พบ Ransomware ตัวใหม่ใช้ประโยชน์จากช่องโหว่เก่าของ Fortinet VPN เพื่อโจมตีเครื่องที่ยังไม่ได้แพทช์

Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer