
ที่มาภาพ: BleepingComputer
การโจมตี FortiBleed ขโมยข้อมูลผู้ดูแล FortiGate เชื่อมโยงกับ ransomware Lynx
⚡ สรุป 30 วิ
แคมเปญ FortiBleed ใช้ช่องโหว่ CVE‑2022‑42475 ดึงข้อมูลผู้ดูแล FortiGate แล้วให้กลุ่ม ransomware Lynx ใช้ในการเข้าถึงเครือข่ายและเข้ารหัสไฟล์…
การแฮ็กข้อมูลประจำตัวผู้ใช้บนอุปกรณ์ FortiGate ขนาดใหญ่โดยใช้ช่องโหว่ FortiBleed ถูกตรวจพบแล้วเชื่อมโยงกับกลุ่ม ransomware Lynx ซึ่งบ่งบอกว่าข้อมูลที่ขโมยได้มาน่าจะเป็นส่วนหนึ่งของแคมเปญการบุกเข้าระบบเครือข่ายในอนาคต
Overview
การสำรวจของนักวิจัยด้านความปลอดภัยระบุว่าแคมเปญการขโมยข้อมูลประจำตัวผ่าน FortiBleed มีลักษณะเป็นการโจมตีที่ต่อเนื่องและกว้างขวางตั้งแต่ปลายปี 2023 จนถึงต้นปี 2024 ทั้งนี้มีการดึงข้อมูล username/password ของผู้ดูแลระบบ FortiGate ออกมาโดยใช้ช่องโหว่ที่เปิดเผยแล้วใน CVE‑2022‑42475 นักวิจัยหลายองค์กรพบหลักฐานว่าข้อมูลเหล่านี้ต่อมาถูกนำไปใช้โดยกลุ่ม ransomware Lynx ในการเข้าถึงเครือข่ายขององค์กรเป้าหมาย
จากการวิเคราะห์แหล่งที่มาของการเชื่อมต่อและลักษณะของการใช้ข้อมูลประจำตัว พบว่ามีการใช้ IP address เดียวกันและ payload ที่คล้ายคลึงกันระหว่างการขโมยข้อมูลและการกระจาย ransomware ซึ่งบ่งบอกถึงการทำงานร่วมกันของผู้โจมตีสองกลุ่มนี้อย่างชัดเจน
Exploitation Method
ช่องโหว่ FortiBleed ทำให้ผู้โจมตีสามารถดึงข้อมูลประจำตัวของผู้ดูแลระบบออกมาจากฐานข้อมูลภายในของอุปกรณ์ FortiOS ได้โดยไม่ต้องทำการรันโค้ดใด ๆ บนอุปกรณ์นั้น การโจมตีเริ่มจากการสแกนหาอุปกรณ์ FortiGate ที่ยังไม่ได้อัปเดตแพตช์ จากนั้นส่ง crafted HTTP request ไปยัง endpoint ที่มีช่องโหว่เพื่อดึงข้อมูลออกมา
หลังจากได้ข้อมูลประจำตัวแล้ว ผู้โจมตีใช้ข้อมูลเหล่านี้เพื่อเชื่อมต่อกับ VPN หรือ SSH ของอุปกรณ์ FortiGate อีกครั้งเพื่อทำการเข้าสู่ระบบและขยายการเข้าถึงในเครือข่ายภายใน การใช้ข้อมูลประจำตัวที่ถูกขโมยทำให้การตรวจจับโดยระบบ IDS/IPS ยากขึ้นเพราะการเชื่อมต่อดูเหมือนเป็นการเข้าถึงจากผู้ดูแลระบบที่ถูกต้อง
กระบวนการนี้ยังรวมถึงการตั้งค่า backdoor บนอุปกรณ์ที่ได้รับการเข้าถึง เพื่อให้ผู้โจมตีสามารถกลับมาควบคุมได้ในภายหลังโดยไม่ต้องทำการขโมยข้อมูลใหม่ทุกครั้ง
Link to Ransomware Groups
นักวิจัยระบุว่าแคมเปญ FortiBleed มีความเชื่อมโยงกับกลุ่ม ransomware INC (ชื่อเต็มเป็น Inception) และ Lynx ผ่านหลายจุดร่วม ได้แก่
