Blind Eagle ใช้ GitHub กระจายมัลแวร์! วิธีป้องกันการโจมตี NTLM Relay
Blind Eagle: แฮกเกอร์ระดับชาติใช้ช่องโหว่ NTLM และ GitHub-Based Attacks โจมตีโคลอมเบีย
ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็ว ล่าสุด Blind Eagle กลุ่มแฮกเกอร์ที่เคยโจมตีองค์กรในละตินอเมริกา กลับมาอีกครั้งพร้อมเทคนิคใหม่ที่ซับซ้อนกว่าเดิม พวกเขาใช้ ช่องโหว่ของ NTLM (NT LAN Manager), Remote Access Trojans (RATs) และ GitHub-Based Attacks เพื่อเจาะระบบของหน่วยงานสำคัญในโคลอมเบีย
การโจมตีนี้สะท้อนถึงความอันตรายของช่องโหว่ด้านความปลอดภัยที่ยังไม่ได้รับการแก้ไข และความสามารถของแฮกเกอร์ในการใช้แพลตฟอร์มที่ถูกต้องตามกฎหมาย เช่น GitHub เพื่อหลีกเลี่ยงการตรวจจับของระบบป้องกันภัยทางไซเบอร์
Blind Eagle: ใครคือกลุ่มแฮกเกอร์นี้?
Blind Eagle หรือที่รู้จักในชื่อ APT-C-36 เป็นกลุ่มแฮกเกอร์ที่มี เป้าหมายหลักคือหน่วยงานภาครัฐ สถาบันการเงิน และองค์กรเอกชน ในประเทศแถบละตินอเมริกา กลุ่มนี้เคยใช้มัลแวร์ประเภท Remote Access Trojans (RATs) ในการเข้าถึงข้อมูลขององค์กร โดยเฉพาะใน โคลอมเบีย, เปรู และเอกวาดอร์
สิ่งที่ทำให้ Blind Eagle อันตรายมากขึ้น คือ พวกเขามักใช้เทคนิค Social Engineering และฟิชชิ่ง (Phishing) เพื่อหลอกให้เป้าหมายติดตั้งมัลแวร์เอง ก่อนที่จะใช้ประโยชน์จากช่องโหว่ต่าง ๆ เพื่อขยายการโจมตี
Blind Eagle ใช้วิธีการโจมตีแบบใด?
1. ใช้ช่องโหว่ NTLM ในการขโมยข้อมูลการพิสูจน์ตัวตน
NTLM เป็นโปรโตคอลพิสูจน์ตัวตนที่ Microsoft ใช้มานาน แต่มีจุดอ่อนที่แฮกเกอร์สามารถใช้เทคนิค NTLM Relay Attack เพื่อดักจับและปลอมแปลงข้อมูลของผู้ใช้ได้ Blind Eagle ใช้ช่องโหว่นี้เพื่อเข้าถึงบัญชีผู้ใช้ในเครือข่ายองค์กร
2. แพร่กระจาย Remote Access Trojans (RATs) เพื่อเข้าควบคุมระบบ
มัลแวร์ประเภท RATs ช่วยให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของเป้าหมายจากระยะไกล และทำสิ่งต่อไปนี้
- สอดแนมข้อมูลสำคัญ เช่น รหัสผ่าน อีเมล และเอกสารทางธุรกิจ
- ดาวน์โหลดและติดตั้งมัลแวร์เพิ่มเติม เพื่อขยายการโจมตี
- เข้าถึงข้อมูลทางการเงิน และข้อมูลที่มีความสำคัญต่อองค์กร
3. ใช้ GitHub เป็นศูนย์กลางในการแพร่กระจายมัลแวร์
Blind Eagle อัปโหลดมัลแวร์และสคริปต์อันตรายไปยัง GitHub ซึ่งเป็นแพลตฟอร์มที่ได้รับความเชื่อถือ ทำให้สามารถ เลี่ยงระบบตรวจจับของซอฟต์แวร์ป้องกันไวรัส ก่อนที่เหยื่อจะดาวน์โหลดไฟล์โดยไม่รู้ตัว
ผลกระทบของการโจมตี
1. หน่วยงานรัฐและองค์กรเอกชนในโคลอมเบียได้รับผลกระทบหนัก
การโจมตีของ Blind Eagle มีเป้าหมายที่หลากหลาย รวมถึง
- หน่วยงานภาครัฐ ที่ดูแลด้านเศรษฐกิจ ความมั่นคง และข้อมูลประชาชน
