TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft เผยกลุ่มแฮกเกอร์ Silk Typhoon เปลี่ยนเป้าหมายมาโจมตีเครื่องมือ Remote Management และบริการคลาวด์ใน Supply Chain เพื่อเข้าถึงเครือข่ายของลูกค้าปลายทาง พบการบุกรุกในหลายอุตสาหกรรมรวมถึงหน่วยงานรัฐบาล, บริการไอที, สาธารณสุข, และพลังงาน
ตามรายงานของ Microsoft กลุ่ม Silk Typhoon ได้เปลี่ยนแปลงกลยุทธ์การโจมตีในช่วงต้นเดือนธันวาคมปี 2024 จากเดิมที่มุ่งเน้นการใช้ช่องโหว่ zero-day และ n-day ในอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง มาเป็นการใช้ API key และข้อมูล Credential ที่ถูกขโมยจากผู้ให้บริการด้าน IT, ระบบจัดการตัวตน, ระบบจัดการสิทธิ์การเข้าถึง และโซลูชัน RMM ซึ่งทำให้พวกเขาสามารถเข้าถึงเครือข่ายและข้อมูลของลูกค้าปลายทางได้ กลุ่มนี้เป็นที่รู้จักจากการแฮก U.S. Office of Foreign Assets Control (OFAC) และขโมยข้อมูลจาก Committee on Foreign Investment in the United States (CFIUS)
วิธีการใหม่ของกลุ่ม Silk Typhoon นั้นรวมถึงการสแกน repository บน GitHub และแหล่งข้อมูลสาธารณะอื่นๆ เพื่อค้นหา authentication key หรือข้อมูล Credential ที่รั่วไหล นอกจากนี้ยังใช้การโจมตีแบบ password spray เพื่อให้ได้มาซึ่งข้อมูลรับรองตัวตนที่ถูกต้อง การเปลี่ยนจากการโจมตีระดับองค์กรมาเป็นการโจมตีระดับ MSP ทำให้ผู้โจมตีสามารถเคลื่อนไหวภายใน Cloud environment และขโมยข้อมูลรับรองตัวตนของ Active Directory sync (AADConnect) และใช้แอปพลิเคชัน OAuth เพื่อการโจมตีที่แนบเนียนมากขึ้น ซึ่งไม่ต้องพึ่งพามัลแวร์และ web shell อีกต่อไป โดยผู้โจมตีจะใช้แอปพลิเคชันคลาวด์ในการขโมยข้อมูลและล้าง log เพื่อทิ้งร่องรอยให้น้อยที่สุด
อย่างไรก็ตาม Microsoft ระบุว่า Silk Typhoon ยังคงใช้ช่องโหว่ควบคู่ไปกับกลยุทธ์ใหม่ ล่าสุดพบว่ากลุ่มนี้ใช้ช่องโหว่ CVE-2025-0282 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ในผลิตภัณฑ์ Ivanti Pulse Connect VPN และในปี 2024 ยังพบการใช้ช่องโหว่ CVE-2024-3400 ใน Palo Alto Networks GlobalProtect และ CVE-2023-3519 ใน Citrix NetScaler ADC และ NetScaler Gateway นอกจากนี้ยังได้สร้าง “CovertNetwork” ซึ่งประกอบด้วยอุปกรณ์ Cyberoam, เราเตอร์ Zyxel และอุปกรณ์ QNAP ที่ถูกบุกรุกเพื่อใช้ในการโจมตี
