Nokoyawa Ransomware ใช้ประโยชน์จากช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) บน Windows มีเลข CVE คือ CVE-2023-28252 ช่องโหว่นี้ใช้การยกระดับสิทธิ์ของระบบไฟล์บันทึกทั่วไป หลังจากช่อโหว่ถูกเผยแพร่ Microsoft จึงออก Patch มาแก้ไขเมื่อวันที่ 11 เมษายน 2565 โดย Patch มาพร้อมกับ Patch ประจำวันอังคารที่สองของเดือน
ลักษณะการทำงาน
1. จากการตรวจสอบ พบว่ากลุ่ม Nokoyawa Ransomware เป็นผู้เชี่ยวชาญด้านการใช้ช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) โดยตั้งแต่เดือนมิถุนายน 2565 เป็นต้นมาพบว่ามีการใช้ช่องโหว่ของ CLFS ที่ต่างกันถึง 5 รูปแบบ เป้าหมายของการโจมตีนี้คือบริษัทค้าปลีกและค้าส่ง บริษัทพลังงาน บริษัทการผลิต บริษัทการดูแลสุขภาพ บริษัทการพัฒนาซอฟต์แวร์ เป็นต้น
2. การโจมตีด้วยช่องโหว่ CVE-2023-28252 จะสำเร็จได้ก็ต่อเมื่อ User ที่ดำเนินการมีสิทธิ์ในการรันโค้ดบนเครื่องเป้าหมายที่จะยกระดับสิทธิ์ได้
3. หลังจาก Nokoyawa Ransomware ถูกติดตั้ง จะมี Payload สำหรับไปดึง Cobal Strike มาติดตั้งบนเครื่องเป้าหมาย นอกจากนี้ยังมีการใช้งาน Mimikatz, Z0Miner และ Boxter บนเครื่องเป้าหมายด้วย หากมีการติดตั้งไว้
4. ปัจจุบัน Microsoft ยังไม่บอกวิธีการในการใช้ประโยชน์จากช่องโหว่นี้ เพียงแต่ให้ผู้ใช้งานอัพเดท Patch
5. ผู้ใช้งานสามารถตรวจสอบที่เครื่อง โดย Ransomware จะวางไฟล์บน Directory เหล่านี้
C:\Users\Public\.container*
C:\Users\Public\MyLog*.blf
C:\Users\Public\p_*
แนวทางการป้องกัน
1. Update Patch (Release 11/4/2023)
2. Update Endpoint ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
3. ควนมี Solution Anti-APT และ EDR ในองค์กร
IOC
46168ed7dbe33ffc4179974f8bf401aa
1e4dd35b16ddc59c1ecf240c22b8a4c4
f23be19024fcc7c8f885dfa16634e6e7
a2313d7fdb2f8f5e5c1962e22b504a17
vnssinc[.]com
qooqle[.]top
vsexec[.]com
devsetgroup[.]com
8800e6f1501f69a0a04ce709e9fa251c
a70729b3241154d81f2fff506e5434be0a0c381354a84317958327970a125507
2ef9a4f7d054b570ea6d6ae704602b57e27dee15f47c53decb16f1ed0d949187
c170717a69847bb7b050832c55fcd2a214e9180c8cde5f86088bd4e5266e2fd9
a290ce75c6c6b37af077b72dc9c2c347a2eede4fafa6551387fa8469539409c7
e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4
Ref.
www.kaspersky.com
www.trendmicro.com
https://securelist.com
You must be logged in to post a comment.