ค้นพบเป้าหมายใหม่ในการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์ก
2024.03.12
ค้นพบเป้าหมายใหม่ในการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์ก
การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์กเมื่อปีที่แล้วอาจไม่เกี่ยวข้องกับกลุ่มแฮ็ก Sandworm ที่เชื่อมโยงกับรัสเซีย ซึ่งเป็นข้อค้นพบใหม่จากการแสดง Forescout
การโจมตีซึ่งกำหนดเป้าหมายไปที่องค์กรพลังงานของเดนมาร์ก 22 แห่งครั้งแรกในเดือนพฤษภาคม 2566 เกิดขึ้นในสองระลอกที่แตกต่างกัน โดยระลอกแรกใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในไฟร์วอลล์ของ Zyxel (CVE-2023-28771) และเหตุการณ์ที่เกี่ยวข้องซึ่งเห็นว่าผู้ไม่ประสงค์ดีปรับใช้ Mirai botnet variants บนโฮสต์
ที่ติดไวรัสผ่านทางเวกเตอร์การเข้าถึงเริ่มต้นที่ยังไม่เป็นที่รู้จัก
ครั้งแรกเกิดขึ้นในวันที่ 11 พฤษภาคม ในขณะที่ครั้งที่สองเกิดขึ้นตั้งแต่วันที่ 22 ถึง 31 พฤษภาคม 2566 ในการโจมตีหนึ่งที่ตรวจพบเมื่อวันที่ 24 พฤษภาคม พบว่าระบบที่ถูกขโมยข้อมูลนั้นกำลังติดต่อกับที่อยู่ IP (217.57.80[.]18 และ 70.62.153[.]174) ซึ่งก่อนหน้านี้เคยถูกใช้เป็น Command-and-Control (C2) สำหรับ Cyclops Blink botnet ที่ถูกปิดแล้ว
การตรวจสอบอย่างละเอียดของการโจมตีนี้โดย Forescout ได้เปิดเผยว่าไม่เพียงแต่ทั้งสองครั้ง
ของการโจมตีไม่เกี่ยวข้องกัน แต่ยังมีความเป็นไปได้ว่าไม่ได้เป็นผลงานของกลุ่มที่ได้รับการสนับสนุนจากภาครัฐ เนื่องจากครั้งที่สองเป็นส่วนหนึ่งของการโจมตีที่เน้นในการโจมตีไฟร์วอล Zyxel ที่ยังไม่ได้รับการแก้ไข
ซึ่งขณะนี้ยังไม่ทราบว่าใครเป็นผู้กระทำการโจมตีทั้งสองครั้งนี้
แคมเปญนี้อธิบายว่าเป็น ‘ second wave’ การโจมตีในเดนมาร์ก เริ่มต้นก่อนและต่อเนื่องหลังจาก [ระยะเวลา 10 วัน] โดยกำหนดเป้าหมายไฟร์วอลล์โดยไม่เลือกปฏิบัติในลักษณะที่คล้ายกันมาก โดยเปลี่ยนเฉพาะเซิร์ฟเวอร์ชั่วคราวเป็นระยะเท่านั้น
มีหลักฐานที่บ่งชี้ว่าการโจมตีนี้อาจเริ่มต้นเร็วที่สุดในวันที่ 16 กุมภาพันธ์โดยใช้อุปกรณ์ Zyxel ที่ทราบอื่นๆ (CVE-2020-9054 และ CVE-2022-30525) ควบคู่ไปกับ CVE-2023-28771 และยังคงมีอยู่จนถึงเดือนตุลาคม 2566 โดยมีกิจกรรมเจาะลึกหน่วยงานต่างๆ ทั่วยุโรปและสหรัฐอเมริกา
นี่เป็นหลักฐานเพิ่มเติมที่การใช้ช่องโหว่ CVE-2023-27881 ไม่ได้ถูกจำกัดเพียงแค่สำหรับสถานีพลังงานในเดนมาร์ก กำลังดำเนินอยู่และมุ่งเป้าไปที่อุปกรณ์ที่ถูกเผยแพร่ ซึ่งบางส่วนบังเอิญเป็นไฟร์วอลล์ของ Zyxel
ที่ปกป้ององค์กรโครงสร้างพื้นฐาน
Ref: https://thehackernews.com/2024/01/new-findings-challenge-attribution-in.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05