CISA แจ้งเตือนห้ามใช้ Ivanti VPN gateways ที่ถูกโจมตี แม้ว่าจะทำการ factory reset แล้วก็ตาม

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA แจ้งเตือนผู้ใช้งานอุปกรณ์ Ivanti VPN ว่าอุปกรณ์ Ivanti VPN ที่ถูกโจมตีจากช่องโหว่ อาจมีความเสี่ยงในการแฝงตัวของสิทธิ์ root ถึงแม้ว่าจะทำการ factory reset บนอุปกรณ์แล้วก็ตาม รวมถึงสามารถหลีกเลี่ยงการตรวจจับจาก Ivanti internal และ external Integrity Checker Tool (ICT) บน Ivanti Connect Secure และ Policy Secure gateway ที่ถูกโจมตี ซึ่งใช้ช่องโหว่เหล่านี้ CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 และ CVE-2024 -21893

โดยช่องโหว่ทั้ง 4 รายการนี้ มีระดับความรุนแรงตั้งแต่ High จนถึงระดับ Critical ซึ่งมีความสามารถในการโจมตีในรูปแบบต่าง ๆ เช่น authentication bypass, command injection, server-side-request forgery และ arbitrary command execution

ทั้งนี้ CISA พบว่า Ivanti ICT ไม่สามารถตรวจจับเหตุการณ์การโจมตีหลายครั้งที่เกี่ยวข้องกับอุปกรณ์ Ivanti ที่มีช่องโหว่ เนื่องจาก Web Shell ที่พบในระบบไม่มีไฟล์ที่ไม่ตรงกันตามข้อมูลของ Ivanti ICT

รวมถึงจากการตรวจสอบของทีม forensic พบว่า Hacker ได้ทำการปกปิดการโจมตีด้วยการเขียนทับไฟล์ การหยุดการทำงานไฟล์ และติดตั้ง runtime partition ใหม่ เพื่อเรียกคืนค่าอุปกรณ์ที่ถูกโจมตีให้เป็น "clean state"

ซึ่งแสดงให้เห็นว่า Ivanti ICT ไม่น่าเชื่อถือในการตรวจจับการโจมตีจากช่องโหว่ก่อนหน้านี้ หลังจากนั้นทาง Ivanti ได้ทำการอัปเดตเพื่อแก้ไขปัญหาที่พบใน Ivanti ICT
โดย CISA ได้ให้คำแนะนำแก่หน่วยงานของรัฐบาลกลางเกี่ยวกับวิธีการดำเนินการหลังจากค้นพบสัญญาณของการโจมตีในอุปกรณ์ Ivanti VPN บนเครือข่ายดังนี้

ระบุข้อมูลบัญชีผู้ใช้ และบัญชีอื่น ๆ ที่อยู่ในอุปกรณ์ Ivanti VPN ที่มีแนวโน้มว่าจะถูกโจมตี
ค้นหาพฤติกรรมที่เป็นอันตรายบนเครือข่าย โดยใช้วิธีการตรวจจับจาก indicators of compromise (IOC) ตามรายงาน
ใช้งาน ICT ตัวอัปเดตล่าสุดของ Ivanti
ทำตามคำแนะนำในการอัปเดตแพตช์ เมื่อมีการอัปเดตเวอร์ชันของ Ivanti รวมถึงหากตรวจพบการโจมตีที่อาจเกิดขึ้นในองค์กร ควรรวบรวม และวิเคราะห์ log และ artifacts ที่เป็นอันตราย และทำตามคำแนะนำในการตอบสนองต่อเหตุการณ์ตามรายงาน

CISA แจ้งเตือนถึงความเสี่ยงที่มีความสำคัญ

โดยทาง Ivanti ได้ออกมาชี้แจงกรณีที่ CISA ได้รายงานว่าพบ Hacker พยายามเข้าถึงอุปกรณ์ Ivanti จากระยะไกล และแฝงตัวในระบบ ซึ่ง Ivanti ระบุว่าหาก Hacker ทำการโจมตีด้วยวิธีการที่ CISA รายงานจะไม่สามารถเชื่อมต่อกับอุปกรณ์ Ivanti Connect Secure ได้

