363/67 (IT) ประจำวันอังคารที่ 15 ตุลาคม 2567
หน่วยงานไซเบอร์ของสหรัฐฯ และสหราชอาณาจักรได้เตือนว่ากลุ่ม APT29 ที่เชื่อมโยงกับรัสเซียได้กำลังโจมตีเซิร์ฟเวอร์ Zimbra และ JetBrains TeamCity ที่มีช่องโหว่ในวงกว้าง โดยกลุ่ม APT29 หรือที่รู้จักกันในชื่อ SVR group, BlueBravo, Cozy Bear, Nobelium, Midnight Blizzard และ The Dukes เป็นกลุ่มแฮกเกอร์ที่ดำเนินการโดยหน่วยข่าวกรองของรัสเซีย (SVR)
หน่วยงานสหรัฐฯ ได้แก่ สำนักสืบสวนกลาง (FBI), สำนักงานความมั่นคงแห่งชาติ (NSA), หน่วยไซเบอร์แห่งชาติ (CNMF) และศูนย์ความมั่นคงทางไซเบอร์ของสหราชอาณาจักร (NCSC-UK) ได้ออกคำแนะนำร่วมกัน เพื่อเตือนเกี่ยวกับเทคนิคและกระบวนการที่กลุ่มแฮกเกอร์จากรัสเซียใช้ในการโจมตีทางไซเบอร์เมื่อเร็วๆ นี้ ซึ่งตั้งแต่เดือนเมษายน 2021 เป็นต้นมา โดยพวกเขาได้ใช้ช่องโหว่ต่างๆ เช่น ช่องโหว่ Zimbra ที่ CVE-2022-27924 สำหรับการฝังคำสั่งเพื่อเข้าถึงข้อมูลประจำตัวและอีเมล และช่องโหว่ JetBrains TeamCity ที่ CVE-2023-42793 เป็นการ Arbitrary Code Execution ที่ไม่ได้รับอนุญาตผ่านการข้ามการตรวจสอบสิทธิ์ การโจมตีเหล่านี้มุ่งเป้าไปที่องค์กรต่างๆ ทั่วโลก เพื่อเข้าถึงข้อมูลสำคัญและวางโครงสร้างพื้นฐานสำหรับการเก็บข้อมูลระยะยาว
หน่วยงานยังได้เตือนว่ากลุ่ม APT29 นั้นมีศักยภาพและความตั้งใจที่จะใช้ประโยชน์จากช่องโหว่ใหม่ๆ เพื่อเข้าถึงข้อมูล, remote code execution และ privilege escalation โดยแนะนำให้องค์กรต่างๆ ทำการแพตช์ช่องโหว่ที่ได้เปิดเผยต่อสาธารณะแล้วทันทีเพื่อป้องกันการโจมตีในอนาคต
แหล่งข่าว https://securityaffairs.com/169708/apt/apt29-target-zimbra-and-jetbrains-teamcity.html
