EternalBlue กลับมาแล้วด้วยการหลอกให้ติดตั้ง Backdoor ก่อน

Netskope ศูนย์วิจัยด้านภัยคุกคามได้ค้นพบวิธีการใช้งาน EternalBlue รูปแบบใหม่คือใช้เทคนิคเพื่อหลอกลวงผู้ใช้งานอีเมล์ก่อนเป็นด่านแรกเพื่อให้เข้าถึงระบบภายในได้แล้วค่อยเจาะระบบผ่านช่องโหว่ด้วย EternalBlue ต่อไปซึ่งมีผลให้แฮ็กเกอร์สามารถเข้าโจมตีระบบเครือข่ายจากภายในได้โดยตรง

Netskope ได้กล่าวถึงช่องโหว่ EternalBlue ว่า “หลังจากที่เครื่องภายในองค์กรสักหนึ่งเครื่องถูกเจาะเข้ามาได้แล้ว ช่วงโหว่นี้สามารถใช้เป็นจุดที่เจาะระบบภายในต่อไปได้ ผ่านทางเครื่องที่เปิดแชร์ไฟล์หรือว่าระบบสำรองข้อมูล นั่นทำที่เก็บข้อมูลหลักตกอยู่ในความเสี่ยงอย่างไม่อาจทราบได้ล่วงหน้า ” เนื่องจาก EternalBlue เป็นการใช้ช่องโหว่จากโปรโตคอล SMB ของ Microsoft ที่ใช้สำหรับแชร์ไฟล์ภายในเน็ตเวิร์ค โดยเมื่อต้นปีที่ผ่านกลุ่ม Shadow Brokers ได้ออกมาเปิดเผยเกี่ยวกับช่วงโหว่นี้และเวลาต่อมา Wanacry, NotPetya และ Bad Rabbit ก็ได้นำช่องโหว่ดังกล่าวมาใช้เพื่อ Remote Code Execution กับเครื่องที่เปิดพอร์ตของ SMB เอาไว้

Ashwin Vamshi นัยวิจัยจาก Netskope ได้กล่าวว่า “เราเริ่มสังเกตุเห็นความผิดปกติจากไฟล์ที่อยู่บน Cloud และหลายๆ บริการ ว่ามีภัยคุกคามอย่างมีนัยสำคัญ แม้ว่ามันมาจากต้นทางที่น่าเชื่อถือ เมื่อ Endpoint ถูกควบคุมได้ขั้นต่อมาก็คือการใช้งาน EternalBlue เพื่อกระจายการโจมตีไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป”

การโจมตีครั้งนี้เริ่มขึ้นกับอีเมล์แถวๆ สวิสเซอร์แลนด์ที่ไฟล์ Word มีไส้ในเป็น .Ink อีกที ซึ่งจริงๆ แล้วเป็น Backdoor เพื่อไปดาวน์โหลด EternalBlue Payload จากนั้นเองมันก็จะเริ่มการโจมตีภายในองค์กรโดยไม่ต้องอาศัยการกระทำของผู้ใช้งาน โดยที่องค์กรไม่เคยเตรียมการรับมือมาก่อน “องค์กรใช้งาน Cloud โดยเชื่อถือที่มาอย่างไร้การตรวจสอบ นำไปสู่การเปิดโอกาสให้มัลแวร์โจมตีได้มากขึ้นและนั่นคือความท้าทายใหม่ในองค์กร องค์กรต่างๆ ควรบังคับใช้นโยบายการใช้งานบริการที่ไม่เป็นทางการ หรือส่วนติดต่อที่ไม่เป็นทางการที่แม้ว่าเกิดมาจากบริการบน Cloud ที่เป็นทางการและน่าเชื่อถือก็ตาม” — Vamshi กล่าวทิ้งท้าย

ที่มา : https://www.infosecurity-magazine.com/news/eternalblue-is-back-with-new-tricks