แต่อย่างไรก็ตามทาง CISA ก็ยังแนะนำให้ผู้ใช้งานอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure gateway ที่ได้รับผลกระทบ ให้พิจารณาว่าจะใช้งานอุปกรณ์เหล่านี้ต่อไปในระบบเครือข่ายขององค์กรหรือไม่ เนื่องจาก CISA ยังมีความเป็นห่วงเรื่องความปลอดภัยของอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure ที่ถูกโจมตีก่อนหน้านี้ แม้ว่าจะทำการ cleaning และทำการ factory reset แล้วก็ตาม

ในวันที่ 1 กุมภาพันธ์ 2024 CISA ได้สั่งให้หน่วยงานรัฐบาลกลางทั้งหมดทำการยกเลิกการเชื่อมต่อ Ivanti Connect Secure และ Ivanti Policy Secure ทั้งหมดจากเครือข่ายภายใน 48 ชั่วโมง เพื่อตอบสนองต่อภัยคุกคามที่สำคัญ และความเสี่ยงที่เพิ่มขึ้นของการโจมตีที่เกิดจากอุปกรณ์ Ivanti VPN ที่ถูกโจมตีช่องโหว่

โดยหน่วยงานได้รับคำสั่งให้ทำการ factory reset และอัปเดตให้เป็นเวอร์ชันใหม่ที่ได้รับการแก้ไขช่องโหว่แล้ว จากนั้นจึงนำ Configuration ที่ backup ไว้กลับมาใช้อีกครั้ง และเพิกถอน certificates, keys และรหัสผ่านที่เชื่อมต่อทั้งหมด เพื่อให้สามารถนำอุปกรณ์ที่ถูก isolate กลับมาได้ใช้งานต่อ

รวมถึงหน่วยงานที่พบว่าผลิตภัณฑ์ Ivanti ที่ใช้งานได้ถูกโจมตีบนเครือข่ายไปแล้ว ได้รับคำสั่งให้สันนิษฐานว่าบัญชีบนโดเมนที่มีการเชื่อมโยงทั้งหมดถูกโจมตีไปแล้ว โดยมีคำสั่งให้ปิดการใช้งานอุปกรณ์ที่เชื่อมต่อ/ลงทะเบียน (cloud environment) หรือทำการรีเซ็ตรหัสผ่านสำหรับทุกบัญชี และเพิกถอน Kerberos ticker และ cloud tokens (hybrid setup)

ที่มา : bleepingcomputer.

กลุ่มแฮ็กเกอชาวร์รัสเซียกำลังใช้ Ubiquiti EdgeRouters ที่ถูกบุกรุกเพื่อหลบเลี่ยงการตรวจจับ

โดยกลุ่ม Military Unit 26165 ซึ่งเป็นส่วนหนึ่งของ Main Intelligence Directorate of the General Staff (GRU) ของรัสเซีย และเป็นที่รู้จักในชื่อ APT28 และ Fancy Bear ได้ใช้เราเตอร์ที่ถูกบุกรุก และได้รับความนิยมอย่างมากเหล่านี้ เพื่อสร้างบอตเน็ตซึ่งช่วยขโมยข้อมูล NTLMv2 และทำหน้าที่เป็นพร็อกซีสำหรับการดำเนินการที่เป็นอันตราย

นอกจากนี้ยังใช้เพื่อโฮสต์เครื่องมือที่สร้างขึ้นเอง รวมถึงหน้าเว็บฟิชชิ่ง ตลอดจนปฏิบัติการทางไซเบอร์ต่าง ๆ ที่มุ่งเป้าไปยังกองทัพ รัฐบาล และองค์กรอื่น ๆ ทั่วโลก

"EdgeRouters มักจะมาพร้อมกับ default credentials และไม่มีการป้องกันด้วยไฟร์วอลล์เพื่อรองรับผู้ให้บริการอินเทอร์เน็ตไร้สาย (WISP) นอกจากนี้ EdgeRouters จะไม่มีการอัปเดตเฟิร์มแวร์โดยอัตโนมัติ เว้นแต่ผู้ใช้จะอัปเดตด้วยตนเอง" FBI เตือน

"ด้วยการเข้าถึงสิทธิ์รูทของ Ubiquiti EdgeRouters กลุ่ม APT28 จะสามารถเข้าถึงระบบปฏิบัติการบน Linux ได้อย่างอิสระ เพื่อติดตั้งเครื่องมือ และสร้างความสับสนในขณะที่ดำเนินการแคมเปญที่เป็นอันตราย"

