Microsoft 365 และทรัพยากรบนระบบคลาวด์ได้อย่างต่อเนื่อง
2.3 ผู้โจมตีอาจใช้ระบบที่ถูกยึดครองเป็นฐานสำหรับโจมตีระบบอื่นภายในเครือข่าย
2.4 เพิ่มความเสี่ยงต่อการถูกโจมตีเพิ่มเติม เช่น การขโมยข้อมูล การยกระดับสิทธิ์ หรือการฝังมัลแวร์เพิ่มเติม
3. แนวทางการป้องกันและลดความเสี่ยง
3.1 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชีผู้ใช้งานทุกประเภท โดยเฉพาะบัญชีผู้ดูแลระบบ
3.2 ตรวจสอบบันทึกเหตุการณ์ (Logs) ของ Microsoft 365, Azure AD และระบบคลาวด์อื่น ๆ อย่างสม่ำเสมอ
3.3 ติดตั้งและอัปเดตระบบ Endpoint Detection and Response (EDR) หรือ Extended Detection and Response (XDR) ให้เป็นเวอร์ชันล่าสุด
3.4 แยกเครือข่าย (Network Segmentation) เพื่อลดความเสี่ยงจากการเคลื่อนย้ายภายในเครือข่าย
3.5 ตรวจสอบการเชื่อมต่อเครือข่ายที่ผิดปกติ โดยเฉพาะการติดต่อไปยังโดเมนหรือ IP Address ที่ไม่รู้จัก
3.6 อัปเดตแพตช์ความปลอดภัยของระบบปฏิบัติการ ซอฟต์แวร์ และอุปกรณ์เครือข่ายอย่างสม่ำเสมอ
4. คำแนะนำเพิ่มเติม
4.1 หน่วยงานที่ใช้บริการ Microsoft 365 ควรตรวจสอบกิจกรรมการเข้าสู่ระบบ (Sign-in Activity) ที่ผิดปกติย้อนหลังอย่างน้อย 90 วัน
4.2 เฝ้าระวังการสร้างบัญชีใหม่ การเปลี่ยนแปลงสิทธิ์ และการตั้งค่าที่เกี่ยวข้องกับการเข้าถึงระบบคลาวด์
4.3 ดำเนินการ Threat Hunting เพื่อตรวจสอบร่องรอยของมัลแวร์ Brickstorm, Plenet และ AgentPSD ภายในระบบ [2]
แหล่งอ้างอิง