จากการวิจัยอุตสาหกรรมเมื่อเร็วๆ นี้ แคมเปญและเครื่องมือหลายอย่างที่ดําเนินการโดยกลุ่ม MERCURY APT (หรือที่เรียกว่า MuddyWater, Static Kitten) ซึ่งได้รับการพิจารณาอย่างกว้างขวางว่ามีส่วนเกี่ยวข้องกับผลประโยชน์ของกระทรวงข่าวกรองและความมั่นคงของอิหร่าน
การวิจัยที่ดําเนินการโดย Microsoft แสดงให้เห็นว่าผู้โจมตีระดับรัฐชาติสามารถเข้าถึงทรัพยากรในสถานที่ที่มีช่องโหว่และไม่ปลอดภัยได้อย่างไร รวมถึงสภาพแวดล้อมระบบคลาวด์ ทําให้พวกเขาสามารถสร้างความเสียหายอย่างกว้างขวางต่อโครงสร้างพื้นฐานของเป้าหมาย องค์กรเป้าหมายที่ใช้สภาพแวดล้อมโดเมน Windows แบบไฮบริดที่รวม Active Directory (AD) ภายในเครื่องและ Azure Active Directory (AAD) มีการจัดการตัวแทน Azure Active Directory Connect ดังนั้นจึงเข้าสู่โครงสร้างพื้นฐาน Azure ออนไลน์ของพวกเขา และทําลายสภาพแวดล้อม Azure ของเหยื่อในเวลาต่อมา
สิ่งนี้มีตั้งแต่การล้างอินสแตนซ์เครื่องเสมือน Azure, เซิร์ฟเวอร์ฟาร์มและปริมาณงาน, เครือข่ายเสมือน, บัญชีที่เก็บข้อมูลและอื่น ๆ
ตลอดการดําเนินงาน ผู้คุกคามได้กําหนดเป้าหมายอย่างแข็งขันทั้งในสภาพแวดล้อมในสถานที่และระบบคลาวด์ จากสิ่งที่เป็นที่รู้จักในปัจจุบันของแคมเปญนี้วัตถุประสงค์หลักของพวกเขาคือการหยุดชะงักและการทําลายล้าง
ที่น่าสนใจคือพฤติกรรมก่อกวนและทําลายล้างนี้สอดคล้องกับกลยุทธ์เทคนิคและขั้นตอนของผู้โจมตีรัฐชาติอิหร่าน (TTP) ที่พบเห็นได้ทั่วไปโดยมีการอ้างอิงเฉพาะถึงการโจมตี Saudi Aramco ที่สร้างความเสียหายในปี 2012 ด้วยน้ํามือของแฮกเกอร์ชาวอิหร่านตลอดจนการใช้การโจมตี DDoS และมัลแวร์สายพันธุ์ Wiper อย่างต่อเนื่องเพื่อเขียนทับระบบหรือปล่อยให้ใช้ไม่ได้หรือไม่สามารถกู้คืนได้ (เว้นแต่องค์กรจะมีการสํารองข้อมูลที่ใช้งานได้)
สิ่งที่น่าสนใจเป็นทวีคูณคือจุดเปลี่ยนที่แข็งแกร่งของกลุ่ม APT ที่มีต่อระบบนิเวศระบบคลาวด์ของ Microsoft โดยการโจมตีที่ผ่านมาส่วนใหญ่มุ่งเน้นไปที่บริการ Exchange ภายในองค์กรที่มีช่องโหว่และอุปกรณ์รักษาความปลอดภัยของ Fortinet หรือเมื่อเร็ว ๆ นี้กับบริการออนไลน์เช่น Dropbox และ OneHub
ทําไมเหตุการณ์เหล่านี้จึงเกิดขึ้น?
ไม่น่าแปลกใจเลยที่แฮ็กเกอร์ที่มีความซับซ้อนในปัจจุบันกําลังมุ่งเน้นไปที่สภาพแวดล้อมระบบคลาวด์มากขึ้นเพื่อส่งเสริมวาระการประชุมของพวกเขา โดยไม่คํานึงถึงภูมิรัฐศาสตร์ที่มีบทบาทในเรื่องราวของนักแสดงรัฐชาตินี้เรายังคงเห็นการใช้ประโยชน์จากเครื่องมือการเข้าถึงระยะไกลเป็นเวกเตอร์การเข้าถึงเริ่มต้นที่สําคัญในสภาพแวดล้อมเป้าหมาย
ในขณะที่องค์กรส่วนใหญ่ยังคงพัฒนาไปสู่ระบบคลาวด์โครงสร้างพื้นฐานแบบไฮบริดให้ความยืดหยุ่นสําหรับข้อกําหนดที่ไม่สามารถปฏิบัติตามได้ในระบบนิเวศระบบคลาวด์เท่านั้นหรืออาจยังไม่พร้อมที่จะทําให้เป็นคลาวด์ การรักษาทรัพยากรในองค์กรและคลาวด์เนทีฟ (น่าจะเป็นแบบไฮบริดที่ซิงโครไนซ์) ช่วยให้องค์กรเหล่านี้เพลิดเพลินไปกับสิ่งที่ดีที่สุดของทั้งสองโลกจนกว่าวิธีการที่มีประสิทธิภาพมากขึ้นจะเติบโตเต็มที่สําหรับพวกเขา
ด้วยปรัชญานี้กลายเป็นเรื่องธรรมดามากขึ้นผู้คุกคามจึงเพลิดเพลินกับความคิดที่จะเกร็งกล้ามเนื้อของพวกเขาบนเวกเตอร์การเข้าถึงแบบดั้งเดิมและเป็นที่ยอมรับมากขึ้น (เช่นการเชื่อมต่อเดสก์ท็อประยะไกล) เพื่อรับรางวัลเป็นจุดหมุนในโครงสร้างพื้นฐานระบบคลาวด์ของเป้าหมายในที่สุด ต่อจากนั้นโดเมนคลาวด์ใหม่ทั้งหมดนั้นแสดงถึงโอกาสมากมายสําหรับการโจรกรรมผลประโยชน์ทางการเงินผ่านการเรียกค่าไถ่การหยุดชะงักหรือแม้แต่การทําลายทันทีอย่างที่เราเห็นที่นี่
สิ่งที่สามารถทําได้?