หลังจากตรวจสอบเราเตอร์ที่ถูกแฮ็ก FBI ค้นพบเครื่องมือต่าง ๆ ของ APT28 รวมถึงสคริปต์ Python สำหรับขโมยข้อมูล โปรแกรมที่ออกแบบมาเพื่อรวบรวมข้อมูล NTLMv2 และการกำหนดเส้นทางที่สร้างขึ้นเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลแบบฟิชชิ่งโดยอัตโนมัติ

APT28 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซีย ซึ่งถูกระบุว่ามีส่วนต่อการโจมตีทางไซเบอร์ที่มีชื่อเสียงหลายครั้งนับตั้งแต่เริ่มปฏิบัติการ พวกเขาอยู่เบื้องหลังการโจมตีคณะกรรมการรณรงค์หาเสียงของรัฐสภาประชาธิปไตย (DCCC) และคณะกรรมการประชาธิปไตยแห่งชาติ (DNC) ก่อนการเลือกตั้งประธานาธิบดีสหรัฐในปี 2016 และถูกตั้งข้อหาในสหรัฐอเมริกาเนื่องจากมีส่วนร่วมในการโจมตี DNC และ DCCC นอกจากนี้สภาสหภาพยุโรปยังได้คว่ำบาตรสมาชิก APT28 ในเดือนตุลาคม 2020 ฐานมีส่วนร่วมในการแฮ็กรัฐสภาเยอรมัน

วิธีกู้คืน Ubiquiti EdgeRouters ที่ถูกแฮ็ก

FBI และหน่วยงานพันธมิตรแนะนำมาตรการต่อไปนี้เพื่อกำจัดมัลแวร์ และบล็อกการเข้าถึงเราเตอร์ที่ถูกบุกรุกจากกลุ่ม APT28:

1. ทำการรีเซ็ตฮาร์ดแวร์เป็นค่าเริ่มต้นจากโรงงานเพื่อล้างระบบไฟล์ของไฟล์ที่เป็นอันตราย
2. อัปเกรดเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด
3. เปลี่ยนชื่อผู้ใช้ และรหัสผ่านเริ่มต้น
4. ใช้ Rules บนไฟร์วอลล์อินเทอร์เฟซฝั่ง WAN เพื่อป้องกันการเข้าถึงจากระยะไกลที่ไม่ได้รับอนุญาต

FBI กำลังตรวจสอบหาข้อมูลที่เกี่ยวข้องกับการดำเนินการของกลุ่ม APT28 บน EdgeRouters ที่ถูกแฮ็ก เพื่อป้องกันการโจมตีโดยใช้เทคนิคเหล่านี้ต่อไป

แฮ็กเกอร์ชาวรัสเซียเคยกำหนดเป้าหมายไปยังอุปกรณ์ Internet routing เพื่อใช้ในการโจมตีแบบ man-in-the-middle เพื่อสนับสนุนการจารกรรมข้อมูลของเหยื่ออย่างต่อเนื่อง และวางรากฐานสำหรับปฏิบัติการในครั้งต่อ ๆ ไป

ที่มา : https://www.

สมาชิกของพันธมิตรข่าวกรอง Five Eyes (FVEY) ออกมาแจ้งเตือนในวันนี้ว่ากลุ่มแฮ็กเกอร์ APT29 Russian Foreign Intelligence Service (SVR) กำลังเปลี่ยนไปใช้การโจมตีที่กำหนดเป้าหมายไปยังบริการคลาวด์ของเหยื่อ

APT29 (หรือที่รู้จักกันในชื่อ Cozy Bear, Midnight Blizzard, The Dukes) ได้โจมตีหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง หลังจากการโจมตีแบบ supply-chain attack กับบริษัท SolarWinds เมื่อสามปีที่แล้ว

กลุ่มแฮ็กเกอร์จากรัสเซียกลุ่มนี้ ยังโจมตีบัญชี Microsoft 365 ที่เป็นขององค์กรต่าง ๆ ภายในกลุ่มประเทศ NATO เพื่อขโมยข้อมูลที่เกี่ยวข้องกับนโยบายต่างประเทศของรัฐบาล, สถานทูต และเจ้าหน้าที่อาวุโสทั่วยุโรป โดยใช้วิธีการโจมตีแบบฟิชชิ่ง ล่าสุดไมโครซอฟต์ยืนยันว่ากลุ่มดังกล่าวได้โจมตีบัญชี Exchange Online ของผู้บริหาร และผู้ใช้งานจากองค์กรอื่น ๆ ในเดือนพฤศจิกายน 2023

