"Attackers ไม่จำเป็นต้องใช้ Zero-Day อีกต่อไป เมื่อเครื่องมือที่ใช้ในองค์กร กลายเป็นช่องโหว่ในการโจมตี"

เคสล่าสุดที่ทาง Rapid7 พบการโจมตีที่องค์กรแห่งหนึ่ง เริ่มต้นจากได้รับ massage ทาง Microsoft Teams ปลอมเป็น IT Support ก่อนจะนำไปสู่การติดตั้ง Malware, ขโมย Credentials, ยกระดับสิทธิ์ และ Lateral Movement ได้สำเร็จ

ประเด็นที่น่าสนใจคือ Attackers ไม่ได้ใช้เทคนิคที่ซับซ้อน หรือช่องโหว่ใหม่ล่าสุด แต่เลือกใช้เครื่องมือที่องค์กรใช้งานอยู่แล้ว เช่น Teams, PowerShell, Python และ Dropbox เพื่อหลีกเลี่ยงการตรวจจับ

สิ่งที่น่ากังวลคือ.. การโจมตีครั้งนี้ไม่ได้หยุดอยู่ที่ Endpoint อย่างเดียว แต่สามารถขยาย Risk ไปอยู่ในระดับ Identity ได้อย่างรวดเร็ว และ Attackers สามารถนำจุดอ่อนที่องค์กรใช้งานอยู่แล้วหลายจุดมาเชื่อมต่อกัน จนกลายเป็นการโจมตีที่รวดเร็วและสำเร็จในที่สุด

เหตุการณ์นี้ทำให้เห็นถึงความเสี่ยงที่สำคัญขององค์กรยุคใหม่ ไม่ว่าจะเป็น Platform ที่ใช้ภายในองค์กร ก็สามารถกลายเป็นส่วนหนึ่งของ Attack Surface ได้ เมื่อถูกใช้ร่วมกับการโจมตีด้าน Identity และเทคนิค Living-off-the-Land ก็สามารถกลายเป็นช่องทางที่ผู้โจมตีใช้เข้าถึงองค์กรได้อย่างง่ายดาย

บทเรียนสำคัญจากเหตุการณ์นี้

📍 Collaboration Tools เป็นส่วนหนึ่งของ Attack Surface แล้ว

📍 Identity กำลังกลายเป็นเป้าหมายหลักของ Attackers

📍 หลายๆเหตุการณ์ที่ดูปกติ เมื่อนำมาเชื่อมโยงกัน อาจจะเป็นสัญญานของการโจมตี

นี่คือเหตุผลที่ Rapid7 ให้ความสำคัญกับการเชื่อมโยงข้อมูลจาก Endpoint, Identity, Exposure และ Threat Intelligence เข้าด้วยกัน เพื่อช่วยให้องค์กรมองเห็นความเสี่ยงในภาพรวม และสามารถตรวจจับรูปแบบการโจมตีได้ตั้งแต่ต้น ก่อนที่จะกลายเป็น Incident ที่ส่งผลกระทบทั้งองค์กร

#CyberSecurity #ThreatIntelligence #MicrosoftTeams #IdentitySecurity #Rapid7 #ExposureManagement #Nextwave

ขอบคุณข้อมูลจาก : https://r-7.co/4npcZuB

https://www.linkedin.com/posts/rapid7_modelorat-activity-7460360395661279232-7EAs?utm_source=share&utm_medium=member_desktop&rcm=ACoAADMDzmkB4p0ueZjsANXWtiFhy6upWqGPn5Y