TruffleNet: ปฏิบัติการแฮกระบบคลาวด์ครั้งใหญ่ ใช้ AWS SES และ Portainer ควบคุมโฮสต์อันตรายกว่า 800 เครื่อง
Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส
แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน
เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล
หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000
แคมเปญ TruffleNet ใช้ AWS SES และ Portainer
ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC
ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย
ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล
เทคนิคการแฝงตัวและควบคุมระบบ
ใช้ TruffleHog สแกนหา AWS key ที่รั่ว
ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker
เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล
การโจมตีแบบ BEC (Business Email Compromise)
ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก
ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม
หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์
คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker
ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ
จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ
ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP
ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม
https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/
Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส
แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน
เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล
หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000
แคมเปญ TruffleNet ใช้ AWS SES และ Portainer
ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC
ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย
ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล
เทคนิคการแฝงตัวและควบคุมระบบ
ใช้ TruffleHog สแกนหา AWS key ที่รั่ว
ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker
เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล
การโจมตีแบบ BEC (Business Email Compromise)
ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก
ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม
หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์
คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker
ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ
จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ
ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP
ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม
https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/
☁️ TruffleNet: ปฏิบัติการแฮกระบบคลาวด์ครั้งใหญ่ ใช้ AWS SES และ Portainer ควบคุมโฮสต์อันตรายกว่า 800 เครื่อง
Fortinet เผยแคมเปญไซเบอร์ “TruffleNet” ที่ใช้บัญชี AWS ที่ถูกขโมยมาเพื่อส่งอีเมลหลอกลวง (BEC) ผ่าน Amazon SES และควบคุมโครงสร้างพื้นฐานกว่า 800 โฮสต์โดยใช้ Portainer ซึ่งเป็นเครื่องมือจัดการ Docker แบบโอเพ่นซอร์ส
แฮกเกอร์เริ่มจากการใช้เครื่องมือ TruffleHog สแกนหา AWS key ที่รั่วไหล จากนั้นใช้ API ของ AWS เช่น GetCallerIdentity และ GetSendQuota เพื่อตรวจสอบว่า key ใช้งานได้หรือไม่ และสามารถส่งอีเมลผ่าน SES ได้มากแค่ไหน
เมื่อได้ key ที่ใช้ได้ พวกเขาจะใช้ Portainer เป็นแดชบอร์ดควบคุมเครื่องจำนวนมาก โดยติดตั้ง OpenSSH และเปิดพอร์ตที่ใช้ควบคุม เช่น 5432 และ 3389 เพื่อสั่งการจากระยะไกล
หนึ่งในเทคนิคที่น่ากลัวคือการใช้ DomainKeys Identified Mail (DKIM) ที่ขโมยมาจากเว็บไซต์ WordPress ที่ถูกแฮก เพื่อสร้างตัวตนปลอมในการส่งอีเมลหลอกลวง เช่น การปลอมเป็นบริษัท ZoomInfo เพื่อหลอกให้เหยื่อโอนเงินกว่า $50,000
✅ แคมเปญ TruffleNet ใช้ AWS SES และ Portainer
➡️ ใช้ AWS key ที่ถูกขโมยมาเพื่อส่งอีเมล BEC
➡️ ใช้ Portainer ควบคุมโฮสต์กว่า 800 เครื่องใน 57 เครือข่าย
➡️ ใช้ API ของ AWS ตรวจสอบสิทธิ์และขีดจำกัดการส่งอีเมล
✅ เทคนิคการแฝงตัวและควบคุมระบบ
➡️ ใช้ TruffleHog สแกนหา AWS key ที่รั่ว
➡️ ใช้ Portainer เป็นแดชบอร์ดควบคุม Docker
➡️ เปิดพอร์ต 5432 และ 3389 เพื่อควบคุมจากระยะไกล
✅ การโจมตีแบบ BEC (Business Email Compromise)
➡️ ใช้ DKIM จากเว็บไซต์ WordPress ที่ถูกแฮก
➡️ ปลอมเป็นบริษัทจริง เช่น ZoomInfo ส่งใบแจ้งหนี้ปลอม
➡️ หลอกให้เหยื่อโอนเงินไปยังบัญชีของแฮกเกอร์
‼️ คำเตือนสำหรับองค์กรที่ใช้ AWS และ Docker
⛔ ตรวจสอบการรั่วไหลของ AWS key อย่างสม่ำเสมอ
⛔ จำกัดสิทธิ์ของ key และตรวจสอบการใช้ API ที่ผิดปกติ
⛔ ป้องกันการเข้าถึง Portainer ด้วยการตั้งรหัสผ่านและจำกัด IP
⛔ ตรวจสอบ DKIM และ SPF ของโดเมนเพื่อป้องกันการปลอม
https://securityonline.info/cloud-abuse-trufflenet-bec-campaign-hijacks-aws-ses-and-portainer-to-orchestrate-800-malicious-hosts/
0 Comments
0 Shares
31 Views
0 Reviews
Thai