บริการคลาวด์อยู่ภายใต้การถูกโจมตี

ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC), NSA, CISA, FBI และหน่วยงานรักษาความปลอดภัยทางไซเบอร์จากออสเตรเลีย แคนาดา และนิวซีแลนด์ แจ้งเตือนว่ากลุ่มแฮ็กเกอร์จากรัสเซียค่อย ๆ เริ่มต้นการโจมตีโครงสร้างพื้นฐานบนระบบคลาวด์

หน่วยงาน Five Eyes พบกลุ่ม APT29 กำลังเข้าถึงระบบคลาวด์ของเป้าหมายโดยใช้บัญชีที่ถูก compromise จากการโจมตีแบบ brute forcing หรือ password spraying นอกจากนี้ยังใช้บัญชีที่ไม่ได้มีการใช้งาน แต่ยังไม่ถูกลบออกจากองค์กร ทำให้สามารถเข้าถึงได้อีกครั้งหลังจากรีเซ็ตรหัสผ่าน

การเริ่มต้นโจมตีระบบคลาวด์ของ APT29 ยังรวมถึงการใช้ access tokens ที่ถูกขโมยมา ซึ่งช่วยให้พวกเขาแฮ็กบัญชีได้โดยไม่ต้องใช้ข้อมูล credentials รวมถึงการ bypass MFA และการลงทะเบียนอุปกรณ์ของตนเองเป็นอุปกรณ์ใหม่บนระบบคลาวด์ของเหยื่อ

วิธีตรวจจับการโจมตีบนระบบคลาวด์ของกลุ่ม SVR

หลังจากที่สามารถเข้าถึงระบบของเหยื่อได้ในครั้งแรก กลุ่ม SVR จะใช้เครื่องมือที่ซับซ้อน เช่น มัลแวร์ MagicWeb ซึ่งช่วยให้พวกเขาสามารถยืนยันตัวตนในฐานะผู้ใช้งานใด ๆ ภายในเครือข่ายที่ถูกบุกรุก เพื่อหลบเลี่ยงการตรวจจับในเครือข่ายของเหยื่อ ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาล และองค์กรสำคัญ ๆ ที่ครอบคลุมยุโรป สหรัฐอเมริกา และเอเชีย

ดังนั้นการลดความเสี่ยงจากการโจมตีเริ่มต้นของ APT29 ควรเป็นสิ่งแรกที่ต้องทำ เช่น การเปิดใช้งาน MFA ทุกที่ และทุกเวลาที่เป็นไปได้ ควบคู่ไปกับการตั้งรหัสผ่านที่รัดกุม ใช้หลักการ least privilege สำหรับบัญชีต่าง ๆ บนระบบ และบัญชีบริการทั้งหมดเพื่อตรวจจับการบุกรุกได้รวดเร็วยิ่งขึ้น และการลด session lifetimes เพื่อบล็อกการใช้งานของ session tokens ที่อาจถูกขโมยออกไป รวมถึงควรอนุญาตเฉพาะการลงทะเบียนอุปกรณ์สำหรับอุปกรณ์ที่ได้รับอนุญาต

ที่มา: https://www.

นักวิจัยจาก Check Point Research ได้เผยแพร่รายงานการวิเคราะห์ Attack Vectors ที่อาจจะเกิดขึ้นกับช่องโหว่ล่าสุดใน Microsoft Outlook โดยช่องโหว่ดังกล่าว เกิดจากการที่ Outlook จัดการกับไฮเปอร์ลิงก์อย่างไม่เหมาะสม

ลักษณะการทำงานของไฮเปอร์ลิงก์บน Outlook คือ หากไฮเปอร์ลิงก์ขึ้นต้นด้วย “http://” หรือ “https://” Outlook ก็จะเรียกใช้งาน default เว็บเบราว์เซอร์บน Windows และเปิด URL ของเว็บไซต์นั้น ซึ่งเป็นพฤติกรรมปกติของ Outlook

แต่หากเป็นโปรโตคอลอื่นนอกเหนือจาก http, https เช่น หากลิงก์เริ่มต้นด้วยโปรโตคอล URL ของแอปพลิเคชัน และ Outlook คาดว่าโปรโตคอล URL นั้นอาจมีความเสี่ยงด้านความปลอดภัย ตัวอย่างเช่น โปรโตคอล URL "Skype" ในลักษณะนี้

*<a href="skype:SkypeName?call">Call me on Skype</a>*

หากผู้ใช้งานคลิกลิงก์ลักษณะดังกล่าวก็จะได้รับการเตือนว่าลิงก์อาจไม่ปลอดภัย

โดยหากลองใช้โปรโตคอล "file://" เพื่อชี้ไปที่ไฟล์ Word ที่อยู่ภายนอกในลักษณะนี้

*<a href="file:///\\10.10.111.111\test\test.

ตำรวจไซเบอร์ยูเครนจับกุมชาย อายุ 31 ปี ต้นตอของการก่ออาชญากรรมทางไซเบอร์ ซึ่งพบว่าสามารถเข้าถึงข้อมูลบัญชีธนาคารผู้ใช้งานชาวอเมริกัน และแคนาดา เพื่อนำออกมาวางขายบน Dark Web

ผู้ต้องหารายนี้ได้ใช้โทรจันซอฟท์แวร์ (Trojanized Software) ในรูปแบบของซอฟท์แวร์ฟรีในหลายเว็บไซต์ที่ดูแลอยู่ รวมไปถึงโฆษณาเว็บไซต์เหล่านี้ด้วยการออกแคมเปญในช่องทางอื่น ๆ อีกด้วย

ตำรวจยังระบุเพิ่มเติมเติมอีกว่าผู้ต้องหารายนี้ได้แจกจ่ายซอฟท์แวร์ฟรีที่มีโทรจันเหล่านี้ทั้งบนคอมพิวเตอร์ desktop และโทรศัพท์เคลื่อนที่ในระบบปฏิบัติการแอนดรอยด์

จากรายงานของตำรวจ ระบุว่า “แฮ็กเกอร์ได้สร้าง และทำหน้าที่ควบคุมดูแลหลายเว็บไซต์ ในการดำเนินการแพร่กระจายมัลแวร์ ผ่านการให้บริการแจกซอฟท์แวร์ฟรีต่าง ๆ บนเว็บไซต์ เพื่อให้ผู้ใช้งานสามารถดาวน์โหลดซอฟท์แวร์บนเว็บไซต์ได้อย่างฟรี ๆ และเริ่มการโฆษณาเว็บไซต์ที่ตัวเองเป็นคนดูแลผ่านแคมเปญต่าง ๆ บนอินเทอร์เน็ต เพื่อหลอกล่อเหยื่อให้ได้มากขึ้น”

หลังจากโปรแกรมที่มีการแทรกคำสั่งอันตรายเหล่านี้ (Payloads) อยู่ในอุปกรณ์ของเหยื่อแล้ว จะส่งข้อมูลสำคัญต่าง ๆ (Sensitive data) ให้กับแฮ็กเกอร์ ซึ่งแฮ็กเกอร์สามารถนำมาใช้เพื่อเข้าใช้งานบัญชี Google และบัญชีธนาคารผ่านระบบออนไลน์ได้

แฮ็กเกอร์จะขายข้อมูลการเข้าถึงบัญชีต่าง ๆ เหล่านี้ให้กับอาชญากรทางไซเบอร์รายอื่น ๆ อีกครั้ง บน Dark Web ด้วยการแลกเปลี่ยนซื้อขายผ่านบิตคอยน์ (Bitcoins) หลังจากมีการติดต่อกันทางโทรศัพท์โดยใช้เบอร์โทรศัพท์จากประเทศรัสเซีย

เจ้าหน้าที่ที่รับผิดชอบคดีนี้ระบุเพิ่มเติมว่า ผู้ต้องหามีผู้สมรู้ร่วมคิดในการกระทำดังกล่าว ซึ่งเป็นผู้ดูแลบัญชีบน Darknet ทั้งนี้ยังไม่สามารถระบุตัวตนผู้สมรู้ร่วมคิดดังกล่าวได้ โดยที่เจ้าหน้าที่กำลังสอบสวนเพื่อสืบหาตัวผู้ต้องสงสัยรายนี้อยู่

