Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ พบกลุ่ม Hacker ในเครือ ALPHV/BlackCat ransomware ที่มีชื่อว่า UNC4466 ใช้ช่องโหว่ 3 รายการ ที่ส่งผลกระทบต่อผลิตภัณฑ์ Veritas Backup เพื่อเข้าถึงระบบของเป้าหมาย (initial access)
ALPHV/BlackCat ransomware ถูกพบครั้งแรกในเดือนธันวาคม 2021 โดยมาจากการรวมตัวกันของสมาชิกกลุ่ม Darkside และ Blackmatter ที่ยุติปฏิบัติการลงอย่างกะทันหันเพื่อหลบหนีการจับกุมของหน่วยงานรัฐ
ช่องโหว่ที่ใช้ในการโจมตี
โดยทาง Mandiant ได้พบการโจมตีโดยการช่องโหว่ดังกล่าว ในวันที่ 22 ตุลาคม 2022 โดยพบการใช้ช่องโหว่ต่าง ๆ ดังนี้
CVE-2021-27876 : ช่องโหว่ในการเข้าถึงไฟล์โดยไม่ได้รับอนุญาต ซึ่งเกิดจากข้อผิดพลาดใน SHA authentication ทำให้ผู้โจมตีได้สามารถเข้าถึงระบบจากภายนอกได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ (คะแนน CVSS: 8.1)
CVE-2021-27877 : ช่องโหว่ในการเข้าถึงระบบได้จากภายนอกโดยไม่ได้รับอนุญาต และเรียกใช้คำสั่งที่มีสิทธิพิเศษไปยัง BE Agent ผ่าน SHA authentication (คะแนน CVSS: 8.2)
CVE-2021-27878 : ช่องโหว่ในการดำเนินการคำสั่งโดยไม่ได้รับอนุญาต ซึ่งเป็นผลมาจากข้อผิดพลาดใน SHA authentication ทำให้ผู้โจมตีได้สามารถเข้าถึงระบบจากภายนอกได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ (คะแนน CVSS: 8.8)
โดย Veritas Backup ได้ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่เหล่านี้ไปแล้วตั้งแต่เดือนมีนาคม 2021 แต่จากการตรวจสอบของ Mandiant พบว่ายังมี IP ที่เข้าถึงได้บนอินเทอร์เน็ตมากกว่า 8,500 รายการที่มีการใช้งาน "Symantec/Veritas Backup Exec ndmp" บนพอร์ตเริ่มต้น 10,000 และบนพอร์ต 9000 และ 10001 ซึ่งเสี่ยงต่อการถูกโจมตีจากช่องโหว่ดังกล่าว
การโจมตีด้วยช่องโหว่ Veritas Backup
Mandiant ได้เปิดเผยขั้นตอนการโจมตี โดยพบว่า UNC4466 จะมุ่งเป้าโจมตีไปยัง Windows server ที่มีการใช้งาน Veritas Backup Exec และเข้าถึงได้จากอินเทอร์เน็ต โดยใช้ Metasploit module เพื่อเข้าถึง และฝังตัวในระบบของเป้าหมาย
หลังจากนั้นจะใช้ Advanced IP Scanner และ ADRecon เพื่อสแกน และตรวจสอบระบบเครือข่าย เมื่อได้ข้อมูลระบบเครือข่ายแล้ว ก็จะทำการดาวน์โหลดเครื่องมือเพิ่มเติมบนเครื่องเป้าหมาย เช่น LAZAGNE, LIGOLO, WINSW, RCLONE เพื่อปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย และทำการเข้ารหัสด้วย ALPHV ransomware ผ่าน Background Intelligent Transfer Service (BITS)
จากนั้นใช้ SOCKS5 Tunneling เพื่อสื่อสารกับ command and control server (C2) หลังจากนั้นจะทำการยกระดับสิทธิ์ UNC4466 ใช้ Mimikatz, LaZagne และ Nanodump เพื่อขโมยข้อมูลออกไป และสุดท้ายจะทำการลบบันทึกเหตุการณ์ (log) เพื่อไม่ให้สามารถตรวจสอบพฤติกรรมการโจมตีได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.