APT28 โจมตี MDaemon Zero-Day เซิร์ฟเวอร์อีเมลรัฐบาลเสี่ยง

APT28 จากรัสเซียโจมตีเซิร์ฟเวอร์อีเมลรัฐบาลด้วยช่องโหว่ MDaemon Zero-Day – ต้องระวังอะไรบ้าง?

ในยุคที่เทคโนโลยีเป็นส่วนสำคัญของการทำงาน โดยเฉพาะในหน่วยงานรัฐบาลที่ต้องจัดการข้อมูลลับสุดยอด ความปลอดภัยทางไซเบอร์ กลายเป็นเรื่องที่ทุกคนต้องให้ความสำคัญ ล่าสุด กลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัสเซียชื่อ APT28 ได้สร้างความตื่นตัวให้กับวงการความปลอดภัยด้วยการใช้ ช่องโหว่แบบ Zero-Day ในซอฟต์แวร์ MDaemon เพื่อโจมตีเซิร์ฟเวอร์อีเมลของหน่วยงานรัฐบาลในหลายประเทศ

การโจมตีครั้งนี้ถูกตั้งชื่อว่า Operation RoundPress และมีเป้าหมายเพื่อขโมยข้อมูลลับจากอีเมลของเป้าหมาย

Operation RoundPress: การโจมตีที่เงียบแต่ร้ายกาจ

Operation RoundPress เป็นปฏิบัติการจารกรรมไซเบอร์ที่เริ่มต้นตั้งแต่ปี 2023 โดยกลุ่ม APT28 ซึ่งเป็นกลุ่มแฮกเกอร์ที่เชื่อมโยงกับหน่วยข่าวกรองทหารของรัสเซีย (GRU) กลุ่มนี้มีชื่อเรียกหลายชื่อ เช่น Fancy Bear, Forest Blizzard, และ Sednit และมีประวัติการโจมตีหน่วยงานรัฐบาลและองค์กรสำคัญทั่วโลกมาอย่างยาวนาน

เป้าหมายหลักของ Operation RoundPress คือการขโมยข้อมูลลับจากอีเมลของ หน่วยงานรัฐบาลและบริษัทด้านกลาโหม โดยเฉพาะใน ยุโรปตะวันออก, แอฟริกา, และ อเมริกาใต้

วิธีการของ APT28 คือการใช้ ช่องโหว่ Cross-Site Scripting (XSS) ในซอฟต์แวร์เซิร์ฟเวอร์อีเมลยอดนิยม เช่น Roundcube, Horde, Zimbra และ MDaemon เพื่อฝังโค้ด JavaScript ที่เป็นอันตรายลงในหน้าเว็บเมล

สิ่งที่ทำให้การโจมตีครั้งนี้ร้ายแรงเป็นพิเศษคือการใช้ ช่องโหว่แบบ Zero-Day ใน MDaemon (CVE-2024-11182) ซึ่งเป็นช่องโหว่ที่ยังไม่มีแพตช์แก้ไขในขณะที่ถูกโจมตี ทำให้ผู้ดูแลระบบไม่มีโอกาสป้องกันได้ทัน ช่องโหว่นี้ถูกแก้ไขไปแล้วในเดือนพฤศจิกายน 2024 แต่ก่อนหน้านั้น APT28 ได้ใช้มันเพื่อเข้าถึงอีเมลของเป้าหมายอย่างเงียบ ๆ

เป้าหมายของ APT28: ใครถูกโจมตีบ้าง?

APT28 มุ่งเป้าไปที่ หน่วยงานที่มีข้อมูลลับ และมีความสำคัญต่อความมั่นคงของชาติ โดยในปี 2024 เป้าหมายส่วนใหญ่เป็น หน่วยงานรัฐบาลยูเครน และ บริษัทกลาโหมในบัลแกเรียและโรมาเนีย ซึ่งบางแห่งผลิตอาวุธยุคโซเวียตเพื่อส่งไปยังยูเครน

นอกจากนี้ ยังพบเป้าหมายในประเทศอื่น ๆ เช่น

รัฐบาลและหน่วยงานทหารใน กรีซ, แคเมอรูน, เอกวาดอร์, เซอร์เบีย, และ ไซปรัส
องค์กรด้านการศึกษาใน ยุโรปและอเมริกาใต้

การเลือกเป้าหมายเหล่านี้สะท้อนให้เห็นถึง ความต้องการข้อมูลที่เกี่ยวข้องกับความมั่นคงและการทหารของรัสเซีย ซึ่งอาจนำไปใช้ในการวางกลยุทธ์ในความขัดแย้งที่กำลังดำเนินอยู่ เช่น สงครามในยูเครน

วิธีการโจมตีของ APT28: ช่องโหว่ทำงานอย่างไร?

APT28 ใช้ช่องโหว่ XSS เพื่อฝังโค้ด JavaScript ลงในหน้าเว็บเมลของเป้าหมาย ซึ่งเมื่อผู้ใช้เปิดอีเมล โค้ดนี้จะทำงานโดยอัตโนมัติโดยไม่ต้องให้ผู้ใช้คลิกอะไรเลย (Zero-Click Attack) จากนั้นโค้ดจะ

ขโมยประวัติการล็อกอินและรหัสผ่าน
ดึงรหัสยืนยันสองขั้นตอน (2FA)
สร้างรหัสผ่านแอปพลิเคชันใหม่ใน MDaemon เพื่อให้แฮกเกอร์เข้าถึงอีเมลได้ต่อเนื่อง แม้ว่ารหัสผ่านหรือ 2FA จะถูกเปลี่ยน

ที่น่าสนใจคือ APT28 ไม่ได้ใช้ช่องโหว่ใหม่ ๆ เท่านั้น แต่ยังใช้ ช่องโหว่ที่รู้จักกันมานานใน Roundcube (เช่น CVE-2023-43770) ซึ่งถูกเพิ่มในรายการช่องโหว่ที่ถูกโจมตี (Known Exploited Vulnerabilities) ของ CISA ในสหรัฐฯ สะท้อนให้เห็นว่าหลายองค์กรยังไม่ได้อัปเดตซอฟต์แวร์ให้ทันสมัย ทำให้กลายเป็นเป้าง่ายสำหรับแฮกเกอร์

ทำไมเซิร์ฟเวอร์อีเมลถึงเป็นเป้าหมายยอดนิยม?

ในช่วงสองปีที่ผ่านมา เซิร์ฟเวอร์อีเมล เช่น Roundcube, Zimbra, และ MDaemon กลายเป็นเป้าหมายหลักของกลุ่มจารกรรมไซเบอร์หลายกลุ่ม ไม่ว่าจะเป็น APT28, Winter Vivern หรือ GreenCube

สาเหตุหลักคือ:

เข้าถึงง่าย: ช่องโหว่ในเซิร์ฟเวอร์อีเมลสามารถถูกโจมตีได้จากระยะไกล เพียงแค่ส่งอีเมลที่มีโค้ดอันตราย
ข้อมูลลับ: อีเมลของหน่วยงานรัฐบาลมักมีข้อมูลลับ เช่น เอกสารทางการทูตหรือกลยุทธ์ทางทหาร
การอัปเดตช้า: องค์กรจำนวนมากไม่ได้อัปเดตซอฟต์แวร์เซิร์ฟเวอร์อีเมลอย่างสม่ำเสมอ ทำให้ช่องโหว่ที่รู้จักกันมานานยังคงถูกโจมตีได้

ป้องกันการโจมตีจาก APT28 ได้อย่างไร?

เพื่อป้องกันการโจมตีจาก APT28 และกลุ่มแฮกเกอร์อื่น ๆ ที่ใช้ช่องโหว่ในเซิร์ฟเวอร์อีเมล คุณสามารถทำตามขั้นตอนเหล่านี้

อัปเดตซอฟต์แวร์ทันที: ตรวจสอบและติดตั้งแพตช์ล่าสุดสำหรับเซิร์ฟเวอร์อีเมล เช่น MDaemon, Roundcube, หรือ Zimbra
ใช้ระบบกรองอีเมล: ตั้งค่าการกรองอีเมลเพื่อตรวจจับและบล็อกอีเมลที่มีโค้ดอันตราย
จำกัดการเข้าถึง: ปิดการเข้าถึงเซิร์ฟเวอร์อีเมลจากภายนอกถ้าไม่จำเป็น เช่น ปิดพอร์ต 3000 และ 3001
ตรวจสอบบันทึกเซิร์ฟเวอร์: ตรวจสอบบันทึก (log) ของเซิร์ฟเวอร์เพื่อหาความผิดปกติ เช่น คำขอ HTTP POST ที่มีขนาดเกิน 4,096 ไบต์

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันเซิร์ฟเวอร์อีเมล ลองอ่านบทความ วิธีปกป้องเซิร์ฟเวอร์อีเมลจากแฮกเกอร์ (BLOG TTT-WEBSITE: Protect Website Security) หรือดูคำแนะนำจาก CISA ShieldsUp Program

คำถามที่พบบ่อย (FAQ)

APT28 โจมตี MDaemon Zero-Day คืออะไร?
APT28 ใช้ ช่องโหว่ Zero-Day ใน MDaemon (CVE-2024-11182) เพื่อฝังโค้ด JavaScript อันตรายในหน้าเว็บเมล ทำให้สามารถขโมยรหัสผ่าน, รหัส 2FA และข้อมูลลับจากอีเมลได้

ใครคือเป้าหมายของ APT28?

หน่วยงานรัฐบาลและบริษัทกลาโหมในยุโรปตะวันออก เช่น ยูเครน, บัลแกเรีย, โรมาเนีย
องค์กรในแอฟริกาและอเมริกาใต้ เช่น กรีซ, แคเมอรูน, เอกวาดอร์

สรุป: ระวังภัยจาก APT28 และปกป้องอีเมลของคุณ!

APT28 โจมตี MDaemon Zero-Day เป็นตัวอย่างที่ชัดเจนว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลหนุนหลังสามารถสร้างความเสียหายได้มากแค่ไหน การโจมตีครั้งนี้ไม่เพียงแต่ขโมยข้อมูลลับจากหน่วยงานรัฐบาล แต่ยังสะท้อนให้เห็นถึง ความจำเป็นในการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ

หากคุณอยู่ในหน่วยงานที่จัดการข้อมูลสำคัญ อย่าละเลยการป้องกันในทุกขั้นตอน

📢 อยากรู้วิธีป้องกันภัยไซเบอร์เพิ่มเติม? สมัครรับข่าวสารของเราเพื่ออัปเดตเทรนด์ความปลอดภัยล่าสุด!
🔁 แชร์บทความนี้ให้เพื่อน ๆ ที่ทำงานด้านไอที
💬 หรือคอมเมนต์บอกเราว่าคุณมีวิธีป้องกันเซิร์ฟเวอร์อีเมลอย่างไรบ้าง?

Post Views: 44