[BAYCOMS] Triplestrength โจมตีเหยื่อด้วยภัยคุกคาม 3 ชั้นซ้อนที่องค์กรต้องระวัง กลุ่มอาชญากรใหม่นามว่า Triplestrength ถูกเปิดเผยโดย Google Threat Intelligence ซึ่งกลุ่มอาชญากรนี้มีเป้าหมายเพื่อแสวงหาผลกำไร โดยใช

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

21 ก.พ. เวลา 03:00 • วิทยาศาสตร์ & เทคโนโลยี

Triplestrength โจมตีเหยื่อด้วยภัยคุกคาม 3 ชั้นซ้อนที่องค์กรต้องระวัง

กลุ่มอาชญากรใหม่นามว่า Triplestrength ถูกเปิดเผยโดย Google Threat Intelligence ซึ่งกลุ่มอาชญากรนี้มีเป้าหมายเพื่อแสวงหาผลกำไร โดยใช้การโจมตีอย่างต่อเนื่องถึง 3 ขั้นตอน คือการใช้ Ransomware โจมตีระบบภายในองค์กร จากนั้นจึงทำการแฮกบัญชี Cloud เพื่อนำไปขุดเหมือง Crypto อย่างผิดกฎหมาย

กลุ่ม Triplestrength แม้จะมีจำนวนสมาชิกไม่มาก แต่ก็มีบทบาทโดดเด่นในฟอรัมวงการแฮกและอาชญากรรมทางไซเบอร์ จากการบุกรุกเซิร์ฟเวอร์ผู้ให้บริการคลาวด์ยักษ์ใหญ่ เช่น Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud และ Digital Ocean และใช้บัญชีที่ถูกเจาะเพื่อโฆษณาการเข้าถึงในฟอรัม พร้อมทั้งสรรหาผู้ก่ออาชญากรรมอื่นๆ สำหรับทำกิจกรรมแบล็คเมลล์

Ransomware สไตล์เก่า เน้นเข้ารหัสไฟล์แต่ไม่ขโมยข้อมูล

จากหลักฐานที่พบในฟอรัมใต้ดิน กลุ่ม Triplestrength ใช้แรนซัมแวร์มาตั้งแต่ปี 2020 อย่างไรก็ตาม กลุ่มนี้แตกต่างจากแฮ็กเกอร์แรนซัมแวร์สมัยใหม่ที่ใช้กลยุทธ์ Double Extortion (การขโมยข้อมูลแล้วเข้ารหัสพร้อมขู่เปิดเผยหากเหยื่อไม่จ่ายค่าไถ่) เพราะพวกเขาจะใช้แรนซัมแวร์ที่มีอยู่แล้ว เช่น Phobos, LokiLocker และ RCRU64 ซึ่งมาจากโมเดล Ransomware-as-a-Service (RaaS) แทน โดยไม่ได้ใช้แรนซัมแวร์ยอดนิยมเช่น Lockbit หรือ RansomHub

วิธีการโจมตีหลักของ Triplestrength

1. การโจมตีแรนซัมแวร์: กลุ่มนี้ใช้การเดารหัสผ่านแบบบรูทฟอร์ส (ฺBrute-force) เพื่อเข้าถึงเซิร์ฟเวอร์ Remote Desktop ของเหยื่อ หลังจากนั้นจะขยายการเข้าถึงในเครือข่าย ปิดการทำงานของเครื่องมือป้องกันไวรัส และติดตั้งแรนซัมแวร์ RCRU64 บนเครื่อง

2. การขุดคริปโต: กลุ่มนี้เริ่มจากการใช้ซอฟต์แวร์ขุดคริปโตในคอมพิวเตอร์ภายในองค์กรที่ถูกแฮ็ก แล้วส่งเงินดิจิทัลไปยังตัวเอง ต่อมาได้ย้ายไปโจมตีระบบคลาวด์ของเหยื่อและใช้ทรัพยากรจากคลาวด์เพื่อขุดคริปโตขณะเดียวกันกับการโจมตีด้วยแรนซัมแวร์ในระบบภายใน

3. การใช้เครื่องมือทั่วไป: กลุ่มนี้ใช้เครื่องมือที่ค่อนข้างทั่วไป เช่น Mimikatz และ NetScan ในการขยายการเข้าถึงและขโมยข้อมูล

ตัวอย่างหนึ่งของการบุกรุกในเดือนพฤษภาคม 2024 คือ Triplestrength ได้เข้าถึงระบบครั้งแรกโดยการเดารหัสผ่านด้วยวิธีบรูทฟอร์สในเซิร์ฟเวอร์ Remote Desktop หลังจากการเข้าถึงเริ่มต้นแล้ว กลุ่มอาชญากรได้ขยายการเข้าถึงในระบบเครือข่ายของเหยื่อ ปิดการทำงานของเครื่องมือป้องกันไวรัส และจากนั้นก็ได้ติดตั้งแรนซัมแวร์ RCRU64 บนเครื่อง Windows หลายเครื่อง

