กลุ่มแรนซัมแวร์ Clop หรือในชื่ออื่น ๆ เช่น TA505 และ FIN11 กำลังใช้ช่องโหว่ของ SolarWinds Serv-U เพื่อโจมตีเครือข่ายองค์กร และเข้ารหัสด้วยแรนซัมแวร์
Serv-U Managed File Transfer และ Serv-U Secure FTP มีช่องโหว่ Remote code execution ซึ่งมีหมายเลขช่องโหว่ CVE-2021-35211 ซึ่งสามารถทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้
SolarWinds ได้ปล่อยอัปเดตฉุกเฉินในเดือนกรกฎาคม 2021 หลังจากการพบว่าเริ่มมีการใช้ช่องโหว่ดังกล่าวในการโจมตี บริษัทยังเตือนด้วยว่าช่องโหว่นี้จะมีผลเฉพาะกับลูกค้าที่เปิดใช้งาน SSH feature
ช่องโหว่ที่ใช้ในการโจมตีด้วยแรนซัมแวร์
จากรายงานโดย NCC พบว่าการติดมัลแวร์เรียกค่าไถ่ Clop ในช่วงสองสามสัปดาห์ที่ผ่านมา ส่วนใหญ่เริ่มต้นจากการโจมตีด้วยช่องโหว่ CVE-2021-35211
เป็นที่ทราบกันดีว่ากลุ่ม Clop มักจะใช้ช่องโหว่ต่างๆในการโจมตี เช่น การโจมตีช่องโหว่ Zero-day ของ Accellion แต่นักวิจัยระบุว่ากลุ่ม Clop ก็มักใช้อีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายในการโจมตีด้วยเช่นเดียวกัน
ในการโจมตีครั้งใหม่ที่พบโดย NCC ผู้โจมตีใช้ประโยชน์จากช่องโหว่บน Serv-U เพื่อสร้างกระบวนการที่ควบคุมโดยผู้โจมตี ซึ่งทำให้พวกเขาสามารถเรียกใช้คำสั่งบนระบบเป้าหมายได้ ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ และทำการ lateral movement ไปยังภายในเครือข่าย โดยเป้าหมายก็เพื่อการโจมตีด้วยแรนซัมแวร์ต่อไป
สัญญาณที่บ่งบอกว่าระบบกำลังถูกโจมตีคือ Errors ใน Serv-U logs ซึ่งจะเกิดขึ้นเมื่อถูกโจมตีผ่านช่องโหว่ข้างต้น
Errors ที่แสดงใน logs จะคล้ายกับข้อความต่อไปนี้:
‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’
สัญญาณของการถูกโจมตีอีกประการหนึ่งคือร่องรอยของ PowerShell command execution ซึ่งใช้ในการติดตั้ง Cobalt Strike บนระบบที่มีช่องโหว่
สำหรับการพยายามแฝงตัวอยู่บนเครื่องที่โจมตีได้สำเร็จ ผู้โจมตีจะใช้การ Hijack schedule task ที่ถูกใช้อยู่แล้วบนระบบ เช่น registry backup เพื่อโหลด 'FlawedGrace RAT' ขึ้นมาทำงานได้ตลอดเวลา ซึ่ง FlawedGrace เป็นเครื่องมือที่ TA505 ใช้มาตั้งแต่เดือนพฤศจิกายน 2017 และยังคงเป็นเครื่องมือที่ใช้งานอยู่ของกลุ่ม
กลุ่ม NCC ได้โพสต์วิธีการตรวจสอบสำหรับผู้ดูแลระบบที่สงสัยว่าอาจถูกโจมตี:
- ตรวจสอบว่าเวอร์ชัน Serv-U ของคุณมีช่องโหว่หรือไม่
- ค้นหา DebugSocketlog.txt ของ Serv-U
- ค้นหาข้อความเช่น 'EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();' ใน Log file นี้
- ตรวจสอบ Event ID 4104 ใน Windows Event logs ในรอบวันที่ และเวลาของ Exception ที่พบ และค้นหาคำสั่ง PowerShell ที่น่าสงสัย
- ตรวจสอบ Scheduled Task ที่อาจถูก hijack ชื่อ RegIdleBackup โดยใช้คำสั่ง PowerShell ที่ให้มา
- ในกรณีที่ถูกโจมตี: CLSID ใน COM handler จะไม่ใช่ {CA767AA8-9157-4604-B64B-40747123D5F2}
- ถ้า task มี CLSID อื่น ควรตรวจสอบเนื้อหาของ CLSID objects ใน registry โดยใช้คำสั่ง PowerShell ที่ให้มา โดย Base64 encoded strings ที่พบอาจจะเป็น IOC ของผู้โจมตี
แม้จะมีการแจ้งเตือนให้อัปเดตความปลอดภัย แต่เซิร์ฟเวอร์ Serv-U ที่มีช่องโหว่จำนวนมากยังคงเข้าถึงได้แบบสาธารณะ โดยช่องโหว่ส่วนใหญ่ของ Serv-U FTP instances ตั้งอยู่ในจีน ในขณะที่สหรัฐอเมริกามาเป็นอันดับสอง
เป็นเวลาเกือบสี่เดือนแล้วที่ SolarWinds ได้ออกอัปเดตความปลอดภัยสำหรับช่องโหว่นี้ แต่เปอร์เซ็นต์ของเซิร์ฟเวอร์ Serv-U ที่มีความเสี่ยงยังคงสูงกว่า 60%
ที่มา: bleepingcomputer