กลุ่มแฮ็กเกอร์ CloudSorcerer มุ่งเป้าโจมตีหน่วยงานของรัฐบาลรัสเซียผ่านบริการคลาวด์สาธารณะ

SEC News

Loading

เว็บไซต์ The Hackernews รายงานเมื่อ 8 ก.ค.67 ว่า กลุ่มผู้ก่อภัยคุกคามขั้นสูง (APT) ใหม่ ชื่อว่า CloudSorcerer ซึ่งยังไม่มีการบันทึกข้อมูลไว้ก่อนหน้านี้ กำลังโจมตีหน่วยงานของรัฐบาลรัสเซียที่การใช้บริการคลาวด์ เช่น Microsoft Graph, Yandex Cloud และ Dropbox โดยทำการสั่งการและควบคุม (command-and-control หรือ C2) และการขโมยข้อมูลของเหยื่อ ทั้งนี้ รูปแบบการโจมตีของกลุ่ม CloudSorcerer คล้ายคลึงกับกลุ่ม CloudWizard แต่แตกต่างกันที่ซอร์สโค้ดของมัลแวร์ 

ผู้เชี่ยวชาญชี้ Winter Vivern ใช้ช่องโหว่ Zimbra ล้วงอีเมลหน่วยงานรัฐยุโรป

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  Proofpoint ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์เผยว่า Winter Vivern (หรือ TA473) กลุ่มแฮ็กเกอร์จากรัสเซียมุ่งโจมตีระบบอีเมล Zimbra เพื่อขโมยอีเมลเจ้าหน้าที่จากประเทศยุโรป   โดยชี้ว่า Winter Vivern ใช้ประโยชน์จากช่องโหว่ที่มีรหัสเรียกขานว่า CVE-2022-27926 ซึ่งอยู่บนเซิร์ฟเวอร์ของ Zimbra Collaboration 9.0 ที่เชื่อมต่อกับอินเทอร์เน็ต   ช่องโหว่นี้ทำให้แฮ็กเกอร์สามารถเปิดใช้งานสคริปต์หรือ HTML บนเว็บจากภายนอกได้ แต่ก็ได้รับการแก้ไขไปแล้วเมื่อเดือนเมษายน 2022   Winter Vivern ใช้วิธีการฟิชชิ่งแบบเจาะจงเป้าหมาย (spear-phishing) ที่ลวงให้เหยื่อคลิกลิงก์ URL ที่ซ่อนโค้ด JavaScript เอาไว้ ซึ่งจะส่งข้อมูลการล็อกอินอีเมลบน Zimbra ของเหยื่อไปให้แฮกเกอร์   ในช่วง 2 ปีที่ผ่านมา Winter Vivern เน้นโจมตีองค์กรของสหรัฐอเมริกาและยุโรปที่สนับสนุนยูเครน โดยเชื่อว่าเคยโจมตีหน่วยงานยูเครนและโปแลนด์มาแล้ว     ที่มา Channel EYE    …