Microsoft เตือนแฮกเกอร์ใช้ Botnet ในการขโมยข้อมูล Credential

Last updated: 5 Nov 2024

107 Views

สรุปข้อมูล

กลุ่มแฮกเกอร์ Storm-0940 ซึ่งได้รับการสนับสนุนจากรัฐบาลจีน ใช้ Botnet ที่เรียกว่า Quad7 หรือที่รู้จักกันในชื่อ CovertNetwork-1658, 7777, หรือ xlogin ในการโจมตีแบบ Password Spraying เพื่อขโมยข้อมูล Credential ของผู้ใช้งาน และลูกค้าของ Microsoft โดยพยายามเข้าถึงระบบขององค์กรเป้าหมาย จากนั้นจะดำเนินการโจมตีเพิ่มเติม เช่น การติดตั้งมัลแวร์ Trojan การทำ Lateral Movement และการขโมยข้อมูลอื่น ๆ

ในการโจมตีที่ผ่าน ๆ มา Quad7 Botnet มักมุ่งเป้าไปยัง SOHO Router และอุปกรณ์ VPN หลายแบรนด์ เช่น TP-Link, Zyxel, Asus, Axentra, D-Link, และ NETGEAR โดยจะใช้ช่องโหว่ของอุปกรณ์เหล่านี้ในการ Remote Code Execution เพื่อทำการ โจมตีขั้นตอนต่อไป

รายละเอียดการโจมตี

รูปที่ 1: ขั้นตอนการโจมตีหลังจาก Compromise อุปกรณ์

เมื่อ Storm-0940 ทำการ Compromise Router ผ่านช่องโหว่ของอุปกรณ์สำเร็จ กลุ่มแฮกเกอร์สามารถใช้ Remote Code Execution (RCE) เพื่อเตรียม Router สำหรับการโจมตีแบบ Password Spraying ดังนี้:

ดาวน์โหลดไฟล์ Telnet Binary และ xlogin Backdoor Binary จาก File Transfer Protocol (FTP) Server
ติดตั้งไฟล์ Telnet และ xlogin Binary เพื่อใช้สำหรับการทำ Access Control ผ่าน Command Shell บน TCP Port 7777
กลุ่มแฮกเกอร์เชื่อมต่อและ Authentication กับ xlogin Backdoor บน Port 7777
ดาวน์โหลดและเปิดใช้งาน SOCKS5 Server Binary บน Router บน TCP Port 7777

หลังจากกลุ่มแฮกเกอร์ทำการ Initial Access เข้าระบบของเหยื่อโดย Valid Credential ผ่านการโจมตีแบบ Password Spraying Storm-0940 จะใช้เครื่องมือ Scan และ Dump ข้อมูล Credential และข้อมูลอื่น ๆ เพื่อดำเนินการ Lateral Movement ในระบบเครือข่าย พยายามเข้าถึงอุปกรณ์บนเครือข่ายเพิ่มเติม รวมไปถึงติดตั้งเครื่องมือ Proxy และ Remote Access Trojans (RATs)

ผลกระทบจากการโจมตี

การโจมตีด้วย Quad7 Botnet ส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลสำคัญ เช่น ข้อมูล Credential ชื่อผู้ใช้งาน และ รหัสผ่าน รวมถึงข้อมูลสำคัญอื่น ๆ นอกจากนี้ แฮกเกอร์ยังสามารถควบคุม Router และอุปกรณ์เครือข่ายอื่น ๆ ได้ ทำให้แฮกเกอร์ สามารถดำเนินการต่าง ๆ บนอุปกรณ์เหล่านั้นได้ รวมถึงใช้เป็นฐานในการโจมตีเป้าหมายอื่น ๆ ต่อไป

สรุปการโจมตี

กลุ่มแฮกเกอร์ Storm-0940 ใช้ Quad7 Botnet ในการโจมตีผู้ใช้งานและลูกค้าของ Microsoft เพื่อขโมยข้อมูล Credential จากนั้นจึงดำเนินการโจมตีเพิ่มเติมในระบบของเหยื่อ เช่น ใช้เครื่องมือ Scan และเรียกใช้ข้อมูลเพื่อทำการ Lateral Movement พร้อมทั้งติดตั้งมัลแวร์และพยายามเข้าถึงอุปกรณ์อื่น ๆ ที่เชื่อมโยงกัน เพื่อขยายการโจมตีไปยังระบบหรืออุปกรณ์ที่เกี่ยวข้อง

คำแนะนำ

Awareness Training ให้แก่พนักงานในองค์กร เช่น การตั้งรหัสผ่านและหลีกเลี่ยงการ Reuse รหัสผ่าน
อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
จำกัดสิทธิ์การใช้งานของ User
จำกัดจำนวนการเข้าสู่ระบบในบัญชีเดียว และล็อกบัญชีชั่วคราวหากเข้าสู่ระบบผิดพลาดหลายครั้ง
ใช้ Multi-Factor Authentication (MFA) เพื่อลดโอกาสในการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต

แหล่งอ้างอิง

https://thehackernews.com/2024/11/microsoft-warns-of-chinese-botnet.html

https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network/?msockid=34767b96aa986725020f6873ab5f66dc

Tags :