การโจมตี FortiBleed ขโมยข้อมูลผู้ดูแล FortiGate เชื่อมโยงกับ ransomware Lynx

ที่มาภาพ: BleepingComputer

Security-อ่าน 6 นาทีBleepingComputer

การโจมตี FortiBleed ขโมยข้อมูลผู้ดูแล FortiGate เชื่อมโยงกับ ransomware Lynx

⚡ สรุป 30 วิ

แคมเปญ FortiBleed ใช้ช่องโหว่ CVE‑2022‑42475 ดึงข้อมูลผู้ดูแล FortiGate แล้วให้กลุ่ม ransomware Lynx ใช้ในการเข้าถึงเครือข่ายและเข้ารหัสไฟล์…

การแฮ็กข้อมูลประจำตัวผู้ใช้บนอุปกรณ์ FortiGate ขนาดใหญ่โดยใช้ช่องโหว่ FortiBleed ถูกตรวจพบแล้วเชื่อมโยงกับกลุ่ม ransomware Lynx ซึ่งบ่งบอกว่าข้อมูลที่ขโมยได้มาน่าจะเป็นส่วนหนึ่งของแคมเปญการบุกเข้าระบบเครือข่ายในอนาคต

Overview

การสำรวจของนักวิจัยด้านความปลอดภัยระบุว่าแคมเปญการขโมยข้อมูลประจำตัวผ่าน FortiBleed มีลักษณะเป็นการโจมตีที่ต่อเนื่องและกว้างขวางตั้งแต่ปลายปี 2023 จนถึงต้นปี 2024 ทั้งนี้มีการดึงข้อมูล username/password ของผู้ดูแลระบบ FortiGate ออกมาโดยใช้ช่องโหว่ที่เปิดเผยแล้วใน CVE‑2022‑42475 นักวิจัยหลายองค์กรพบหลักฐานว่าข้อมูลเหล่านี้ต่อมาถูกนำไปใช้โดยกลุ่ม ransomware Lynx ในการเข้าถึงเครือข่ายขององค์กรเป้าหมาย

จากการวิเคราะห์แหล่งที่มาของการเชื่อมต่อและลักษณะของการใช้ข้อมูลประจำตัว พบว่ามีการใช้ IP address เดียวกันและ payload ที่คล้ายคลึงกันระหว่างการขโมยข้อมูลและการกระจาย ransomware ซึ่งบ่งบอกถึงการทำงานร่วมกันของผู้โจมตีสองกลุ่มนี้อย่างชัดเจน

Exploitation Method

ช่องโหว่ FortiBleed ทำให้ผู้โจมตีสามารถดึงข้อมูลประจำตัวของผู้ดูแลระบบออกมาจากฐานข้อมูลภายในของอุปกรณ์ FortiOS ได้โดยไม่ต้องทำการรันโค้ดใด ๆ บนอุปกรณ์นั้น การโจมตีเริ่มจากการสแกนหาอุปกรณ์ FortiGate ที่ยังไม่ได้อัปเดตแพตช์ จากนั้นส่ง crafted HTTP request ไปยัง endpoint ที่มีช่องโหว่เพื่อดึงข้อมูลออกมา

หลังจากได้ข้อมูลประจำตัวแล้ว ผู้โจมตีใช้ข้อมูลเหล่านี้เพื่อเชื่อมต่อกับ VPN หรือ SSH ของอุปกรณ์ FortiGate อีกครั้งเพื่อทำการเข้าสู่ระบบและขยายการเข้าถึงในเครือข่ายภายใน การใช้ข้อมูลประจำตัวที่ถูกขโมยทำให้การตรวจจับโดยระบบ IDS/IPS ยากขึ้นเพราะการเชื่อมต่อดูเหมือนเป็นการเข้าถึงจากผู้ดูแลระบบที่ถูกต้อง

กระบวนการนี้ยังรวมถึงการตั้งค่า backdoor บนอุปกรณ์ที่ได้รับการเข้าถึง เพื่อให้ผู้โจมตีสามารถกลับมาควบคุมได้ในภายหลังโดยไม่ต้องทำการขโมยข้อมูลใหม่ทุกครั้ง

นักวิจัยระบุว่าแคมเปญ FortiBleed มีความเชื่อมโยงกับกลุ่ม ransomware INC (ชื่อเต็มเป็น Inception) และ Lynx ผ่านหลายจุดร่วม ได้แก่

  • การใช้ C2 server ที่อยู่ในโดเมนเดียวกันสำหรับการส่งออกข้อมูลประจำตัวและรับคำสั่งจาก ransomware
  • ลายเซ็นดิจิทัลของมัลแวร์ที่พบในระบบที่ถูกโจมตีมีความคล้ายคลึงกับที่ใช้โดยกลุ่ม Lynx
  • บันทึกการใช้งานข้อมูลประจำตัวที่ถูกขโมยพบว่าถูกนำไปใช้ในการเชื่อมต่อกับ RDP ของเครื่องเป้าหมายก่อนทำการเข้ารหัสไฟล์

