ผู้เชี่ยวชาญ Microsoft 365 Defender Research Team, Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Cyber Defense Operations Center (CDOC) เปิดเผยรายละเอียดของกลุ่มแฮกเกอร์ที่เข้าโจมตีระบบ SolarWinds (ซอฟต์แวร์บริหารจัดการอุปกรณ์เครือข่ายรูปแบบหนึ่งที่หน่วยงานนิยมใช้กันอย่างแพร่หลาย) สามารถผ่านการตรวจจับระบบรักษาความปลอดภัยได้

การโจมตีเริ่มขึ้นในเดือนกุมภาพันธ์ปี 2020 ต่อเนื่องมาจนถึงปัจจุบัน โดยแฮกเกอร์เริ่มจากการใช้ SolarWinds DLL backdoor ในการ compromise network ของเป้าหมาย หลังจากนั้นทำการ custom Cobalt Strike และเลือกเป้าหมายเพื่อเริ่มโจมตีแบบ hands-on attack ในเดือนพฤษภาคมและเดือนต่อมา (มิถุนายน) แฮกเกอร์ได้ลบ backdoor generation และ compromised code จาก SolarWinds binary เพื่อโจมตีต่อในลักษณะ hands-on-keyboard โดยใช้ Cobalt Strike ซึ่งถือว่าเป็นการโจมตีอย่างต่อเนื่องยาวนานถึงปัจจุบัน

ทั้งหมดเป็นรายละเอียดจากทีมผู้เชี่ยวชาญ Microsoft ที่ค้นพบในระหว่างการสืบสวนเหตุการณ์โจมตี SolarWinds supply-chain attack โดยแฮกเกอร์ถูกติดตามในชื่อ StellarParticle(CrowdStrike), UNC2452(FireEye), SolarStorm(Palo Alto Unit 42) และ Dark Halo(Volexity)

สำหรับเทคนิคโจมตีที่ทีมผู้เชี่ยวชาญจาก Microsoft เปิดเผยมีรายละเอียดดังนี้

  1. ใช้ custom Cobalt Strike DLL บนเครื่องของผู้ใช้งานเพื่อหลบเลี่ยง IOC บนเครื่อง
  2. เปลี่ยนชื่อเครื่องมือและ binary ให้ตรงกับไฟล์บนเครื่องเพื่ออำพราง
  3. ปิดการใช้งาน event logging โดยใช้เครื่องมือ AUDITPOL ก่อน keyboard activity และ back afterward
  4. สร้าง Firewall rule เพื่อลด packet ขาออกสำหรับบาง protocol ในกิจกรรมที่มีการใช้ network ปริมาณมาก (จะลบออกหลังดำเนินการเหล่านี้เสร็จสิ้น)
  5. ปิด security service บนเครื่องเป้าหมายก่อน lateral movement
  6. คาดว่ามีการใช้ timestomping เพื่อเปลี่ยน timestamp บนระบบเป้าหมายเพื่อซ่อนการติดตั้ง malicious DLL

การเปิดเผยในครั้งนี้ ทีม Microsoft มองว่าเป็นเทคนิคการโจมตีที่น่าสนใจและน่าศึกษา เพราะผู้โจมตีมีทักษะ ความรู้เกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยเป็นอย่างดี จึงทำให้สามารถหลบเลี่ยงระบบตรวจจับได้ อย่างไรก็ตาม Microsoft จะหาวิธีเพื่อรับมือให้ได้โดยเร็วที่สุด เพื่อความปลอดภัยของผู้ใช้งาน

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/



เนื้อหาที่เกี่ยวข้อง

1. MassLogger Trojan พุ่งเป้าขโมยข้อมูลผู้ใช้ Chrome และ Outlook

2. Clop ransomware ปล่อยข้อมูลของ Jones Day ลง Darkweb

3. พบ Javali Trojan มุ่งโจมตีกลุ่มธนาคารทั่วทวีปอเมริกาใต้

4. Microsoft เร่งผู้ใช้ควรอัปเดต Patch Windows แก้บั๊ก TCP/IP

5. บัญชี Spotify รั่วไหลอีกครั้งเกือบ 100,000 บัญชี