- สถาบันการเงิน ซึ่งมีข้อมูลทางการเงินของลูกค้าและองค์กร
- บริษัทเอกชน ที่มีข้อมูลสำคัญเกี่ยวกับธุรกิจและลูกค้า
2. ข้อมูลที่ถูกขโมยอาจถูกนำไปใช้โจมตีเพิ่มเติม
ข้อมูลที่ถูกดักจับอาจถูกนำไปใช้ในการ
- โจมตีแบบฟิชชิ่ง (Phishing) และวิศวกรรมสังคม (Social Engineering)
- ขายในตลาดมืด (Dark Web) ให้กับกลุ่มแฮกเกอร์อื่น ๆ
- ใช้เป็นฐานในการโจมตีองค์กรอื่น ๆ ในภูมิภาค
3. ความท้าทายในการรับมือกับภัยคุกคามที่ซับซ้อนขึ้น
Blind Eagle ใช้วิธีการที่ซับซ้อนและเลี่ยงการตรวจจับได้ง่าย ทำให้หน่วยงานรัฐและองค์กรเอกชนต้อง เร่งพัฒนามาตรการป้องกันที่ดียิ่งขึ้น
วิธีป้องกันการโจมตีจาก Blind Eagle และกลุ่มแฮกเกอร์อื่น ๆ
1. ปิดการใช้งาน NTLM และใช้ Kerberos Authentication แทน
NTLM เป็นโปรโตคอลที่มีจุดอ่อนมาก ควรปิดใช้งานและเปลี่ยนไปใช้ Kerberos Authentication ซึ่งมีความปลอดภัยสูงกว่า
2. ใช้ Multi-Factor Authentication (MFA) ในทุกระบบ
MFA เป็นหนึ่งในวิธีป้องกันที่มีประสิทธิภาพมากที่สุด เพราะถึงแม้แฮกเกอร์จะขโมยรหัสผ่านไปได้ ก็ยังต้องมีปัจจัยการยืนยันตัวตนเพิ่มเติม เช่น รหัส OTP หรือการยืนยันตัวตนด้วยไบโอเมตริกซ์
3. เฝ้าระวังการดาวน์โหลดไฟล์จาก GitHub และแหล่งที่ไม่น่าเชื่อถือ
ผู้ใช้ควรตรวจสอบที่มาของไฟล์ก่อนดาวน์โหลด โดยเฉพาะไฟล์ที่เป็น สคริปต์ PowerShell หรือไฟล์ปฏิบัติการ ที่มาจาก GitHub หรือแหล่งที่ไม่น่าเชื่อถือ
4. ติดตั้ง Endpoint Detection and Response (EDR) และอัปเดตซอฟต์แวร์รักษาความปลอดภัย
EDR ช่วยให้สามารถตรวจจับพฤติกรรมที่น่าสงสัยและตอบสนองต่อภัยคุกคามได้อย่างรวดเร็ว ควรใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีการอัปเดตเป็นประจำ
5. อบรมพนักงานเกี่ยวกับ Social Engineering และฟิชชิ่ง
การโจมตีหลายครั้งของ Blind Eagle อาศัยการหลอกลวงเหยื่อให้ติดตั้งมัลแวร์เอง การให้ความรู้แก่พนักงานเกี่ยวกับวิธีตรวจจับฟิชชิ่งอีเมลและ Social Engineering จึงเป็นสิ่งจำเป็น
บทสรุป
Blind Eagle ยังคงเป็นหนึ่งในกลุ่มแฮกเกอร์ที่อันตรายในละตินอเมริกา โดยในครั้งนี้ พวกเขาใช้ช่องโหว่ NTLM, RATs และ GitHub-Based Attacks เพื่อขโมยข้อมูลของหน่วยงานรัฐและองค์กรเอกชนในโคลอมเบีย
เพื่อป้องกันการโจมตีในลักษณะนี้ องค์กรควร
- ปิดการใช้งาน NTLM และใช้ Kerberos Authentication
- ใช้ Multi-Factor Authentication (MFA)
- เฝ้าระวังการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
- ติดตั้งซอฟต์แวร์รักษาความปลอดภัยที่มีระบบ EDR
- อบรมพนักงานเกี่ยวกับ Social Engineering และฟิชชิ่ง
Loading...
Post ID: 25879 | TTT-WEBSITE | AFRA APACHE
