สาธารณรัฐเช็กและเยอรมนีตกเป็นเป้าโจมตีของผู้ไม่ประสงค์ดีชาวรัสเซีย APT28 หรือ BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy และ TA422 ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางการทหาร GRU ของสหพันธรัฐรัสเซีย โดยใช้ช่องโหว่ CVE-2023-23397 ที่ได้รับการแก้ไขแล้วของ Outlook เพื่อยกระดับสิทธิ์และเข้าถึงแฮช Net-NTLMv2

        การโจมตีนี้เกิดจากการใช้ช่องโหว่ของ Windows Print Spooler ร่วมด้วย (CVE-2022-38028, คะแนน CVSS 7.8 คะแนน) ซึ่งเป็น Zero-Day ที่ใช้ส่งมัลแวร์ GooseEgg แทรกซึมเข้าไปในองค์กรพัฒนาเอกชน การศึกษา และการขนส่งของยูเครน รัฐบาลยุโรปและอเมริกาเหนือ ก่อให้เกิดภัยคุกคามต่อความมั่นคงของฝ่ายสัมพันธมิตร โดยทางกระทรวงการต่างประเทศสหรัฐฯกล่าวว่า APT28 มีพฤติกรรมที่เป็นอันตรายอย่างมาก ในการก่อกวนและทำลายเสถียรภาพ

        ตามรายงานของ Trend Micro พบ Proxy Botnet ที่มาจากเราเตอร์ Ubiquiti, Raspberry Pi และ Virtual Private Servers (VPS) โดยผู้ไม่ประสงค์ดีสามารถย้าย Bot EdgeRouter บางตัวจากเซิร์ฟเวอร์ C&C ไปยังโครงสร้างพื้นฐานของ C&C ที่เพิ่งได้รับการติดตั้งใหม่ได้ และเทคนิคเหล่านี้ยังสามารถก่อให้เกิดการโจมตีจากการกำหนดค่าที่ไม่ถูกต้องจากระบบของ Operational Technology (OT) ได้อีกด้วย

        นอกจากนี้ยังสามารถเข้าถึงจากระยะไกลผ่านการเชื่อมต่ออินเทอร์เน็ตสาธารณะ ได้เช่นเดียวกับการใช้รหัสผ่านเริ่มต้นจากโรงงานที่เกี่ยวข้องกับ Human Machine Interfaces (HMI) ตามด้วยการแก้ไขค่า Parameter ของ Mission-Critical ปิดกลไกการแจ้งเตือน และบังคับ Operator ออกจากระบบด้วยการเปลี่ยนรหัสผ่านของผู้ดูแลระบบ

คำแนะนำ

-ทำการ Hardening Human Machin Interface

-จำกัดการเปิดเผยระบบ OT บนอินเทอร์เน็ต

-ใช้รหัสผ่านที่มีความรัดกุมสูงและไม่ซ้ำกัน

-ใช้การยืนยันตัวตนหลายขั้นตอนสำหรับการเข้าถึงเครือข่ายของ OT ทั้งหมด

Ref: https://thehackernews.com/2024/05/microsoft-outlook-flaw-exploited-by.html