วรเมธ บุญทศ | 18 กันยายน 2567
กลุ่มแรนซั่มแวร์อย่าง BianLian และ Rhysida กำลังใช้ Azure Storage Explorer และ AzCopy ของ Microsoft เพื่อขโมยข้อมูลจากเครือข่ายที่ถูกโจมตีและเก็บข้อมูลไว้ใน Azure Blob storage. Storage Explorer เป็นเครื่องมือจัดการ GUI สำหรับ Microsoft Azure ในขณะที่ AzCopy เป็นเครื่องมือคำสั่งที่สามารถอำนวยความสะดวกในการถ่ายโอนข้อมูลขนาดใหญ่จาก Azure storage
ในเหตุการณ์โจมตีที่สังเกตโดยบริษัทความปลอดภัยทางไซเบอร์ modePUSH ข้อมูลที่ถูกขโมยจะถูกเก็บไว้ใน Container Azure Blob ในคลาวด์ จากนั้นกลุ่มผู้โจมตีสามารถถ่ายโอนไปยังที่เก็บข้อมูลของตนเองได้
อย่างไรก็ตาม นักวิจัยพบว่าผู้โจมตีต้องใช้ความพยายามเพิ่มเติมเพื่อให้ Azure Storage Explorer ทำงานได้ ซึ่งรวมถึงการติดตั้งไลบารีที่ต้องการและอัปเกรด .NET เป็นเวอร์ชัน 8 ซึ่งเป็นสัญญาณบ่งชี้ถึงการมุ่งเน้นที่การขโมยข้อมูลมากขึ้นในกิจกรรมแรนซั่มแวร์
ทำไมต้อง Azure?
แนวทางการตรวจจับการขโมยข้อมูลของแรนซัมแวร์
นักวิจัยพบว่าผู้โจมตีเปิดใช้งานการบันทึกข้อมูล “Info” โดยใช้เป็นค่าเริ่มต้นเมื่อใช้ Storage Explorer และ AzCopy ซึ่งจะสร้างไฟล์บันทึกที่ %USERPROFILE%\.azcopy
ไฟล์บันทึกนี้มีคุณสมบัติสำหรับผู้ตอบสนองเหตุการณ์ เนื่องจากมีข้อมูลเกี่ยวกับการดำเนินการไฟล์ ทำให้ผู้ตรวจสอบสามารถระบุได้ว่าข้อมูลใดถูกขโมย (UPLOADSUCCESSFUL) และมีการนำ payloads อื่นใดเข้ามา (DOWNLOADSUCCESSFUL)
มีมาตรการป้องกันหลายประการที่องค์กรสามารถนำมาใช้เพื่อลดความเสี่ยงจากการโจรกรรมข้อมูลผ่าน Azure Storage Explorer และ AzCopy ดังนี้
การตรวจสอบ:
การตั้งค่า Azure:
หากองค์กรใช้ Azure อยู่แล้ว แนะนำให้เลือกใช้งานฟังก์ชัน .Logout on Exit” เพื่อให้ผู้ใช้ถูกออกจากระบบโดยอัตโนมัติเมื่อปิดแอปพลิเคชัน ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีใช้เซสชันที่เปิดอยู่เพื่อขโมยไฟล์
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา