News

เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกแฮ็ก ถูกนำมาใช้ในการโจมตีที่เรียกว่า Internal reply-chain

กลุ่มผู้โจมตีเซิร์ฟเวอร์ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell และ ProxyLogon เพื่อแพร่กระจายมัลแวร์ มีการพยายามหลีกเลี่ยงการตรวจจับโดยใช้วิธีการที่เรียกว่า internal reply-chain จากอีเมลที่ขโมยมา

นักวิจัยจาก TrendMicro ได้ค้นพบเทคนิคที่ผู้โจมตีใช้ในการแพร่กระจายอีเมลที่เป็นอันตรายไปยังผู้ใช้ภายในของบริษัทโดยใช้ Microsoft exchange servers ของเหยื่อที่ถูกโจมตี

ผู้ที่อยู่เบื้องหลังการโจมตีนี้เชื่อกันว่าเป็น 'TR' ซึ่งเป็นที่รู้จักในเรื่องของการแพร่กระจายอีเมลที่มีไฟล์แนบที่เป็นอันตราย และติดตั้งมัลแวร์เช่น Qbot, IcedID, Cobalt Strike และ SquirrelWaffle payloads

เพื่อหลอกล่อเป้าหมายให้เปิดไฟล์แนบที่เป็นอันตราย ผู้โจมตีใช้ประโยชน์จากช่องโหว่ ProxyShell และ ProxyLogon บน Microsoft Exchange จากนั้นผู้โจมตีจะใช้เซิร์ฟเวอร์ Exchange ที่โจมตีได้สำเร็จเพื่อตอบกลับอีเมลภายในของบริษัทในวิธีการโจมตีที่เรียกว่า reply-chain ซึ่งมีลิงก์ไปยังเอกสารที่เป็นอันตรายซึ่งมีการติดตั้งมัลแวร์ต่างๆไว้

นักวิจัย TrendMicro ได้วิเคราะห์ Email headers ที่ถูกส่งมา พบว่าเป็นผู้ส่งจากระบบภายใน และจะใช้การตอบกลับจากอีเมลที่พนักงานได้คุยกันก่อนหน้าระหว่างพนักงานสองคน ซึ่งทำให้อีเมลนั้นมีความน่าเชื่อถือ และดูมีความปลอดภัย

ไฟล์ที่แนบมานั้นเป็น Microsoft Excel ที่บอกให้ผู้รับ 'Enable Content' เพื่อเปิดใช้งานไฟล์แนบ

เมื่อผู้ใช้เปิดใช้งานก็จะถูกรันมาโครที่เป็นอันตรายเพื่อดาวน์โหลด และติดตั้งมัลแวร์ในไฟล์แนบไม่ว่าจะเป็น Qbot, Cobalt Strike, SquirrelWaffle หรือมัลแวร์อื่น ๆ

ควรอัปเดตเซิร์ฟเวอร์ Exchange อยู่เสมอ

Microsoft ได้แก้ไขช่องโหว่ ProxyLogon ในเดือนมีนาคมและช่องโหว่ ProxyShell ในเดือนเมษายน และพฤษภาคมเรียบร้อยแล้ว

ผู้โจมตีมักจะใช้ช่องโหว่ทั้งสองเพื่อติดตั้งแรนซัมแวร์ หรือติดตั้ง web shell สำหรับการเข้าถึงในลักษณะ Backdoor ในภายหลัง

การโจมตีด้วยช่องโหว่ ProxyLogon นั้นอันตรายมากจน FBI ต้องดำเนินการลบ web shells ออกจากเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกโจมตีในสหรัฐอเมริกาโดยไม่แจ้งให้เจ้าของเซิร์ฟเวอร์ทราบก่อน

ที่มา : bleepingcomputer

 

Microsoft ออกมาเตือนให้ผู้ดูแลระบบ Exchange รีบอัปเดตแพตซ์ช่องโหว่ที่กำลังถูกใช้โจมตีอย่างแพร่หลายอยู่ในปัจจุบัน

Microsoft เตือนผู้ดูแลระบบให้แก้ไขช่องโหว่ Exchange Server ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2021-42321 - Microsoft Exchange Server Remote Code Execution Vulnerability ส่งผลกระทบต่อ Exchange Sever 2016 และ Exchange Server 2019 ซึ่งรวมถึง server ที่ใช้ในโหมด Exchange Hybrid ซึ่งช่องโหว่นี้เกิดจากการตรวจสอบอาร์กิวเมนต์ cmdlet ที่ไม่เหมาะสม (Exchange Online ไม่ได้รับผลกระทบจากการโจมตี และไม่ต้องดำเนินการใดๆเพิ่มเติม)

"เราทราบดีถึงรายงานการพบการโจมตีในปัจจุบัน โดยใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Exchange 2016 และ 2019 คำแนะนำคือให้รีบทำการอัปเดตทันทีเพื่อปกป้อง environment ของคุณ" Microsoft กล่าวเพิ่มเติม

หลังการ update สามารถใช้สคริปต์ตรวจสอบความปลอดภัยของ Exchange Server เวอร์ชันล่าสุดได้ที่ Microsoft

หากต้องการตรวจสอบว่า Exchange server ถูกโจมตีจาก CVE-202-42321 ไปแล้วหรือไม่ สามารถใช้คำสั่ง PowerShell บน Exchange server แต่ละเครื่องเพื่อตรวจสอบข้อมูลใน Event Log : Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.