ข่าวประชาสัมพันธ์จากตำรวจระบุว่า แฮ็กเกอร์ได้กระทำการดังกล่าวตั้งแต่ปี 2017 และเริ่มปฏิบัติการฟิชชิ่ง (phishing) ในปี 2021 ซึ่งจากข้อมูลขั้นต้นสามารถยืนยันได้ว่าการก่ออาชญากรรมดังกล่าว สร้างรายได้กว่า $92,000 เหรียญดอลลาร์สหรัฐ

การจับกุมเกิดขึ้นในวันที่ 14 กุมภาพันธ์ที่ผ่านมา ณ ที่พักของผู้ต้องหา ตำรวจแบ่งออกเป็น 3 กลุ่ม เข้าบุกค้น และจับกุม ทำให้สามารถอายัดทรัพย์สิน และยึดทรัพย์เป็นของกลางได้หลายรายการ รวมถึงรถหรูยี่ห้อเมอร์เซเดส-เบนซ์ เอสยูวี ซึ่งมีราคากว่า $65,000 เหรียญดอลลาร์สหรัฐอีกด้วย

ที่มา : hxxps[:]//youtu[.]be/c1H0ybx9JKU

และผลคำพิพากษาจากคดีนี้ส่งผลให้ผู้ต้องหารายนี้ต้องได้รับโทษจำคุกสูงถึง 8 ปี และถูกยึดทรัพย์สินทั้งหมดจากความผิดคดีอาญา (Criminal Code of Ukraine - Part 2 of Article 209) ฐานฟอกทรัพย์สินอันได้มาจากการกระทำความผิด รวมถึงฐานเข้าถึง และยักยอกข้อมูลอิเล็กทรอนิกส์บนระบบเครือข่าย และโทรคมนาคมโดยไม่ได้รับอนุญาต (Part 2 of Article 361, unauthorized interference with the operation of information systems, electronic communication networks) และฐานสร้างซอฟท์แวร์เพื่อจุดประสงค์ในการแจกจ่าย ขาย ใช้งาน และทำอันตรายด้วยเทคนิคใด ๆ ผ่านซอฟท์แวร์ซึ่งรวมไปถึงการแจกจ่าย และขายด้วย(Part 1 of Article 361-1, creation for the purpose of illegal use, distribution, or sale of harmful software or technical means, as well as their distribution or sale)

ในการลดความเสี่ยงจากการติดมัลแวร์ในขณะทำการค้นหาซอฟท์แวร์ใด ๆ ผู้ใช้งานควรตระหนักถึงอันตรายจากโฆษณาจากผลลัพธ์การค้นหาบน Google Search และตรวจสอบว่าเว็บไซต์ที่แสดงอยู่นั้นเป็นเว็บไซ์ทางการของผู้ให้บริการผลัตภัณฑ์นั้น ๆ หรือไม่

แนะนำให้เปิดการใช้งานระบบป้องกันโฆษณา (ad-blocker) ที่สามารถซ่อนผลลัพธ์จากผู้ให้บริการที่ซื้อโฆษณาเพื่อให้แสดงผลลัพธ์เป็นอันดับต้น ๆ บน Google Search ไว้ได้ โดยเฉพาะอย่างยิ่งการป้องกันการกระทำใด ๆ บนโลกออนไลน์ ให้ปลอดภัยจากมัลแวร์ที่เป็นอันตราย

ที่มา: https://www.

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า เครือข่ายองค์กรรัฐบาลที่ไม่เปิดเผยชื่อ ถูกเจาะผ่านบัญชีผู้ดูแลระบบที่เป็นของอดีตพนักงาน

ตัวแทนจาก CISA ระบุในรายงานความร่วมมือที่เผยแพร่เมื่อวันพฤหัสบดีพร้อม ๆ กับ Multi-State Information Sharing and Analysis Center (MS-ISAC) ว่า เหตุการณ์ดังกล่าวทำให้ผู้โจมตีสามารถเชื่อมต่อ VPN ของเหยื่อได้สำเร็จ โดยมีจุดประสงค์ที่จะรับส่งข้อมูลที่ดูเหมือนเป็นปกติเพื่อหลบเลี่ยงการตรวจจับ

