แคมเปญการโจมตีล่าสุดของกลุ่มแฮ็กเกอร์ที่คาดว่ามาจากประเทศจีน ได้มุ่งเป้าการโจมตีไปที่อุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 Series ที่ไม่ได้ทำการอัปเดตแพตช์เพื่อแพร่กระจายมัลแวร์ และแฝงตัวอยู่ในระบบ
ตามรายงานทางเทคนิคที่เผยแพร่ในสัปดาห์นี้ของบริษัทความปลอดภัยทางไซเบอร์ Mandiant ระบุว่า "มัลแวร์มีฟังก์ชันในการขโมย credentials, provide shell access และการแฝงตัวบนระบบผ่านการ upgrade firmware" โดย Mandiant กำลังติดตามปฏิบัติการดังกล่าวภายใต้ชื่อกลุ่ม UNC4540
มัลแวร์ที่ประกอบไปด้วยสคริปต์ bash และไฟล์ ELF binary ที่ระบุว่าเป็น TinyShell backdoor ซึ่งถูกออกแบบมาเพื่อให้สิทธิ์กับผู้โจมตีในการเข้าถึงอุปกรณ์ SonicWall
วัตถุประสงค์ที่แท้จริงของปฏิบัติการดังกล่าว นักวิจัยคาดว่าเป็นการขโมยข้อมูล credential
โดยมัลแวร์จะทำให้ผู้โจมตีสามารถเข้าไปขโมยข้อมูลการเข้าสู่ระบบของผู้ใช้งานทั้งหมดในรูปแบบ hashed credentials นอกจากนี้มัลแวร์ยังสามารถเปิดช่องทางการเข้าถึงผ่าน shell บนอุปกรณ์ที่ถูกโจมตี
Mandiant ยังได้ระบุว่า ผู้โจมตีมีความเข้าใจในเชิงลึกเกี่ยวกับซอฟต์แวร์ของอุปกรณ์ และมีความสามารถในการพัฒนามัลแวร์ที่สามารถฝังตัวผ่านการ update firmware และยังสามารถแฝงตัวอยู่ใน network ได้
ในส่วนของ attack vector ที่ถูกใช้ในการโจมตียังไม่ทราบอย่างแน่ชัด แต่คาดว่ามัลแวร์นั้นอาจจะถูกติดตั้งบนอุปกรณ์บางรายการในช่วงต้นปี 2021
ในช่วงที่ SonicWall ได้ออกแพตซ์อัปเดต (เวอร์ชัน 10.2.1.7) ซึ่งมาพร้อมกับการเพิ่มความปลอดภัยใหม่ ๆ เช่น File Integrity Monitoring - FIM และการระบุกระบวนการที่ผิดปกติ (anomalous process identification)
SonicWall ได้ให้ข้อมูลกับ The hacker news ว่าแคมเปญนี้มุ่งเป้าหมายไปที่ "อุปกรณ์ SMA 100 series" ที่ไม่ได้รับการอัปเดตในช่วงปี 2021 ซึ่งไม่ได้เป็นการโจมตีด้วยช่องโหว่ใหม่
การโจมตีดังกล่าวเกิดขึ้นภายหลังจากเกือบสองเดือนที่ผู้โจมตีอีกกลุ่มที่คาดว่ามาจากประเทศจีนเช่นกัน ค้นพบช่องโหว่ใน Fortinet FortiOS SSL-VPN ที่เป็น zero-day เพื่อโจมตีหน่วยงานรัฐบาลยุโรป และผู้ให้บริการบริหารจัดการ (MSP) ที่ตั้งอยู่ในแอฟริกา
Mandiant ระบุว่า "ในช่วงหลายปีที่ผ่านมา ผู้โจมตีจากจีนได้ใช้หลากหลาย zero-day ในการใช้มัลแวร์เพื่อโจมตีอุปกรณ์เครือข่ายขององค์กรที่มีการเชื่อมต่อโดยตรงกับอินเตอร์เน็ต"
ที่มา : thehackernews
You must be logged in to post a comment.