ภัยคุกคามเช่นนี้กินบริการที่เปราะบางหรือเปิดเผยซึ่งเสนอหัวหาดในสภาพแวดล้อมของเป้าหมาย จากจุดนั้นมันกลายเป็นเรื่องของสถานที่และวิธีที่ผู้ประสงค์ร้ายใช้ประโยชน์จากสิทธิ์และสิทธิ์ส่วนเกินเพื่อทําการโจมตี การลดพื้นผิวการโจมตีโดยรวมของคุณอย่างน้อยที่สุดจะช่วยขัดขวางสิ่งล่อใจ "ผลไม้แขวนต่ํา" ที่วางอยู่ต่อหน้าผู้คุกคาม ซึ่งหมายถึงการปิดใช้งานหรืออย่างน้อยก็แบ่งส่วนบริการการเข้าถึงระยะไกลแอปพลิเคชันส่วนตัวหรือโปรโตคอลที่ไม่จําเป็นอีกต่อไปหรือไม่ควรเข้าถึงได้แบบสาธารณะหลังเครื่องมือปริมณฑลที่ล้าสมัย ความสามารถเช่น Zero Trust Network Access (ZTNA) ช่วยให้องค์กรสามารถสร้างขอบเขตที่กําหนดโดยซอฟต์แวร์และแบ่งเครือข่ายขององค์กรออกเป็นหลายส่วนย่อยป้องกันการเคลื่อนที่ด้านข้างของภัยคุกคามและลดพื้นผิวการโจมตีในกรณีที่มีการละเมิด
การประเมินการเข้าถึงอย่างต่อเนื่องและการตรวจสอบความถูกต้องยังเป็นเทคนิคการบรรเทาผลกระทบที่มีประสิทธิภาพมาก เนื่องจากสามารถระบุและป้องกันความพยายามในการละเมิดได้เป็นรายกรณีสําหรับคําขอเข้าถึงแต่ละรายการ ในการประเมินข้อมูลประจําตัวของผู้ใช้ ข้อมูลประจําตัวของอุปกรณ์ ท่าทาง และปัจจัยตามบริบทอื่นๆ ZTNA อนุญาตให้เข้าถึง "สิทธิ์น้อยที่สุด" ไปยังแอปพลิเคชันเฉพาะ และไม่ใช่เครือข่ายพื้นฐานทั้งหมดสําหรับผู้ใช้ที่เข้าสู่ระบบสําเร็จ

เนื่องจากเรายังเห็นการกําหนดค่าภายในสภาพแวดล้อม Microsoft Azure ถูกดัดแปลงเพื่อปูทางไปสู่การทําลาย เช่นเดียวกับการละเมิดบัญชีผู้ดูแลระบบ Microsoft Azure ที่มีสิทธิพิเศษ ความสามารถต่างๆ เช่น การจัดการท่าทางสามารถช่วยตรวจจับและป้องกันกิจกรรมและการเปลี่ยนแปลงที่ถือว่าผิดปกติหรือขัดต่อมาตรฐานขององค์กร
Skyhigh Security ช่วยในเรื่องนี้โดยการขยายคุณลักษณะการตรวจสอบกิจกรรมและการตรวจสอบการกําหนดค่าความปลอดภัยไปยังโครงสร้างพื้นฐานของ Microsoft Azure ในการตรวจจับภัยคุกคามภายในและภายนอกต่อโครงสร้างพื้นฐาน Azure Skyhigh Security บันทึกที่สมบูรณ์ของกิจกรรมของผู้ใช้ทั้งหมดใน Microsoft Azure ผ่านการวิเคราะห์พฤติกรรมหลายรายการตรวจจับภัยคุกคามดําเนินการลดความเสี่ยงโดยอัตโนมัติและสนับสนุนการตรวจสอบทางนิติวิทยาศาสตร์ เมื่อภัยคุกคามได้รับการแก้ไข Skyhigh จะรวมข้อมูลนี้เข้ากับแบบจําลองพฤติกรรมโดยอัตโนมัติเพื่อปรับปรุงความแม่นยําในการตรวจจับ
Skyhigh อัปเดตเกณฑ์แบบไดนามิกและต่อเนื่องสําหรับผู้ใช้และกลุ่มแต่ละคนเพื่อระบุกิจกรรมที่บ่งบอกถึงภัยคุกคามภายใน Privileged User Analytics ในตัวจะระบุความเสี่ยงจากบัญชีผู้ดูแลระบบที่ไม่ได้ใช้งาน สิทธิ์ที่มากเกินไป และการยกระดับสิทธิ์และการจัดสรรผู้ใช้โดยไม่สมควร