การเชื่อมโยงนี้แสดงให้เห็นว่าข้อมูลประจำตัวที่ถูกขโมยจาก FortiBleed ไม่ได้เป็นเพียงข้อมูลที่ใช้ในการสืบค้นเพิ่มเติม แต่เป็นส่วนหนึ่งของกระบวนการเตรียมการสำหรับการโจมตี ransomware ที่มีเป้าหมายเพื่อเรียกค่าไถ่

Potential Impact

องค์กรที่ใช้ FortiGate เป็นอุปกรณ์รักษาความปลอดภัยหลักอาจเผชิญกับความเสี่ยงหลายประการ ได้แก่

  • การเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต ซึ่งอาจทำให้ข้อมูลสำคัญถูกขโมยหรือถูกทำลาย
  • การกระจาย ransomware อย่าง Lynx ที่มักเน้นการเข้ารหัสไฟล์สำคัญและเรียกค่าไถ่ในรูปแบบ cryptocurrency
  • ความเสียหายต่อภาพลักษณ์ขององค์กรเมื่อข้อมูลการรักษาความปลอดภัยถูกเปิดเผยต่อสาธารณะ

โดยเฉพาะอย่างยิ่งองค์กรที่มีการพึ่งพา VPN หรือการจัดการระยะไกลผ่าน FortiGate อาจพบว่าการปิดกั้นการเข้าถึงของผู้ใช้ที่ได้รับอนุญาตเป็นเรื่องยาก เนื่องจากผู้โจมตีใช้ข้อมูลประจำตัวที่เหมือนจริง

Mitigation & Recommendations

เพื่อจำกัดความเสียหายจากแคมเปญ FortiBleed ผู้ดูแลระบบควรดำเนินการตามขั้นตอนต่อไปนี้

  • อัปเดตแพตช์ ของ FortiOS ให้เป็นเวอร์ชันล่าสุดที่ปิดช่องโหว่ CVE‑2022‑42475
  • ตรวจสอบ log ของ FortiGate เพื่อตรวจหาการเข้าถึงที่ไม่ปกติหรือการใช้ข้อมูลประจำตัวที่ถูกขโมย
  • ปรับ การตั้งค่า MFA สำหรับการเข้าถึง VPN และการจัดการอุปกรณ์จากระยะไกล
  • ใช้ **ระบบตรวจจับพฤติกรรม (UEBA) เพื่อตรวจสอบการกระทำที่แสดงถึงการละเมิดสิทธิ์ของผู้ดูแลระบบ

การดำเนินการเหล่านี้จะช่วยลดโอกาสที่ข้อมูลประจำตัวที่ถูกขโมยจะถูกนำไปใช้ในการโจมตี ransomware อย่างต่อเนื่อง

Summary

แคมเปญการขโมยข้อมูลประจำตัวผ่าน FortiBleed ได้รับการเชื่อมโยงกับกลุ่ม ransomware Lynx ทำให้ความเสี่ยงต่อการบุกเข้าระบบขององค์กรที่ใช้ FortiGate เพิ่มขึ้นอย่างชัดเจน การอัปเดตแพตช์และการเสริมการตรวจจับพฤติกรรมจึงเป็นขั้นตอนสำคัญในการป้องกันภัยคุกคามนี้.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
FortiBleed credential-theft campaign linked to Lynx ransomware
ผู้เขียน
Lawrence Abrams
แหล่ง
BleepingComputer
วันที่เผยแพร่
2 กรกฎาคม 2569 เวลา 04:37

Related

บทความที่เกี่ยวข้อง

นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusionSecurity
2 กรกฎาคม 2569 เวลา 06:30

นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusion

งานวิจัยของ Charles Ye, Jasmine Cui และ Dylan Hadfield‑Menell แสดงว่า LLM สามารถถูกหลอกให้ให้สูตรโคเคนได้โดยใช้เทคนิค role confusion ผ่านการโจมตีแบบ prompt…

The Register7 นาที
ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoftSecurity
2 กรกฎาคม 2569 เวลา 03:30

ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoft

กลุ่ม ShinyHunters ใช้ช่องโหว่ศูนย์วันของ Oracle PeopleSoft เข้าถึงระบบของ NAIC และดึงข้อมูลสาธารณะและไฟล์กำหนดค่าออกมา NAIC…

BleepingComputer6 นาที
SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาดSecurity
1 กรกฎาคม 2569 เวลา 23:00

SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาด

Microsoft รวม SysMon ของ Sysinternals เข้าใน Windows 11 ฟรี ผู้ใช้เปิดใช้งานผ่าน PowerShell เพื่อบันทึกเหตุการณ์เช่น การสร้างโปรเซส การเชื่อมต่อเครือข่าย…

XDA Developers7 นาที
เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ดSecurity
1 กรกฎาคม 2569 เวลา 14:00

เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ด

นักวิจัยเผย PoC สาธารณะสำหรับช่องโหว่ CVE‑2026‑55200 บน libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการทำลายหน่วยความจำและรันโค้ดโดยไม่ต้องยืนยันตัวตน…

The Hacker News6 นาที
คัดลอกลิงก์แล้ว!