มีการตั้งข้อสงสัยว่าผู้โจมตีได้รับข้อมูล credentials ภายหลังการละเมิดข้อมูล เนื่องจากมีข้อมูล credentials ปรากฏในช่องทางการเผยแพร่ข้อมูลบัญชีรั่วไหล โดยบัญชีผู้ดูแลระบบสามารถเข้าถึง virtualized SharePoint server และยังช่วยให้ผู้โจมตีเข้าถึงชุดข้อมูล credentials อื่นที่จัดเก็บไว้ในเซิร์ฟเวอร์ได้ ซึ่งมีสิทธิ์ผู้ดูแลระบบเครือข่ายภายในองค์กร และ Azure Active Directory (ปัจจุบันเรียกว่า Microsoft Entra ID)

สิ่งนี้ทำให้สามารถสำรวจข้อมูลภายในองค์กรของเหยื่อได้มากขึ้น และค้นหา Lightweight Directory Access Protocol (LDAP) ต่าง ๆ กับ domain controller ได้ ซึ่งผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้ยังไม่ถูกเปิดเผยในปัจจุบัน โดยจากการตรวจสอบเหตุการณ์นี้ มีหลักฐานที่แสดงให้เห็นว่าผู้โจมตีมีการย้ายระบบจาก on-premises ไปยัง Azure cloud

ผู้โจมตีเข้าถึงข้อมูลของโฮสต์ และผู้ใช้งานได้ในที่สุด และนำไปโพสต์ลงบน dark web เพื่อหาผลประโยชน์ทางการเงิน โดยมีข้อความแจ้งเตือนให้องค์กรรีเซ็ตรหัสผ่านสำหรับผู้ใช้ทั้งหมด ปิดการใช้งานบัญชีผู้ดูแลระบบ รวมถึงยกเลิกสิทธิ์การเพิ่มบัญชีที่สอง

เป็นที่น่าสังเกตว่าทั้งสองบัญชีไม่ได้เปิดใช้งาน MFA ซึ่งย้ำให้เห็นถึงความจำเป็นในการรักษาความปลอดภัยบัญชีพิเศษที่ให้สิทธิ์การเข้าถึงระบบที่สำคัญ โดยมีการแนะนำให้ใช้หลักการ least privilege และสร้างบัญชีผู้ดูแลระบบแยกต่างหาก เพื่อแบ่งกลุ่มการเข้าถึงข้อมูลภายในองค์กร และคลาวด์ เป็นสัญญาณบ่งชี้ว่าผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกต้อง รวมถึงบัญชีของอดีตพนักงานที่ยังไม่ได้ถูกลบออกจาก Active Directory (AD) เพื่อเข้าถึงองค์กรโดยไม่ได้รับอนุญาต

CISA ระบุเพิ่มเติมว่า "บัญชี ซอฟต์แวร์ และบริการที่ไม่จำเป็นในเครือข่ายจะสร้างช่องทางเพิ่มเติมเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบได้ ใน Azure AD ผู้ใช้ทุกคนสามารถลงทะเบียน และจัดการแอปพลิเคชันที่พวกเขาสร้างขึ้นได้ การตั้งค่าเริ่มต้นเหล่านี้สามารถทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และโจมตีต่อไปภายในเครือข่ายได้ นอกจากนี้ ผู้ใช้ที่สร้าง Azure AD จะกลายเป็นผู้ดูแลระบบโดยอัตโนมัติสำหรับ tenant นั้น ซึ่งอาจทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในการดำเนินการที่เป็นอันตรายได้"

ที่มา : https://thehackernews.

กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ server-side request forgery (SSRF) บน Ivanti Connect Secure, Policy Secure และ ZTA gateways ในการติดตั้ง DSLog backdoor ใหม่บนอุปกรณ์เหยื่อ

ช่องโหว่นี้มีหมายเลข CVE-2024-21893 ถูกเปิดเผยครั้งแรกในรูปแบบ Zero-Day ที่กำลังถูกใช้ในการโจมตีในวันที่ 31 มกราคม 2024 พร้อม ๆ กับการอัปเดตความปลอดภัย และวิธีการรับมือกับภัยคุกคามจาก Ivanti

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SAML component (Security Assertion Markup Language) ซึ่งทำให้แฮ็กเกอร์สามารถข้ามขั้นตอนในการยืนยันตัวตน (Bypass authentication) และสามารถเข้าถึงข้อมูลที่ถูกควบคุมไว้ได้บน Ivanti gateways เวอร์ชัน 9.x และ 22.x

