พบแคมเปญใหม่ที่มีความเชื่อมโยงกับกลุ่ม Lazarus มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Zimbra ที่ยังไม่ได้ทำการ Patch เพื่อเข้าควบคุมเครื่องของเหยื่อ โดยถูกตั้งเป็นแคมเปญชื่อ No Pineapple
โดยเป้าหมายของกลุ่มคือต้องการให้การโจมตีเป็นไปในรูปแบบ Supply Chain Attack ซึ่งได้กำหนดกลุ่มเป้าหมายไว้เป็นองค์การวิจัยด้านสุขภาพในอินเดีย แผนกวิศวกรรมของมหาวิทยาลัยชั้นนำต่าง ๆ ผู้ผลิตเทคโนโลยีที่ใช้ในพลังงาน กลาโหม และการดูแลสุขภาพ
ซึ่งพบมีการเข้าถึงเครือข่ายของเหยื่อที่ไม่ระบุชื่อ เมื่อไตรมาสที่ 3 ของปีที่ผ่านมา โดยการใช้ประโยชน์จากช่องโหว่ของ Zimbra mail server ที่มีการเผยแพร่ออกสู่สาธารณะเมื่อปลายเดือนสิงหาคม 2565 โดยพบว่ามีข้อมูลประมาณ 100GB ถูกขโมยออกไปโดยกลุ่มผู้โจมตี
ช่องโหว่ที่ถูกระบุว่าถูกนำมาใช้ในการโจมตี
- CVE-2022-27925 Remote code execution (RCE) through mboximport from authenticated user
- CVE-2022-37042 Authentication bypass in MailboxImportServlet
ซึ่งทั้งสองช่องโหว่นั้นเกี่ยวข้องกัน เพื่อสามารถทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดยไม่ต้องผ่านการตรวจสอบสิทธิ์บน email server ที่มีช่องโหว่
ลักษณะการโจมตี
- โดยหลังจากผู้โจมตีสามารถเข้าถึงระบบได้แล้ว ก็จะมีการติดตั้ง Webshell และใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์บน Zimbra server ซึ่งจะช่วยให้ผู้โจมตีรวบรวมข้อมูลที่มีความสำคัญบน mailbox ได้
- ซึ่งต่อมาในเดือนตุลาคม มีความพยายามโจมตีไปยังระบบอื่น ๆ ภายในเครือข่ายขององค์กรที่ตกเป็นเหยื่อ และหลังจากนั้นก็มีการติดตั้ง Backdoor ชื่อ Dtrack หรือ GREASE
- Dtrack นั้นเป็น backdoor ของกลุ่มที่รับจ้างในการโจมตีทางไซเบอร์โดยจะมุ่งเป้าไปที่อุตสาหกรรมประเภทต่าง ๆ และมีแรงจูงใจทางด้านการเงิน ซึ่งมีความเกี่ยวข้องกับ Maui ransomware
- ในส่วนของ GREASE นั้นถูกมองว่าเป็นฝีมือของผู้โจมตีอีกรายหนึงที่มีชื่อว่า Kimsuky ซึ่งมีความสามารถในการสร้างบัญชีผู้ดูแลระบบใหม่ และทำให้สามารถใช้งาน Remote desktop protocol (RDP) ภายใต้ firewall policy ที่มีอยู่ได้
ระบบที่ได้รับผลกระทบ
Zimbra Collaboration Version 8.8.15 และ 9.0
คำแนะนำ
- ควรทำการอัปเดต Patch ด้านความปลอดภัยที่ทาง Zimbra ได้มีการปล่อยออกมาก่อนหน้านี้
- ควรหมั่นตรวจสอบ และอัปเดต Software หรือุปกรณ์ ที่มีการใช้งานอย่างสม่ำเสมอ
ที่มา : thehackernews
You must be logged in to post a comment.