372/68 (IT) ประจำวันอังคารที่ 30 กันยายน 2568
การโจมตีทางไซเบอร์โดยแรนซัมแวร์ Akira ที่มุ่งเป้าไปที่อุปกรณ์ SonicWall SSL VPN ยังคงดำเนินต่อไปและทวีความซับซ้อนขึ้นอย่างน่ากังวล โดยล่าสุดนักวิจัยได้ค้นพบว่าผู้โจมตีสามารถล็อกอินเข้าสู่บัญชีได้สำเร็จ แม้ว่าจะมีการเปิดใช้งานระบบยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA) ด้วยรหัส OTP แล้วก็ตาม ในช่วงแรกคาดการณ์ว่าอาจมีการใช้ช่องโหว่ Zero-day แต่ภายหลัง SonicWall ได้เชื่อมโยงการโจมตีนี้เข้ากับช่องโหว่ ‘การควบคุมการเข้าถึงที่ไม่เหมาะสม’ (Improper Access Control) CVE-2024-40766 ที่เคยเปิดเผยเมื่อเดือนกันยายน 2024 ซึ่งแม้ช่องโหว่นี้จะได้รับการอัปเดตแก้ไขไปแล้วตั้งแต่เดือนสิงหาคม 2024 แต่ผู้โจมตีก็ยังคงใช้ประโยชน์จากข้อมูลรับรอง (Credentials) ที่ถูกขโมยไปก่อนหน้านี้เพื่อเข้าถึงระบบ
บริษัทรักษาความปลอดภัยไซเบอร์ Arctic Wolf ได้รายงานการสังเกตการณ์อย่างต่อเนื่องว่า กลุ่มผู้โจมตี Akira สามารถล็อกอินเข้าใช้บัญชี SonicWall Firewall ได้แม้จะเปิดใช้ OTP MFA โดยมีการตรวจพบความพยายามในการขอรหัส OTP หลายครั้ง ก่อนจะประสบความสำเร็จในการล็อกอิน ซึ่งบ่งชี้ว่าผู้โจมตีอาจมีการ ขโมย ‘OTP seeds’ (ข้อมูลหลักในการสร้างรหัส OTP) มาก่อน หรือค้นพบวิธีการสร้างโทเคน (Token) ที่ถูกต้องแบบอื่น ๆ การใช้ข้อมูลรับรองที่ถูกขโมยจากช่องโหว่ CVE-2024-40766 ก่อนหน้าที่อุปกรณ์จะถูกแพตช์ ทำให้ผู้โจมตีสามารถกลับเข้ามาในเครือข่ายได้อีกครั้งแม้ว่าอุปกรณ์จะได้รับการแก้ไขแล้วก็ตาม ซึ่งเป็นสถานการณ์ที่เคยเกิดขึ้นกับแคมเปญโจมตี SonicWall VPN อื่นๆ ที่พบโดย Google Threat Intelligence Group ในเดือนกรกฎาคมเช่นกัน
เมื่อเข้าสู่เครือข่ายได้แล้ว กลุ่ม Akira จะเคลื่อนไหวอย่างรวดเร็ว โดยมักจะใช้เวลาเพียง 5 นาทีในการสแกนเครือข่ายภายใน ผู้โจมตีได้ใช้เทคนิคและเครื่องมือหลากหลายเพื่อขยายขอบเขตการเข้าถึงและซ่อนตัว เช่น การล็อกอินด้วย RDP, การใช้เครื่องมือสืบค้น Active Directory และการมุ่งเป้าไปที่เซิร์ฟเวอร์สำรองข้อมูล Veeam Backup & Replication เพื่อขโมยและถอดรหัสข้อมูลรับรองที่ถูกเก็บไว้ นอกจากนี้ยังมีการใช้การโจมตีแบบ “Bring-Your-Own-Vulnerable-Driver” (BYOVD) โดยการใช้ไฟล์ปฏิบัติการของ Microsoft ที่ถูกต้องตามกฎหมายเพื่อโหลด DLL ที่เป็นอันตราย และใช้ไดรเวอร์ที่มีช่องโหว่ในการ ปิดใช้งานกระบวนการป้องกันปลายทาง (Endpoint Protection) เพื่อให้แรนซัมแวร์สามารถทำงานได้โดยไม่ถูกบล็อก ผู้ดูแลระบบจึงควรดำเนินการอย่างเร่งด่วนในการ รีเซ็ตรหัสผ่าน VPN ทั้งหมด บนอุปกรณ์ใดก็ตามที่เคยใช้เฟิร์มแวร์ที่มีช่องโหว่ และตรวจสอบให้แน่ใจว่าได้ติดตั้งเฟิร์มแวร์ SonicOS ล่าสุดแล้ว เพื่อตัดช่องทางการเข้าถึงเริ่มต้นของแฮกเกอร์ที่ใช้บัญชีที่ถูกขโมย
