เรื่องเล่าจากเงามืด: เมื่อ Scattered Spider ใช้โทรศัพท์แทนมัลแวร์เพื่อยึดระบบเสมือน
Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงจากการโจมตีองค์กรใหญ่ เช่น MGM Resorts และ Harrods โดยใช้เทคนิคที่ไม่ต้องพึ่งช่องโหว่ซอฟต์แวร์ แต่ใช้ “social engineering” ผ่านการโทรศัพท์ไปยัง Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี Active Directory
เมื่อได้สิทธิ์เข้าระบบแล้ว พวกเขาจะค้นหาข้อมูลภายใน เช่น รายชื่อผู้ดูแลระบบ vSphere และกลุ่มสิทธิ์ระดับสูง แล้วโทรอีกครั้งเพื่อขอรีเซ็ตรหัสของผู้ดูแลระบบ จากนั้นใช้สิทธิ์ที่ได้เข้าไปยึด VMware vCenter Server Appliance (VCSA) และเปิดช่องทาง SSH บน ESXi hypervisor เพื่อควบคุมระบบทั้งหมด
พวกเขายังใช้เครื่องมือถูกกฎหมายอย่าง Teleport เพื่อสร้างช่องทางสื่อสารแบบเข้ารหัสที่หลบเลี่ยงไฟร์วอลล์ และทำการโจมตีแบบ “disk-swap” โดยปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุมเอง เพื่อขโมยฐานข้อมูล NTDS.dit ของ Active Directory
ก่อนจะปล่อยแรนซัมแวร์ พวกเขายังลบงานสำรองข้อมูลและ snapshot ทั้งหมด เพื่อให้เหยื่อไม่มีทางกู้คืนได้ และสุดท้ายก็เข้ารหัสไฟล์ VM ทั้งหมดจากระดับ hypervisor โดยใช้สิทธิ์ root ผ่าน SSH
Scattered Spider (UNC3944) ใช้ social engineering เพื่อยึดระบบ VMware vSphere
เริ่มจากโทรหา Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี AD
ใช้ข้อมูลจากการเจาะระบบภายในเพื่อยกระดับสิทธิ์
กลุ่มนี้ใช้เครื่องมือถูกกฎหมาย เช่น Teleport เพื่อสร้างช่องทางควบคุมแบบเข้ารหัส
ติดตั้งบน VCSA เพื่อหลบเลี่ยงการตรวจจับจาก firewall และ EDR
สร้างช่องทางควบคุมระยะไกลแบบถาวร
เทคนิค “disk-swap” ใช้ในการขโมยฐานข้อมูล Active Directory โดยไม่ถูกตรวจจับ
ปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุม
ขโมยไฟล์ NTDS.dit โดยไม่ผ่านระบบปฏิบัติการของ VM
ก่อนปล่อยแรนซัมแวร์ กลุ่มนี้จะลบงานสำรองข้อมูลทั้งหมด
ลบ backup jobs และ repositories เพื่อป้องกันการกู้คืน
ใช้ SSH บน ESXi hosts เพื่อเข้ารหัสไฟล์ VM โดยตรง
Google แนะนำให้เปลี่ยนแนวทางป้องกันจาก EDR เป็น “infrastructure-centric defense”
เน้นการตรวจสอบระดับ hypervisor และการควบคุมสิทธิ์
ใช้ MFA ที่ต้าน phishing, แยกโครงสร้างสำรองข้อมูล, และตรวจสอบ log อย่างต่อเนื่อง
การโจมตีแบบนี้สามารถเกิดขึ้นได้ภายในเวลาไม่กี่ชั่วโมง
จากการโทรครั้งแรกถึงการเข้ารหัสข้อมูลใช้เวลาเพียงไม่กี่ชั่วโมง
ทำให้ระบบตรวจจับแบบเดิมไม่ทันต่อเหตุการณ์
ระบบ VMware ESXi และ VCSA มีช่องว่างด้านการตรวจสอบที่ EDR มองไม่เห็น
ไม่มี agent รันใน hypervisor ทำให้การโจมตีไม่ถูกตรวจจับ
ต้องใช้การตรวจสอบ log จากระดับระบบเสมือนโดยตรง
การใช้ Active Directory ร่วมกับ vSphere เป็นจุดอ่อนสำคัญ
เมื่อ AD ถูกยึด สิทธิ์ใน vSphere ก็ถูกยึดตามไปด้วย
ควรแยกโครงสร้างสิทธิ์และใช้ MFA ที่ไม่พึ่ง AD
Help Desk กลายเป็นจุดเริ่มต้นของการโจมตี
การรีเซ็ตรหัสผ่านผ่านโทรศัพท์เป็นช่องทางที่ถูกใช้บ่อย
ควรมีขั้นตอนตรวจสอบตัวตนที่เข้มงวดและห้ามรีเซ็ตบัญชีระดับสูงผ่านโทรศัพท์
https://hackread.com/scattered-spider-ransomware-hijack-vmware-systems-google/
Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงจากการโจมตีองค์กรใหญ่ เช่น MGM Resorts และ Harrods โดยใช้เทคนิคที่ไม่ต้องพึ่งช่องโหว่ซอฟต์แวร์ แต่ใช้ “social engineering” ผ่านการโทรศัพท์ไปยัง Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี Active Directory
เมื่อได้สิทธิ์เข้าระบบแล้ว พวกเขาจะค้นหาข้อมูลภายใน เช่น รายชื่อผู้ดูแลระบบ vSphere และกลุ่มสิทธิ์ระดับสูง แล้วโทรอีกครั้งเพื่อขอรีเซ็ตรหัสของผู้ดูแลระบบ จากนั้นใช้สิทธิ์ที่ได้เข้าไปยึด VMware vCenter Server Appliance (VCSA) และเปิดช่องทาง SSH บน ESXi hypervisor เพื่อควบคุมระบบทั้งหมด
พวกเขายังใช้เครื่องมือถูกกฎหมายอย่าง Teleport เพื่อสร้างช่องทางสื่อสารแบบเข้ารหัสที่หลบเลี่ยงไฟร์วอลล์ และทำการโจมตีแบบ “disk-swap” โดยปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุมเอง เพื่อขโมยฐานข้อมูล NTDS.dit ของ Active Directory
ก่อนจะปล่อยแรนซัมแวร์ พวกเขายังลบงานสำรองข้อมูลและ snapshot ทั้งหมด เพื่อให้เหยื่อไม่มีทางกู้คืนได้ และสุดท้ายก็เข้ารหัสไฟล์ VM ทั้งหมดจากระดับ hypervisor โดยใช้สิทธิ์ root ผ่าน SSH
Scattered Spider (UNC3944) ใช้ social engineering เพื่อยึดระบบ VMware vSphere
เริ่มจากโทรหา Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี AD
ใช้ข้อมูลจากการเจาะระบบภายในเพื่อยกระดับสิทธิ์
กลุ่มนี้ใช้เครื่องมือถูกกฎหมาย เช่น Teleport เพื่อสร้างช่องทางควบคุมแบบเข้ารหัส
ติดตั้งบน VCSA เพื่อหลบเลี่ยงการตรวจจับจาก firewall และ EDR
สร้างช่องทางควบคุมระยะไกลแบบถาวร
เทคนิค “disk-swap” ใช้ในการขโมยฐานข้อมูล Active Directory โดยไม่ถูกตรวจจับ
ปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุม
ขโมยไฟล์ NTDS.dit โดยไม่ผ่านระบบปฏิบัติการของ VM
ก่อนปล่อยแรนซัมแวร์ กลุ่มนี้จะลบงานสำรองข้อมูลทั้งหมด
ลบ backup jobs และ repositories เพื่อป้องกันการกู้คืน
ใช้ SSH บน ESXi hosts เพื่อเข้ารหัสไฟล์ VM โดยตรง
Google แนะนำให้เปลี่ยนแนวทางป้องกันจาก EDR เป็น “infrastructure-centric defense”
เน้นการตรวจสอบระดับ hypervisor และการควบคุมสิทธิ์
ใช้ MFA ที่ต้าน phishing, แยกโครงสร้างสำรองข้อมูล, และตรวจสอบ log อย่างต่อเนื่อง
การโจมตีแบบนี้สามารถเกิดขึ้นได้ภายในเวลาไม่กี่ชั่วโมง
จากการโทรครั้งแรกถึงการเข้ารหัสข้อมูลใช้เวลาเพียงไม่กี่ชั่วโมง
ทำให้ระบบตรวจจับแบบเดิมไม่ทันต่อเหตุการณ์
ระบบ VMware ESXi และ VCSA มีช่องว่างด้านการตรวจสอบที่ EDR มองไม่เห็น
ไม่มี agent รันใน hypervisor ทำให้การโจมตีไม่ถูกตรวจจับ
ต้องใช้การตรวจสอบ log จากระดับระบบเสมือนโดยตรง
การใช้ Active Directory ร่วมกับ vSphere เป็นจุดอ่อนสำคัญ
เมื่อ AD ถูกยึด สิทธิ์ใน vSphere ก็ถูกยึดตามไปด้วย
ควรแยกโครงสร้างสิทธิ์และใช้ MFA ที่ไม่พึ่ง AD
Help Desk กลายเป็นจุดเริ่มต้นของการโจมตี
การรีเซ็ตรหัสผ่านผ่านโทรศัพท์เป็นช่องทางที่ถูกใช้บ่อย
ควรมีขั้นตอนตรวจสอบตัวตนที่เข้มงวดและห้ามรีเซ็ตบัญชีระดับสูงผ่านโทรศัพท์
https://hackread.com/scattered-spider-ransomware-hijack-vmware-systems-google/
🕷️ เรื่องเล่าจากเงามืด: เมื่อ Scattered Spider ใช้โทรศัพท์แทนมัลแวร์เพื่อยึดระบบเสมือน