จาก Ransomware สู่การลักลอบขุด Crypto : เปลี่ยนเป้าหมายจากอุปกรณ์ On-Premises สู่ Cloud

Triplestrength กลุ่มอาชญากรไซเบอร์ที่เริ่มต้นด้วยการขุดคริปโตบนเครื่องเซิร์ฟเวอร์ที่ถูกเจาะโดยใช้ทรัพยากรขององค์กรเพื่อขุดเหรียญดิจิทัลสำหรับตนเอง ในช่วงปี 2022 กลุ่มนี้ได้เปลี่ยนแนวทางการโจมตี โดยหันไปเจาะบัญชี Cloud ขององค์กรและใช้ทรัพยากรใน Cloud สำหรับการขุดคริปโตแทน

การโจมตีนี้ได้รับการยืนยันจาก Google ว่า Triplestrength ใช้มัลแวร์ Raccoon Infostealer ในการขโมยข้อมูลบัญชีจากเครื่อง Windows ของเหยื่อ และจากนั้นก็ใช้แอปพลิเคชัน unMiner ในการดำเนินกิจกรรมผิดกฎหมายบนเซิร์ฟเวอร์ Cloud ที่ถูกแฮ็ก เช่น Google Cloud, AWS และ Linode

การเปลี่ยนแปลงวิธีการโจมตีจากการขุดคริปโตบนเครื่องเซิร์ฟเวอร์ On-Premises ไปยังการโจมตีบัญชี Cloud แสดงถึงความพยายามของกลุ่มนี้ในการใช้ทรัพยากรที่มีอยู่ให้เกิดประโยชน์สูงสุดโดยไม่ต้องลงทุนในฮาร์ดแวร์ของตนเอง

ผลกระทบต่อองค์กร

แม้ว่าการขุดคริปโตผิดกฎหมายจากแต่ละเหยื่อจะทำให้สูญเสียเงินเพียงไม่กี่ร้อยถึงพันดอลลาร์ แต่ค่าใช้จ่ายที่เกิดจากการใช้ทรัพยากร Cloud อาจสูงถึงหลักแสนดอลลาร์โดยที่องค์กรไม่รู้ตัว ขณะเดียวกัน Google ยังพบธุรกรรมกว่า 600 รายการในกระเป๋าเงินคริปโตที่ Triplestrength เป็นเจ้าของ ซึ่งแสดงให้เห็นถึงปริมาณกิจกรรมที่กลุ่มนี้ดำเนินการในด้านการขุดคริปโต

แนวทางป้องกัน

1. ป้องกันการเข้าถึง RDP (Remote Desktop Protocol): ควรใช้การยืนยันตัวตนสองขั้นตอน (2FA) สำหรับการเข้าถึง RDP และจำกัดการเข้าถึงให้เฉพาะผู้ที่มีสิทธิ์ โดยการปิดใช้งาน RDP จากการเข้าถึงจากภายนอก

2. การตรวจจับและตอบสนองทันที: ติดตั้งระบบตรวจจับการบุกรุก (IDS/IPS) และเครื่องมือที่สามารถตรวจจับการใช้งานเครื่องมือที่มักถูกใช้ในการโจมตี เช่น Mimikatz

3. การตรวจสอบบัญชี Cloud: ใช้การตรวจสอบการเข้าสู่ระบบ (Login Monitoring) และการใช้การยืนยันตัวตนหลายขั้นตอน (MFA) เพื่อป้องกันการเข้าถึงบัญชี Cloud

4. การป้องกันมัลแวร์: อัปเดตระบบและซอฟต์แวร์ให้ทันสมัยเสมอเพื่อป้องกันการติดตั้งมัลแวร์ที่อาจเกิดจากช่องโหว่ที่ไม่เคยได้รับการแพตช์

5. การตรวจสอบกิจกรรมบน Cloud: ตรวจสอบการใช้งาน Cloud โดยใช้เครื่องมือการวิเคราะห์พฤติกรรม (Behavioral Analytics) เพื่อหากิจกรรมผิดปกติ เช่น การใช้ทรัพยากร Cloud ในปริมาณที่สูงเกินไป

การดำเนินการตามแนวทางเหล่านี้จะช่วยลดความเสี่ยงในการถูกโจมตีและปกป้องทรัพยากรขององค์กรจากการถูกนำไปใช้ในกิจกรรมผิดกฎหมาย

Ref : https://www.theregister.com/2025/02/11/triplestrength_google/?&web_view=true

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS

Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :

Bay Computing Public Co., Ltd

Tel: 02-115-9956

Email: info@baycoms.com

Website: www.baycoms.com

#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

Triplestrength โจมตีเหยื่อด้วยภัยคุกคาม 3 ชั้นซ้อนที่องค์กรต้องระวัง

ดาวน์โหลดแอปพลิเคชัน