มัลแวร์บน Android ตัวใหม่มุ่งเป้าโจมตีกลุ่มผู้ใช้งาน Netflix, Instagram และ Twitter

มัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ ชื่อ MasterFred ใช้หน้าล็อกอินปลอม เพื่อหลอกขโมยข้อมูลบัตรเครดิตของผู้ใช้งาน Netflix, Instagram และ Twitter โดยมัลแวร์ตัวนี้ยังมุ่งเป้าไปยังลูกค้าของธนาคาร โดยการใช้หน้าล็อกอินปลอมเพื่อหลอกขโมยข้อมูลเหยื่อ ในหลาย ๆ ภาษาอีกด้วย

ตัวอย่างของมัลแวร์ MasterFred ถูกพบครั้งแรกเมื่อเดือนมิถุนายน 2021 บน VirusTotal หลังจากนั้น 1 สัปดาห์ Alberto Segura นักวิเคราะห์มัลแวร์ ได้แชร์ตัวอย่างอีกตัวของมัลแวร์ MasterFred ซึ่งแสดงให้เห็นว่ามันถูกใช้เพื่อขโมยข้อมูลผู้ใช้งาน Android ในโปแลนด์ และตุรกี

หลังจากได้วิเคราะห์มัลแวร์ตัวนี้แล้วทีมนักวิจัยจาก Avast Threat Labs ได้ค้นพบว่ามัลแวร์ได้สร้าง Overlays ปลอมขึ้นจาก Built-in APIs ของ Android Accessibility service

“ผู้โจมตีสามารถใช้งาน Application Accessibility toolkit ซึ่งติดตั้งมาบน Android ตั้งแต่ต้นเพื่อทำ Overlay attack หลอกให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิตบน Overlay ปลอม โดยเกิดขึ้นทั้งบนแอปพลิเคชัน Netflix และ Twitter” กล่าวโดย Avast

การใช้งาน Accessibility service นั้นไม่ใช่เรื่องใหม่ เนื่องจากผู้พัฒนามัลแวร์ได้มีการใช้งาน Accessibility service เพื่อปลอม Tabs บน Browser และ Android UI เพื่อใช้ดาวน์โหลด และติดตั้ง Payloads อันตราย และมัลแวร์อื่น ๆ อีกทั้งยังใช้ในการ Execute โปรแกรมอื่นในเบื้องหลังด้วย

สิ่งที่ทำให้มัลแวร์ MasterFred โดดเด่นกว่ามัลแวร์ตัวอื่น คือ Malicious Apps ที่ถูกฝังมัลแวร์ตัวนี้บนอุปกรณ์ Android นั้นมาพร้อมกับ HTML overlays ที่สามารถใช้เพื่อแสดง Login forms ของปลอม เพื่อขโมยข้อมูลทางการเงินของเหยื่อได้

ตัวมัลแวร์เองยังใช้งาน Onion.

พบช่องโหว่ 13 รายการใน Siemens Nucleus TCP/IP Stack ที่มีการใช้งานอยู่บนอุปกรณ์กว่าพันล้านเครื่อง

เมื่อวันที่ 9 พฤศจิกายนที่ผ่านมา ทาง Forescout Research ได้เผยแพร่รายงานที่มีชื่อว่า “NUCLEUS:13” โดยภายในรายงานได้ระบุรายละเอียดเกี่ยวกับการวิจัย Nucleus NET ซึ่งเป็น TCP/IP stack ของ Nucleus ที่เป็นระบบปฏิบัติการแบบเรียลไทม์ (RTOS) ของ Siemens ได้พบช่องโหว่ใหม่ 13 รายการ โดย RTOS นี้ได้มีการใช้งานในอุปกรณ์มากกว่า 3 พันล้านเครื่องในหลาย ๆ อุตสาหกรรม เช่น อุตสาหกรรมยานยนต์ การดูแลสุขภาพ เป็นต้น

ช่องโหว่ที่เกิดขึ้นนั้นสามารถที่จะนำมาใช้ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE), denial-of-service (DoS) และการเปิดเผยข้อมูลได้ โดยทั้ง 13 ช่องโหว่มีรายละเอียดดังนี้

 

 

 

 

 

 

 

โดยช่องโหว่ความรุนแรงสูงสุดมีอยู่ 4 ช่องโหว่ คือ (CVE-2021-31886, CVE-2021-31887, CVE-2021-31888, CVE-2021-31885) เนื่องจาก File Transfer Protocol (FTP) หรือ TFTP ซึ่ง FTP เป็น Protocol ที่ไม่ปลอดภัยเนื่องจากไม่มีการเข้ารหัส หรือกลไกการตรวจสอบสิทธิ์ที่ปลอดภัย โดยทั่วไปจะพบในรุ่นเก่า ๆ เพราะฉะนั้นการเปิดใช้งาน FTP ภายในองค์กรจึงทำให้มีความเสี่ยงได้ และในปัจจุบันทาง Siemens ได้ออกแพตช์สำหรับช่องโหว่ทั้งหมดเรียบร้อยแล้ว

