361/69 (IT) ประจำวันศุกร์ที่ 3 กรกฎาคม 2569

นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบความเชื่อมโยงโดยตรงระหว่างแคมเปญโจมตีขนาดใหญ่ FortiBleed ที่มุ่งเน้นการขโมยข้อมูลการพิสูจน์ตัวตนจากอุปกรณ์ Fortinet กับกลุ่ม Ransomware อย่าง INC และ Lynx โดยการโจมตีในครั้งนี้ส่งผลกระทบต่ออุปกรณ์ไฟร์วอลล์ FortiGate จำนวนมากทั่วโลก ซึ่งการเชื่อมโยงดังกล่าวชี้ให้เห็นว่าข้อมูลบัญชีรายชื่อและรหัสผ่านที่ถูกขโมยไปนั้น มีวัตถุประสงค์เพื่อใช้เป็นช่องทางในการบุกรุกเข้าสู่เครือข่ายขององค์กรเป้าหมาย เพื่อทำการโจมตีด้วยมัลแวร์เรียกค่าไถ่และขู่กรรโชกข้อมูลในอนาคต
จากการสืบสวนของหน่วยวิจัยภัยคุกคาม SOCRadar พบว่า แคมเปญ FortiBleed มีเป้าหมายที่อุปกรณ์ไฟร์วอลล์ FortiGate มากกว่า 430,000 เครื่องทั่วโลก และมีการติดตั้งเครื่องมือดักรับข้อมูลที่ชื่อ FortiGate Sniffer ในอุปกรณ์ที่ตกเป็นเหยื่อเพื่อดักจับข้อมูลการเข้าสู่ระบบรวมถึงรหัสผ่าน VPN โดยตรงจากทราฟฟิกเครือข่าย นอกจากนี้ยังพบหลักฐานการสร้าง Backdoor ที่ใช้ชื่อผู้ใช้งานว่า adminin เพื่อคงสิทธิ์ในการเข้าถึงระบบอย่างถาวร ทั้งนี้ นักวิจัยพบเซิร์ฟเวอร์ควบคุมของกลุ่มผู้ไม่หวังดีที่มีประวัติการเข้าใช้งานแผงควบคุมการเจรจาค่าไถ่ของกลุ่ม Lynx และ INC รวมถึงพบข้อมูลองค์กรที่ตกเป็นเหยื่อของ FortiBleed ไปปรากฏบนเว็บไซต์เปิดเผยข้อมูลของกลุ่ม INC อีกด้วย โดยคาดว่าขบวนการนี้มีสมาชิกประมาณ 20 คน ที่มีการแบ่งหน้าที่กันอย่างชัดเจน นอกจากนี้ยังมีรายงานเบื้องต้นว่าผู้โจมตีอาจมีการใช้ประโยชน์จากช่องโหว่ Zero-day บนระบบ Nextcloud ที่ยังไม่มีการเปิดเผยรายละเอียดทางเทคนิค เพื่อขยายขอบเขตการเข้าถึงระบบหลังจากเจาะเข้าสู่เครือข่ายขั้นแรกได้สำเร็จ
เพื่อลดความเสี่ยงจากภัยคุกคามดังกล่าว องค์กรที่ใช้งานอุปกรณ์ Fortinet และระบบ Nextcloud ควรดำเนินการตรวจสอบระบบอย่างเร่งด่วน โดยเฉพาะการตรวจสอบรายชื่อบัญชีผู้ใช้งานในระบบว่ามีบัญชีแปลกปลอม เช่น adminin หรือบัญชีที่ไม่ได้รับอนุญาตหรือไม่ พร้อมทั้งตรวจสอบ Configuration files และประวัติการเข้าใช้งานระบบเครือข่ายอย่างละเอียด สำหรับผู้ดูแลระบบเครือข่ายควรบังคับใช้มาตรการเปลี่ยนรหัสผ่านของบัญชีผู้ใช้งาน และบัญชีผู้ดูแลระบบทั้งหมดที่เกี่ยวข้องกับระบบ VPN รวมถึงเปิดใช้งานระบบการพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-factor Authentication: MFA) เพื่อเพิ่มความปลอดภัยอีกหนึ่งชั้น และติดตามการอัปเดตแพตช์ความปลอดภัยจากผู้ผลิตอย่างสม่ำเสมอเพื่อปิดช่องโหว่ที่อาจเกิดขึ้นบุกรุกในอนาคต
