กลุ่มแฮกเกอร์ Scattered Spider โจมตี VMware ESXi เพื่อแพร่ ransomware โครงสร้างพื้นฐานสำคัญของสหรัฐฯ

 

กลุ่มอาชญากรไซเบอร์ชื่อดัง "Scattered Spider" ซึ่งรู้จักกันในชื่ออื่นๆ เช่น 0ktapus, Muddled Libra, Octo Tempest และ UNC3944 กำลังมุ่งเป้าโจมตี VMware ESXi hypervisor ในภาคธุรกิจค้าปลีก, สายการบิน และการขนส่งในทวีปอเมริกาเหนือ

ทีม Mandiant ของ Google ระบุว่า กลยุทธ์หลักของกลุ่มนี้ยังคงเดิมและไม่ได้อาศัยช่องโหว่ของซอฟต์แวร์ แต่ใช้ "แผนการที่ได้รับการพิสูจน์แล้ว" ซึ่งเน้นการโทรศัพท์ไปยังแผนกช่วยเหลือด้านไอที (IT Help Desk)

"ผู้โจมตีมีความก้าวร้าว สร้างสรรค์ และมีทักษะพิเศษในการใช้ Social Engineering เพื่อหลีกเลี่ยงแม้แต่โปรแกรมรักษาความปลอดภัยที่แข็งแกร่ง การโจมตีของพวกเขาไม่ใช่การฉวยโอกาส แต่เป็นการปฏิบัติการที่ขับเคลื่อนด้วยแคมเปญที่มุ่งเป้าไปที่ระบบและข้อมูลที่สำคัญที่สุดขององค์กร" Google กล่าว

กลุ่มผู้คุกคามนี้มีประวัติการโจมตีโดยใช้ Social Engineering ขั้นสูงเพื่อเข้าถึงสภาพแวดล้อมของเหยื่อ จากนั้นจึงใช้แนวทาง "Living-off-the-land" (LotL) โดยการจัดการระบบบริหารจัดการที่น่าเชื่อถือ และใช้การควบคุม Active Directory เพื่อเจาะเข้าไปยังสภาพแวดล้อม VMware vSphere Google ระบุว่าวิธีการนี้ ซึ่งเปิดช่องทางสำหรับการขโมยข้อมูลและการติดตั้ง ransomware โดยตรงจาก hypervisor นั้น "มีประสิทธิภาพสูง" เนื่องจากสามารถหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยและทิ้งร่องรอยการบุกรุกไว้น้อยมาก

ขั้นตอนการโจมตีมี 5 ระยะ ได้แก่

1. การเข้าถึงเบื้องต้น การสำรวจ และการยกระดับสิทธิ์: ผู้โจมตีจะเก็บรวบรวมข้อมูลที่เกี่ยวข้องกับเอกสารด้านไอที คู่มือการสนับสนุน ผังองค์กร และผู้ดูแลระบบ vSphere รวมถึงการรวบรวมข้อมูลประจำตัวจาก Password Manager เช่น HashiCorp Vault หรือโซลูชัน Privileged Access Management (PAM) อื่นๆ ผู้โจมตีพบว่ามีการโทรศัพท์เพิ่มเติมไปยังแผนก IT Help Desk ของบริษัทเพื่อปลอมเป็นผู้ดูแลระบบที่มีมูลค่าสูงและขอล้างรหัสผ่านเพื่อเข้าควบคุมบัญชี

2. การเปลี่ยนผ่านไปยังสภาพแวดล้อมเสมือน: ใช้ Active Directory ที่เชื่อมโยงกับข้อมูลประจำตัว vSphere และเข้าถึง VMware vCenter Server Appliance (vCSA) หลังจากนั้นจะมีการรัน "teleport" เพื่อสร้าง Persistent และ Encrypted Reverse Shell ที่หลีกเลี่ยงกฎไฟร์วอลล์

3. การเปิดใช้งาน SSH Connections บน ESXi Hosts และการรีเซ็ตรหัสผ่าน Root: พร้อมทั้งดำเนินการโจมตีที่เรียกว่า "disk-swap" เพื่อดึงฐานข้อมูล Active Directory NTDS.dit การโจมตีนี้ทำงานโดยการปิดเครื่องเสมือน Domain Controller (DC VM) และถอด Virtual Disk ออก จากนั้นจึงแนบเข้ากับเครื่องเสมือนอื่นที่อยู่ภายใต้การควบคุมของผู้โจมตี และไม่มีการตรวจสอบ หลังจากคัดลอกไฟล์ NTDS.dit แล้ว กระบวนการทั้งหมดจะถูกย้อนกลับและเปิดเครื่อง DC

