ค้นพบเป้าหมายใหม่ในการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์ก
2024.03.12
ค้นพบเป้าหมายใหม่ในการโจมตีทางไซเบอร์ มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์ก
การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์กเมื่อปีที่แล้วอาจไม่เกี่ยวข้องกับกลุ่มแฮ็ก Sandworm ที่เชื่อมโยงกับรัสเซีย ซึ่งเป็นข้อค้นพบใหม่จากการแสดง Forescout
การโจมตีซึ่งกำหนดเป้าหมายไปที่องค์กรพลังงานของเดนมาร์ก 22 แห่งครั้งแรกในเดือนพฤษภาคม 2566 เกิดขึ้นในสองระลอกที่แตกต่างกัน โดยระลอกแรกใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในไฟร์วอลล์ของ Zyxel (CVE-2023-28771) และเหตุการณ์ที่เกี่ยวข้องซึ่งเห็นว่าผู้ไม่ประสงค์ดีปรับใช้ Mirai botnet variants บนโฮสต์
ที่ติดไวรัสผ่านทางเวกเตอร์การเข้าถึงเริ่มต้นที่ยังไม่เป็นที่รู้จัก
ครั้งแรกเกิดขึ้นในวันที่ 11 พฤษภาคม ในขณะที่ครั้งที่สองเกิดขึ้นตั้งแต่วันที่ 22 ถึง 31 พฤษภาคม 2566 ในการโจมตีหนึ่งที่ตรวจพบเมื่อวันที่ 24 พฤษภาคม พบว่าระบบที่ถูกขโมยข้อมูลนั้นกำลังติดต่อกับที่อยู่ IP (217.57.80[.]18 และ 70.62.153[.]174) ซึ่งก่อนหน้านี้เคยถูกใช้เป็น Command-and-Control (C2) สำหรับ Cyclops Blink botnet ที่ถูกปิดแล้ว
การตรวจสอบอย่างละเอียดของการโจมตีนี้โดย Forescout ได้เปิดเผยว่าไม่เพียงแต่ทั้งสองครั้ง
ของการโจมตีไม่เกี่ยวข้องกัน แต่ยังมีความเป็นไปได้ว่าไม่ได้เป็นผลงานของกลุ่มที่ได้รับการสนับสนุนจากภาครัฐ เนื่องจากครั้งที่สองเป็นส่วนหนึ่งของการโจมตีที่เน้นในการโจมตีไฟร์วอล Zyxel ที่ยังไม่ได้รับการแก้ไข
ซึ่งขณะนี้ยังไม่ทราบว่าใครเป็นผู้กระทำการโจมตีทั้งสองครั้งนี้
แคมเปญนี้อธิบายว่าเป็น ‘ second wave’ การโจมตีในเดนมาร์ก เริ่มต้นก่อนและต่อเนื่องหลังจาก [ระยะเวลา 10 วัน] โดยกำหนดเป้าหมายไฟร์วอลล์โดยไม่เลือกปฏิบัติในลักษณะที่คล้ายกันมาก โดยเปลี่ยนเฉพาะเซิร์ฟเวอร์ชั่วคราวเป็นระยะเท่านั้น
มีหลักฐานที่บ่งชี้ว่าการโจมตีนี้อาจเริ่มต้นเร็วที่สุดในวันที่ 16 กุมภาพันธ์โดยใช้อุปกรณ์ Zyxel ที่ทราบอื่นๆ (CVE-2020-9054 และ CVE-2022-30525) ควบคู่ไปกับ CVE-2023-28771 และยังคงมีอยู่จนถึงเดือนตุลาคม 2566 โดยมีกิจกรรมเจาะลึกหน่วยงานต่างๆ ทั่วยุโรปและสหรัฐอเมริกา
นี่เป็นหลักฐานเพิ่มเติมที่การใช้ช่องโหว่ CVE-2023-27881 ไม่ได้ถูกจำกัดเพียงแค่สำหรับสถานีพลังงานในเดนมาร์ก กำลังดำเนินอยู่และมุ่งเป้าไปที่อุปกรณ์ที่ถูกเผยแพร่ ซึ่งบางส่วนบังเอิญเป็นไฟร์วอลล์ของ Zyxel
ที่ปกป้ององค์กรโครงสร้างพื้นฐาน
Ref: https://thehackernews.com/2024/01/new-findings-challenge-attribution-in.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
บริษัทรักษาความปลอดภัยทางไซเบอร์ปฏิเสธการเทคโอเวอร์ Google มูลค่า 23,000 ล้านดอลลาร์
Wiz บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล ปฏิเสธข้อเสนอเทคโอเวอร์มูลค่า 23,000 ล้านดอลลาร์สหรัฐฯ (17,800 ล้านปอนด์) จากบริษัทแม่ของ Google อย่าง Alphabet ซึ่งถือเป็นการเข้าซื้อกิจการครั้งใหญ่ที่สุดเท่าที่เคยมีมา ในบันทึกภายในถึงพนักงานของ BBC ผู้ก่อตั้ง Wiz และประธานเจ้าหน้าที่บริหาร Assaf Rappaport กล่าวว่าเขา "รู้สึกยินดี" กับข้อเสนอนี้
2024.07.25
ข่าว
ความปลอดภัย
ทำความรู้จัก “CrowdStrike“ คืออะไร ? ต้นเหตุทำวิกฤติจอฟ้าทั่วโลก
ทำความรู้จัก “CrowdStrike“ คืออะไร ? ต้นเหตุทำวิกฤติจอฟ้าทั่วโลก
2024.07.23
ข่าว
ความปลอดภัย
โทรจัน Anatasa Banking กลับมาอีกครั้ง มุ่งเป้าไปที่ธนาคารในยุโรป
ตามข้อมูลใหม่โดยนักวิจัย ThreatFabric พบว่าแคมเปญโทรจันธนาคาร Anatsa พุ่งเป้าไปที่ธนาคารในยุโรปมากขึ้นเรื่อยๆ นับตั้งแต่เปิดตัวอีกครั้งในเดือนพฤศจิกายน พ.ศ. 2566 แคมเปญอานาตสาได้แสดงออกใน 5 กลุ่มที่แตกต่างกัน โดยกำหนดเป้าหมายไปยังภูมิภาคต่างๆ รวมถึงสโลวาเกีย สโลวีเนีย ควบคู่ไปกับพื้นที่ที่ได้รับผลกระทบก่อนหน้านี้ เช่น สหราชอาณาจักร เยอรมนี และสเปน โดยเฉพาะอย่างยิ่ง แคมเปญได้พัฒนากลยุทธ์ตั้งแต่ปีที่แล้ว โดยใช้วิธีการที่ซับซ้อน เช่น การละเมิดบริการการเข้าถึง และกระบวนการติดไวรัสหลายขั้นตอน
2024.06.06