Hacker ที่คาดว่าเป็นชาวรัสเซีย ถูกพบว่ากำลังใช้ช่องโหว่บน Windows ที่เพิ่งได้รับการแก้ไขในการโจมตีที่มุ่งเป้าไปที่หน่วยงานของยูเครน
CVE-2024-43451 (คะแนน CVSS 6.5/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ NTLM Hash Disclosure spoofing ที่สามารถใช้เพื่อขโมย NTLMv2 hash ของผู้ใช้ที่ล็อกอินโดยบังคับให้เชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดย Hacker จากระยะไกล (C2 Server) ที่ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ ClearSky
ClearSky ได้ตรวจพบแคมเปญการโจมตีในเดือนมิถุนายน 2024 หลังจากสังเกตเห็น phishing email ที่ออกแบบมาเพื่อใช้โจมตีในแคมเปญ โดยอีเมลเหล่านี้มี hyperlink ที่จะดาวน์โหลด Internet shortcut file ที่โฮสต์บนเซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้านี้ (osvita-kp.gov[.]ua) ซึ่งเป็นของแผนกการศึกษา และวิทยาศาสตร์ของสภาเมือง Kamianets-Podilskyi ทั้งนี้เมื่อผู้ใช้โต้ตอบกับ URL file ด้วยการคลิกขวา ลบ หรือย้ายไฟล์ การโจมตีช่องโหว่ก็จะเริ่มขึ้น
โดยเมื่อเกิดการโต้ตอบกับ URL file การเชื่อมต่อกับ C2 Server จะถูกสร้างขึ้นเพื่อดาวน์โหลด malware payload ซึ่งรวมถึง SparkRAT ที่เป็นเครื่องมือ open-source สำหรับการเข้าถึงจากระยะไกล และใช้งานได้หลายแพลตฟอร์ม ทำให้ Hacker สามารถควบคุมระบบที่โจมตีได้จากระยะไกล
ในขณะทำการสืบสวนเหตุการณ์ดังกล่าว นักวิจัยยังได้รับการแจ้งเตือนถึงความพยายามในการขโมย NTLM hash ผ่าน Server Message Block (SMB) protocol ซึ่ง password hash เหล่านี้สามารถนำมาใช้ในการโจมตีแบบ " pass-the-hash " หรือถอดรหัสเพื่อให้ได้รหัสผ่านแบบ plaintext password ของผู้ใช้งานได้
ClearSky ได้แบ่งปันข้อมูลนี้กับทีม Ukraine's Computer Emergency Response Team (CERT-UA) ซึ่งได้เชื่อมโยงการโจมตีเข้ากับกลุ่ม Hacker ชาวรัสเซีย และถูกระบุในชื่อ UAC-0194
Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว โดยเป็นส่วนหนึ่งของแพตช์ประจำเดือนพฤศจิกายน 2024 และยืนยันการค้นพบของ ClearSky โดยระบุว่าจำเป็นต้องมีการโต้ตอบจากผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ
CISA ยังได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog แล้ว โดยสั่งให้รักษาความปลอดภัยระบบที่มีช่องโหว่บนเครือข่ายภายในวันที่ 3 ธันวาคม 2024 ตามที่กำหนดโดย Binding Operational Directive (BOD) 22-01
ทั้งนี้ CISA แจ้งเตือนว่าช่องโหว่ประเภทนี้มักเป็นช่องทางการโจมตีของกลุ่ม Hacker และก่อให้เกิดความเสี่ยงต่อองค์กรของรัฐบาลกลาง
ที่มา : bleepingcomputer
You must be logged in to post a comment.