4. การใช้สิทธิ์เข้าถึงเพื่อลบงานสำรอง ข้อมูลสแนปช็อต และพื้นที่เก็บข้อมูล เพื่อยับยั้งการกู้คืน

5. การใช้สิทธิ์เข้าถึง SSH ไปยัง ESXi Hosts เพื่อส่งไบนารี ransomware แบบกำหนดเองผ่าน SCP/SFTP

Google ระบุว่า "แผนการของ UNC3944 ต้องการการเปลี่ยนแปลงกลยุทธ์การป้องกันขั้นพื้นฐาน โดยเปลี่ยนจากการล่าภัยคุกคามที่ใช้ EDR ไปสู่การป้องกันเชิงรุกที่เน้นโครงสร้างพื้นฐาน" และเสริมว่า "ภัยคุกคามนี้แตกต่างจาก ransomware ของ Windows ทั่วไปในสองประเด็นคือ ความเร็วและการซ่อนเร้น"

ยักษ์ใหญ่ด้านเทคโนโลยีรายนี้ยังกล่าวถึง "ความรวดเร็วอย่างยิ่ง" ของผู้คุกคาม โดยระบุว่าลำดับการติดเชื้อทั้งหมดตั้งแต่การเข้าถึงเบื้องต้นไปจนถึงการขโมยข้อมูลและการติดตั้ง ransomware สุดท้ายสามารถเกิดขึ้นได้ภายในไม่กี่ชั่วโมง จากข้อมูลของ Palo Alto Networks Unit 42 ผู้โจมตีของ Scattered Spider ไม่เพียงแต่เชี่ยวชาญด้าน Social Engineering เท่านั้น แต่ยังได้ร่วมมือกับโปรแกรม ransomware "DragonForce" (หรือที่รู้จักในชื่อ Slippery Scorpius) โดยมีกรณีหนึ่งที่ขโมยข้อมูลไปมากกว่า 100 GB ภายในระยะเวลาสองวัน

เพื่อรับมือกับภัยคุกคามดังกล่าว องค์กรต่างๆ ได้รับคำแนะนำให้ปฏิบัติตามมาตรการป้องกันสามชั้น:

1. เปิดใช้งาน vSphere lockdown mode, บังคับใช้ execInstalledOnly, ใช้ vSphere VM encryption, ยกเลิกการใช้งาน VM เก่าๆ และเพิ่มความปลอดภัยให้กับ Help Desk

2. ใช้ Multi-Factor Authentication (MFA) ที่ทนทานต่อการฟิชชิ่ง, แยกโครงสร้างพื้นฐานข้อมูลประจำตัวที่สำคัญ และหลีกเลี่ยง Authentication Loops

3. รวมศูนย์และตรวจสอบบันทึก (logs) ที่สำคัญ, แยกข้อมูลสำรองออกจาก Active Directory ที่ใช้ในการผลิต และตรวจสอบให้แน่ใจว่าผู้ดูแลระบบที่ถูกบุกรุกไม่สามารถเข้าถึงได้

Google กล่าวว่า "Ransomware ที่มุ่งเป้าไปที่โครงสร้างพื้นฐาน vSphere รวมถึงทั้ง ESXi hosts และ vCenter Server มีความเสี่ยงอย่างรุนแรงเป็นพิเศษ เนื่องจากความสามารถในการทำให้โครงสร้างพื้นฐานเป็นอัมพาตได้อย่างรวดเร็วและทั่วถึง"

"การไม่แก้ไขความเสี่ยงที่เชื่อมโยงกันเหล่านี้อย่างเป็นเชิงรุกโดยการนำมาตรการบรรเทาผลกระทบที่แนะนำเหล่านี้ไปใช้ จะทำให้องค์กรเสี่ยงต่อการถูกโจมตีแบบกำหนดเป้าหมายที่สามารถทำให้โครงสร้างพื้นฐานเสมือนทั้งหมดเป็นอัมพาตได้อย่างรวดเร็ว ซึ่งนำไปสู่การหยุดชะงักของการดำเนินงานและความสูญเสียทางการเงิน"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก