FBI และ CISA เปิดเผยข้อมูลของกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่าน ในเหตุการณ์การโจมตีองค์กร Federal Civilian Executive Branch (FCEB) เพื่อติดตั้งมัลแวร์ XMRig cryptomining ซึ่งในครั้งนี้ผู้โจมตีเข้าสู่เครือข่ายผ่านเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์ ผ่านช่องโหว่ Log4Shell (CVE-2021-44228)
ลักษณะการโจมตี
- ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Log 4Shell ในการเข้าไปยังเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์
- เมื่อเข้าสู่ VMware Horizon ได้แล้ว มันจะทำการติดตั้ง XMRig cryptomining
- หลังจากติดตั้ง Cryptocurrency แล้ว ผู้โจมตีได้ใช้เทคนิค lateral Movement ไปยัง Domain Controller (DC) เพื่อทำการขโมย Credential
- เมื่อได้ Credential ที่ต้องการแล้ว ผู้โจมตีจะทำการตั้งค่า Reverse Proxy บนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อให้มัลแวร์สามารถแฝงตัวอยู่ภายในเครือข่าย
จากเหตุการณ์ทั้งหมด หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทั้งสองแห่งระบุว่าองค์กรใดที่ยังไม่ได้อัปเดตแพตช์ Log4Shell บนระบบ VMware ให้คาดหมายว่าองค์กรนั้นถูกโจมตีไปเรียบร้อยแล้ว ปละแนะนำให้เริ่มตรวจสอบพฤติกรรมที่ผิดปกติภายในเครือข่ายทันที
Log4Shell สามารถถูกใช้ในการโจมตีจากระยะไกลเพื่อเข้าถึงเซิร์ฟเวอร์ที่มีช่องโหว่ จากนั้นมันจะทำการ lateral Movement เพื่อเข้าถึงระบบอื่น ๆ ในองค์กรเพื่อขโมยข้อมูลที่สำคัญ ซึ่งหลังจากที่มีการเปิดเผยข้อมูลของช่องโหว่ดังกล่าวออกมาในเดือนธันวาคม 2021 ผู้โจมตีหลายรายก็เริ่มมีการสแกนหา และใช้ประโยชน์จากช่องโหว่นี้ในทันที โดยตั้งแต่เดือนมกราคมที่ผ่านมา มีผู้ที่ใช้ช่องโหว่นี้โจมตีเป็นจำนวนมาก เช่น กลุ่มแฮ็กเกอร์ชาวจีนใช้สำหรับNight Sky ransomware, กลุ่ม Lazarus จากเกาหลีเหนือสำหรับการติดตั้ง information stealers, กลุ่มแฮ็กเกอร์ TunnelVision ใช้ช่องโหว่เพื่อติดตั้ง Backdoors เป็นต้น
แนวทางการป้องกัน
- อัปเดตระบบ VMware Horizon และ Unified access gateway (UAG) ที่ได้รับผลกระทบเป็นเวอร์ชันล่าสุด
- ลดจำนวนระบบที่เป็น Internet-facing ให้เหลือน้อยที่สุด
- ดำเนินการทดสอบและตรวจสอบ Security Program ขององค์กรให้สามารถตรวจจับภัยคุกคามได้โดยอ้างอิงกับ MITER ATT&CK for Enterprise framework
- ดำเนินการทดสอบความปลอดภัยที่มีอยู่ขององค์กรโดยใช้เทคนิค ATT&CK โดยทดสอบดังนี้ hxxps://www[.]cisa[.]gov/uscert/ncas/alerts/aa22-320a#:~:text=fbi[.]gov[.]-,Mitigations,-CISA%20and%20FBI
ที่มา : bleepingcomputer
You must be logged in to post a comment.