Scattered Spider เป็นกลุ่มแฮกเกอร์ที่มีชื่อเสียงจากการโจมตีองค์กรใหญ่ เช่น MGM Resorts และ Harrods โดยใช้เทคนิคที่ไม่ต้องพึ่งช่องโหว่ซอฟต์แวร์ แต่ใช้ “social engineering” ผ่านการโทรศัพท์ไปยัง Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี Active Directory
เมื่อได้สิทธิ์เข้าระบบแล้ว พวกเขาจะค้นหาข้อมูลภายใน เช่น รายชื่อผู้ดูแลระบบ vSphere และกลุ่มสิทธิ์ระดับสูง แล้วโทรอีกครั้งเพื่อขอรีเซ็ตรหัสของผู้ดูแลระบบ จากนั้นใช้สิทธิ์ที่ได้เข้าไปยึด VMware vCenter Server Appliance (VCSA) และเปิดช่องทาง SSH บน ESXi hypervisor เพื่อควบคุมระบบทั้งหมด
พวกเขายังใช้เครื่องมือถูกกฎหมายอย่าง Teleport เพื่อสร้างช่องทางสื่อสารแบบเข้ารหัสที่หลบเลี่ยงไฟร์วอลล์ และทำการโจมตีแบบ “disk-swap” โดยปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุมเอง เพื่อขโมยฐานข้อมูล NTDS.dit ของ Active Directory
ก่อนจะปล่อยแรนซัมแวร์ พวกเขายังลบงานสำรองข้อมูลและ snapshot ทั้งหมด เพื่อให้เหยื่อไม่มีทางกู้คืนได้ และสุดท้ายก็เข้ารหัสไฟล์ VM ทั้งหมดจากระดับ hypervisor โดยใช้สิทธิ์ root ผ่าน SSH
✅ Scattered Spider (UNC3944) ใช้ social engineering เพื่อยึดระบบ VMware vSphere
➡️ เริ่มจากโทรหา Help Desk เพื่อขอรีเซ็ตรหัสผ่านของบัญชี AD
➡️ ใช้ข้อมูลจากการเจาะระบบภายในเพื่อยกระดับสิทธิ์
✅ กลุ่มนี้ใช้เครื่องมือถูกกฎหมาย เช่น Teleport เพื่อสร้างช่องทางควบคุมแบบเข้ารหัส
➡️ ติดตั้งบน VCSA เพื่อหลบเลี่ยงการตรวจจับจาก firewall และ EDR
➡️ สร้างช่องทางควบคุมระยะไกลแบบถาวร
✅ เทคนิค “disk-swap” ใช้ในการขโมยฐานข้อมูล Active Directory โดยไม่ถูกตรวจจับ
➡️ ปิด VM ของ Domain Controller แล้วถอดดิสก์ไปติดตั้งบน VM ที่ควบคุม
➡️ ขโมยไฟล์ NTDS.dit โดยไม่ผ่านระบบปฏิบัติการของ VM
✅ ก่อนปล่อยแรนซัมแวร์ กลุ่มนี้จะลบงานสำรองข้อมูลทั้งหมด
➡️ ลบ backup jobs และ repositories เพื่อป้องกันการกู้คืน
➡️ ใช้ SSH บน ESXi hosts เพื่อเข้ารหัสไฟล์ VM โดยตรง
✅ Google แนะนำให้เปลี่ยนแนวทางป้องกันจาก EDR เป็น “infrastructure-centric defense”
➡️ เน้นการตรวจสอบระดับ hypervisor และการควบคุมสิทธิ์
➡️ ใช้ MFA ที่ต้าน phishing, แยกโครงสร้างสำรองข้อมูล, และตรวจสอบ log อย่างต่อเนื่อง
‼️ การโจมตีแบบนี้สามารถเกิดขึ้นได้ภายในเวลาไม่กี่ชั่วโมง
⛔ จากการโทรครั้งแรกถึงการเข้ารหัสข้อมูลใช้เวลาเพียงไม่กี่ชั่วโมง
⛔ ทำให้ระบบตรวจจับแบบเดิมไม่ทันต่อเหตุการณ์
‼️ ระบบ VMware ESXi และ VCSA มีช่องว่างด้านการตรวจสอบที่ EDR มองไม่เห็น
⛔ ไม่มี agent รันใน hypervisor ทำให้การโจมตีไม่ถูกตรวจจับ
⛔ ต้องใช้การตรวจสอบ log จากระดับระบบเสมือนโดยตรง
‼️ การใช้ Active Directory ร่วมกับ vSphere เป็นจุดอ่อนสำคัญ
⛔ เมื่อ AD ถูกยึด สิทธิ์ใน vSphere ก็ถูกยึดตามไปด้วย
⛔ ควรแยกโครงสร้างสิทธิ์และใช้ MFA ที่ไม่พึ่ง AD
‼️ Help Desk กลายเป็นจุดเริ่มต้นของการโจมตี
⛔ การรีเซ็ตรหัสผ่านผ่านโทรศัพท์เป็นช่องทางที่ถูกใช้บ่อย
⛔ ควรมีขั้นตอนตรวจสอบตัวตนที่เข้มงวดและห้ามรีเซ็ตบัญชีระดับสูงผ่านโทรศัพท์
https://hackread.com/scattered-spider-ransomware-hijack-vmware-systems-google/
0 ความคิดเห็น
0 การแบ่งปัน
34 มุมมอง
0 รีวิว
English