การอัปเดตที่สามารถแก้ไขช่องโหว่นี้ได้คือ Ivanti Connect Secure เวอร์ชัน 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 และ 22.5R2.2, Ivanti Policy Secure เวอร์ชัน 22.5R1.1 และ ZTA เวอร์ชัน 22.6R1.3

ในวันที่ 5 กุมภาพันธ์ 2024 Shadowserver ผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ออกมารายงานว่า พบกลุ่มแฮ็กเกอร์หลายกลุ่มพยายามที่จะโจมตีโดยใช้ช่องโหว่นี้ โดยที่บางกลุ่มใช้ PoC หรือ proof-of-concept ซึ่งถูกเปิดเผยโดย Rapid7 ในการโจมตี ทั้งนี้ยังไม่มีรายงานในส่วนของอัตราความสำเร็จของการโจมตี ณ ช่วงเวลานั้น

รายงานฉบับใหม่จาก Orange Cyberdefense ออกมายืนยันถึงความสำเร็จของการโจมตีช่องโหว่ CVE-2024-21893 สำหรับการติดตั้ง backdoor ตัวใหม่ที่มีชื่อว่า DSLog ซึ่งทำให้กลุ่มแฮ็กเกอร์สามารถ execute คำสั่งจากระยะไกล บนเครื่อง Ivanti เซิร์ฟเวอร์ที่ถูกโจมตีได้

Orange ยังระบุเพิ่มเติมว่าสังเกตพบ backdoor ตัวใหม่นี้ในครั้งแรก ตั้งแต่วันที่ 3 กุมภาพันธ์ 2024 หลังจากวิเคราะห์ อุปกรณ์ที่ถูกโจมตี ซึ่งได้ดำเนินการลดผลกระทบด้วย XML mitigation ตามที่ Ivanti แนะนำ (บล็อก API endpoints ทั้งหมด) แต่ยังไม่ได้อัปเดตแพตซ์

DSLog backdoor

จากการตรวจสอบ Log บนอุปกรณ์ Ivanti ที่ถูกโจมตีแล้วนั้น กลุ่มนักวิจัยจาก Orange พบ backdoor ถูกป้อนคำสั่งเพิ่มเติมใส่ code บนอุปกรณ์ โดยการขอยืนยันตัวตนผ่าน SAML ซึ่งประกอบด้วยหลายคำสั่งภายในที่ถูก encoded ไว้แล้ว

ซึ่งคำสั่งเหล่านี้นั้นสามารถถูกเรียกใช้งานเพื่อเปิดเผยข้อมูลของระบบภายใน และทำให้สามารถเข้าถึงไฟล์ได้จากภายนอก (index2.txt) แสดงให้เห็นว่าจุดประสงค์ของแฮ็กเกอร์คือการเก็บ และรวบรวมข้อมูลภายในก่อนการโจมตี และยืนยันได้ว่าถูกเข้าถึงสิทธิ์ Root แล้ว

ภายใต้คำสั่งผ่านระบบ SAML นั้นแสดงให้เห็นถึงการพยายามที่จะรักษาความปลอดภัยสิทธิ์การอ่าน/เขียนระบบไฟล์บนอุปกรณ์ที่ถูกโจมตี, การตรวจจับการแก้ไข logging script อย่างถูกต้อง (DSLog.

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Hacker ชาวเกาหลีเหนือกลุ่ม Lazarus Group ได้ใช้ช่องโหว่ Zero-Day ในไดรเวอร์ Windows AppLocker (appid.

Microsoft แจ้งว่า การอัปเดตประจำเดือนกุมภาพันธ์ 2024 อาจติดตั้งไม่สำเร็จบนระบบ Windows 11 เวอร์ชัน 22H2 และ 23H2 โดยผู้ใช้จะพบ error 0x800F0922 และการดาวน์โหลดจะหยุดลงที่ 96% (more…)

Apple ได้เพิ่มความสามารถของ iMessage ใหม่ โดยเป็น post-quantum cryptographic protocol ในชื่อ PQ3 ซึ่งได้รับการออกแบบมาเพื่อปกป้องการเข้ารหัสจากการโจมตี quantum attacks (more…)