Fortra รายงานผลการตรวจสอบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2023-0669 ในโซลูชั่น GoAnywhere MFT ที่ถูกกลุ่ม Clop ransomware ใช้เพื่อขโมยข้อมูลจากกว่า 100 บริษัท
ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน GoAnywhere ถูกเผยแพร่ออกสู่สาธารณะหลังจากที่ Fortra แจ้งเตือนผู้ใช้งานสำหรับช่องโหว่ดังกล่าวในวันที่ 3 กุมภาพันธ์ 2023
โดยเครื่องมือที่ใช้สำหรับโจมตีช่องโหว่ถูกเผยแพร่ออกมาเมื่อวันที่ 6 กุมภาพันธ์ 2023 ซึ่งทำให้มีโอกาสที่ผู้โจมตีรายอื่นจะนำไปใช้ในการโจมตี โดย Fortra ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ในวันต่อมา และแนะนำให้ผู้ใช้งานรีบทำการอัปเดตโดยด่วน
เมื่อวันที่ 10 กุมภาพันธ์ 2023 กลุ่ม Clop ransomware ให้ข้อมูลกับ Bleeping Computer ว่า ได้ใช้ประโยชน์จากช่องโหว่ใน GoAnywhere MFT ดังกล่าว ขโมยข้อมูลของบริษัทออกไปกว่า 130 แห่ง
Fortra ระบุว่าเริ่มพบพฤติกรรมที่น่าสงสัยบน GoAnywhere MFTaaS เมื่อวันที่ 30 มกราคม 2023 และรีบปิดบริการคลาวด์เพื่อดำเนินการตรวจสอบเพิ่มเติม
โดยจากการตรวจสอบเบื้องต้นพบว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ยังไม่ทราบรายละเอียดในระหว่างวันที่ 28 มกราคมถึง 30 มกราคม 2023 เพื่อสร้างบัญชีผู้ใช้บนระบบของลูกค้า
จากนั้นผู้โจมตีใช้บัญชีเหล่านี้เพื่อดาวน์โหลดไฟล์จากระบบ GoAnywhere MFT ของลูกค้า นอกจากนี้ยังใช้บัญชีที่ถูกสร้างขึ้นมานี้เพื่อติดตั้งเครื่องมือเพิ่มเติมเช่น “Netcat” และ “Errors.jsp” บนระบบ
Netcat เป็นยูทิลิตี้อเนกประสงค์ที่ผู้โจมตีมักจะใช้เพื่อสร้างแบ็คดอร์ ทำการสแกนพอร์ต หรือถ่ายโอนไฟล์ระหว่างระบบที่ถูกโจมตี และ C2 เซิร์ฟเวอร์
Errors.jsp เป็นไฟล์ JavaServer Pages (JSP) โดย Fortra ไม่ได้อธิบายว่าผู้โจมตีใช้ไฟล์ดังกล่าวเพื่อทำอะไร แต่เป็นไปได้ว่ามันถูกออกแบบมาเพื่อให้เป็นแบ็คดอร์เพื่อให้ผู้โจมตีสามารถเข้าถึงระบบของเหยื่อ เพื่อรันคำสั่ง ขโมยข้อมูล หรือแฝงตัวอยู่บนระบบ
- Netcat เป็นยูทิลิตี้อเนกประสงค์ที่ผู้โจมตีมักจะใช้เพื่อสร้างแบ็คดอร์ ทำการสแกนพอร์ต หรือถ่ายโอนไฟล์ระหว่างระบบที่ถูกโจมตี และ C2 เซิร์ฟเวอร์
- Errors.jsp เป็นไฟล์ JavaServer Pages (JSP) โดย Fortra ไม่ได้อธิบายว่าผู้โจมตีใช้ไฟล์ดังกล่าวเพื่อทำอะไร แต่เป็นไปได้ว่ามันถูกออกแบบมาเพื่อให้เป็นแบ็คดอร์เพื่อให้ผู้โจมตีสามารถเข้าถึงระบบของเหยื่อ เพื่อรันคำสั่ง ขโมยข้อมูล หรือแฝงตัวอยู่บนระบบ
ในขณะที่ทำการตรวจสอบ Fortra ก็พบว่าช่องโหว่เดียวกันนี้ถูกนำไปใช้กับลูกค้าที่ใช้ GoAnywhere MFT แบบ on-premise ซึ่งพบว่า CVE-2023-0669 มีสัญญาณการถูกนำมาใช้ในการโจมตีตั้งแต่ 18 มกราคม 2023 เป็นเวลาประมาณสองสัปดาห์ก่อนที่ Fortra จะพบการโจมตีบนระบบ GoAnywhere MFTaaS
คำแนะนำ
- Rotate Master Encryption Key
- รีเซ็ตข้อมูล credentials ทั้งหมด คีย์ และ/หรือรหัสผ่าน รวมถึงสำหรับคู่ค้า/ระบบภายนอกทั้งหมด
- ตรวจสอบ audit logs และลบบัญชีผู้ดูแลระบบ และ/หรือบัญชีผู้ใช้เว็บที่น่าสงสัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.