Clear
Lead Graphic Papers

แจ้งเตือน กลุ่ม Cicada (APT10) โจมตีบริษัทสัญชาติญี่ปุ่นผ่านช่องโหว่ Zerologon เพื่อขโมยข้อมูล พบสาขาไทยตกเป็นเหยื่อด้วย

วันที่ประกาศ: 23 พฤศจิกายน 2563
ปรับปรุงล่าสุด: 18 พฤศจิกายน 2563
เรื่อง: แจ้งเตือน กลุ่ม Cicada (APT10) โจมตีบริษัทสัญชาติญี่ปุ่นผ่านช่องโหว่ Zerologon เพื่อขโมยข้อมูล พบสาขาไทยตกเป็นเหยื่อด้วย

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

เมื่อวันที่ 17 พฤศจิกายน 2563 ทีมวิจัยจากบริษัท Symantec ได้แจ้งเตือนการโจมตีทางไซเบอร์โดยกลุ่มผู้โจมตีที่มีชื่อว่า Cicada (หรือ APT10, Stone Panda, Cloud Hopper) เป้าหมายการโจมตีคือกลุ่มบริษัทสัญชาติญี่ปุ่นที่มีสาขาในหลายประเทศรวมทั้งประเทศไทย รูปแบบการโจมตีเป็นการใช้ช่องโหว่ Zerologon (CVE-2020-1472) รวมถึงใช้เทคนิค DLL sideloading เพื่อติดตั้งมัลแวร์และขโมยข้อมูล

จากรายงาน ทาง Symantec ระบุว่า ผู้โจมตีได้อาศัยช่องโหว่ Zerologon (ข่าวเก่า [1]) เพื่อยึดเครื่อง Domain Controller จากนั้นรวบรวบข้อมูลชื่อบัญชีและรหัสผ่านในระบบแล้วใช้ข้อมูลที่ได้ล็อกอินไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่าย เมื่อสามารถเข้าถึงข้อมูลที่ต้องการได้แล้วจะบีบอัดและส่งไฟล์ดังกล่าวออกมาทางเครือข่าย นอกจากนี้ยังมีการใช้เทคนิค DLL sideloading ซึ่งเป็นการหลอกให้ระบบนำไฟล์ DLL ที่เป็นมัลแวร์ไปประมวลผลแทนที่จะเป็นไฟล์ของระบบ รายละเอียดเทคนิคการโจมตีและเครื่องมือที่เกี่ยวข้องรวมถึงข้อมูล Indicator of Compromise (IoC) สำหรับใช้ตรวจสอบว่าระบบถูกโจมตีแล้วหรือไม่ สามารถดูเพิ่มเติมได้จากที่มา

ทั้งนี้ ทางไทยเซิร์ตอยู่ระหว่างการตรวจสอบยืนยันข้อมูลกับหน่วยงานที่เกี่ยวข้องเพื่อประเมินและรับมือผลกระทบที่เกิดขึ้นกับหน่วยงานในประเทศไทย

ผลกระทบ

บริษัทที่ตกเป็นเหยื่ออาจถูกขโมยข้อมูลสำคัญที่เป็นความลับ เช่น ข้อมูลทางการค้า และข้อมูลบัญชีผู้ใช้งานระบบ รวมถึงอาจถูกติดตั้งเครื่องมือสำหรับใช้เข้าถึงและควบคุมระบบโดยไม่ได้รับอนุญาต

ระบบที่ได้รับผลกระทบ

Windows Server ที่ยังไม่ได้ติดตั้งแพตช์หรือตั้งค่าเพื่อลดความเสี่ยงจากช่องโหว่ Zerologon

ข้อแนะนำในการตรวจสอบ

สำหรับการตรวจสอบ ผู้ดูแลระบบสามารถใช้ข้อมูล IoC จาก Symantec [2] เพื่อค้นหาไฟล์ที่มีค่าแฮชตรงกับไฟล์มัลแวร์ และข้อมูลไอพีของเครื่องคอมพิวเตอร์ที่เกี่ยวข้องกับการโจมตี เพื่อตรวจสอบว่าเครื่องคอมพิวเตอร์ในองค์กรตกเป็นเหยื่อของการโจมตีแล้วหรือไม่ หากพบรายการที่ตรงกับข้อมูล IoC อาจเป็นไปได้ว่าอุปกรณ์ดังกล่าวถูกโจมตี

ข้อแนะนำในการป้องกันและแก้ไข

การแก้ไข เนื่องจากรูปแบบการโจมตีเป็นการเข้าถึงระบบเพื่อรวบรวมบัญชีผู้ใช้งานและติดตั้งมัลแวร์ จึงมีความเป็นไปได้สูงที่ผู้โจมตีอาจได้ข้อมูลทุกบัญชีในระบบและได้แก้ไขการตั้งค่าของระบบแล้ว การแก้ไขอาจต้องติดตั้งระบบใหม่และเปลี่ยนรหัสผ่านในทุกบัญชี

การป้องกัน ผู้ดูแลระบบควรอัปเดตแพตช์ Windows Server เพื่อแก้ไขช่องโหว่ Zerologon รวมทั้งอัปเดตแพตช์ของซอฟต์แวร์และอุปกรณ์ต่าง ๆ อย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากการถูกโจมตี

อ้างอิง

  1. https://www.thaicert.or.th/newsbite/2020-09-15-01.html
  2. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage
Clear