- การใช้ C2 server ที่อยู่ในโดเมนเดียวกันสำหรับการส่งออกข้อมูลประจำตัวและรับคำสั่งจาก ransomware
- ลายเซ็นดิจิทัลของมัลแวร์ที่พบในระบบที่ถูกโจมตีมีความคล้ายคลึงกับที่ใช้โดยกลุ่ม Lynx
- บันทึกการใช้งานข้อมูลประจำตัวที่ถูกขโมยพบว่าถูกนำไปใช้ในการเชื่อมต่อกับ RDP ของเครื่องเป้าหมายก่อนทำการเข้ารหัสไฟล์
การเชื่อมโยงนี้แสดงให้เห็นว่าข้อมูลประจำตัวที่ถูกขโมยจาก FortiBleed ไม่ได้เป็นเพียงข้อมูลที่ใช้ในการสืบค้นเพิ่มเติม แต่เป็นส่วนหนึ่งของกระบวนการเตรียมการสำหรับการโจมตี ransomware ที่มีเป้าหมายเพื่อเรียกค่าไถ่
Potential Impact
องค์กรที่ใช้ FortiGate เป็นอุปกรณ์รักษาความปลอดภัยหลักอาจเผชิญกับความเสี่ยงหลายประการ ได้แก่
- การเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต ซึ่งอาจทำให้ข้อมูลสำคัญถูกขโมยหรือถูกทำลาย
- การกระจาย ransomware อย่าง Lynx ที่มักเน้นการเข้ารหัสไฟล์สำคัญและเรียกค่าไถ่ในรูปแบบ cryptocurrency
- ความเสียหายต่อภาพลักษณ์ขององค์กรเมื่อข้อมูลการรักษาความปลอดภัยถูกเปิดเผยต่อสาธารณะ
โดยเฉพาะอย่างยิ่งองค์กรที่มีการพึ่งพา VPN หรือการจัดการระยะไกลผ่าน FortiGate อาจพบว่าการปิดกั้นการเข้าถึงของผู้ใช้ที่ได้รับอนุญาตเป็นเรื่องยาก เนื่องจากผู้โจมตีใช้ข้อมูลประจำตัวที่เหมือนจริง
Mitigation & Recommendations
เพื่อจำกัดความเสียหายจากแคมเปญ FortiBleed ผู้ดูแลระบบควรดำเนินการตามขั้นตอนต่อไปนี้
- อัปเดตแพตช์ ของ FortiOS ให้เป็นเวอร์ชันล่าสุดที่ปิดช่องโหว่ CVE‑2022‑42475
- ตรวจสอบ log ของ FortiGate เพื่อตรวจหาการเข้าถึงที่ไม่ปกติหรือการใช้ข้อมูลประจำตัวที่ถูกขโมย
- ปรับ การตั้งค่า MFA สำหรับการเข้าถึง VPN และการจัดการอุปกรณ์จากระยะไกล
- ใช้ **ระบบตรวจจับพฤติกรรม (UEBA) เพื่อตรวจสอบการกระทำที่แสดงถึงการละเมิดสิทธิ์ของผู้ดูแลระบบ
การดำเนินการเหล่านี้จะช่วยลดโอกาสที่ข้อมูลประจำตัวที่ถูกขโมยจะถูกนำไปใช้ในการโจมตี ransomware อย่างต่อเนื่อง
Summary
แคมเปญการขโมยข้อมูลประจำตัวผ่าน FortiBleed ได้รับการเชื่อมโยงกับกลุ่ม ransomware Lynx ทำให้ความเสี่ยงต่อการบุกเข้าระบบขององค์กรที่ใช้ FortiGate เพิ่มขึ้นอย่างชัดเจน การอัปเดตแพตช์และการเสริมการตรวจจับพฤติกรรมจึงเป็นขั้นตอนสำคัญในการป้องกันภัยคุกคามนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- FortiBleed credential-theft campaign linked to Lynx ransomware
- ผู้เขียน
- Lawrence Abrams
- แหล่ง
- BleepingComputer
- วันที่เผยแพร่
- 2 กรกฎาคม 2569 เวลา 04:37