ที่มา: thehackernews

Trojan บน Android ตัวใหม่ที่ชื่อว่า SharkBot มีความสามารถในการขโมยบัญชีธนาคาร และบัญชีสกุลเงินดิจิทัล

เมื่อวันจันทร์ที่ 15 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ทำการปิด Android Trojan ตัวใหม่ ที่มีความสามารถในการเข้าถึงอุปกรณ์เพื่อดูดเอาข้อมูลประจำตัวจากบริการของธนาคาร หรือสกุลเงินดิจิทัล ในประเทศอิตาลี สหราชอาณาจักร และสหรัฐอเมริกา

SharkBot malware ออกแบบมาเพื่อโจมตีเป้าหมายทั้งหมด 27 เป้าหมาย โดยจะมีธนาคารในอิตาลี และสหราชอาณาจักร 22 แห่ง รวมถึงแอปพลิเคชั่นเกี่ยวกับสกุลเงินดิจิทัล 5 แอปพลิเคชั่นในสหรัฐอเมริกา ซึ่งพบว่ามีการโจมตีมาตั้งแต่ปลายเดือนตุลาคม 2564

SharkBot มีการพัฒนาแอพของตัวเองขึ้นมาเพื่อหลอกล่อเหยื่อเช่น Media player, Live TV หรือ แอปกู้คืนข้อมูล และหลังจากเหยื่อดาวน์โหลด และติดตั้งแอพดังกล่าวแล้ว ตัวแอพจะใช้ประโยชน์จาก Accessibility Service ของระบบโดยการตั้งค่าสำหรับโจมตีแบบ Automatic Transfer Systems (ATS) ที่จะคอยช่วยให้ระบบ กรอกข้อมูลอัตโนมัติในแอพพลิเคชั่นธนาคารบนมือถือ และเริ่มโอนเงินจากอุปกรณ์ที่ถูกบุกรุกไปยัง Money mule ที่เป็นตัวกลางในการโอนเงิน ที่ถูกควบคุมโดยผู้โจมตีอีกที

มัลแวร์ดังกล่าวยังมีความสามารถในการขโมยข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต และการสกัดกั้น SMS จากธนาคารไม่ให้มีการแจ้งเตือนต่าง ๆ รวมถึงการควบคุมอุปกรณ์ที่ถูกบุกรุกจากระยไกล

นอกจากนี้ยังสามารถหลบหลีกการตรวจจับ และสามารถซ่อนไอคอนของแอพจากหน้าจอหลักหลังจากการติดตั้งได้ และ Google Play Store ยังไม่พบว่าแอพที่ได้กล่าวไปข้างต้นนั้นเป็นมัลแวร์อีกด้วย ซึ่งเป็นไปได้ว่าอาจถูกติดตั้งบนอุปกรณ์ของผู้ใช้งานไปแล้วจำนวนมาก

ที่มา: thehackernews

มัลแวร์ Emotet กลับมาแล้ว และสร้าง botnet ใหม่ผ่าน TrickBot

มัลแวร์ Emotet เป็นมัลแวร์ที่พบการแพร่กระจายเป็นจำนวนมากในอดีตที่ผ่านมา โดยใช้แคมเปญสแปม และไฟล์แนบที่เป็นอันตรายเพื่อแพร่กระจายมัลแวร์

Emotet จะใช้เครื่องที่ติดไวรัสเพื่อโจมตีต่อด้วยแคมเปญสแปมอื่นๆ และติดตั้งเพย์โหลดอื่นๆ เช่น QakBot (Qbot) และมัลแวร์ Trickbot จากนั้นเพย์โหลดเหล่านี้จะถูกนำมาใช้เพื่อทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหล่านี้เพื่อติดตั้งแรนซัมแวร์ต่อไป เช่น Ryuk, Conti, ProLock, Egregor และอื่นๆ อีกมากมาย

เมื่อช่วงต้นปีที่ผ่านมา มีการบังคับใช้กฎหมายระหว่างประเทศซึ่งดำเนินการโดย Europol และ Eurojust เข้าควบคุมระบบ Infrastructure ของ Emotet และมีการจับกุมผู้ที่เกี่ยวข้องได้ 2 คน โดยหน่วยงานด้านกฎหมายของเยอรมนีใช้ระบบ Infrastructure ของ Emotet เอง เพื่อถอนการติดตั้งมัลแวร์จากอุปกรณ์ที่ถูกควบคุมโดย Emotet ทั้งหมดเมื่อวันที่ 25 เมษายน 2021

Emotet ได้กลับมาหลังจากการถูกจับครั้งล่าสุด

นักวิจัยจาก Cryptolaemus, GData และ Advanced Intel เริ่มพบเห็นมัลแวร์ TrickBot dropping Loader ของ Emotet บนอุปกรณ์ที่ติดไวรัส

ที่ผ่านมา Emotet ได้ใช้ TrickBot ซึ่งนักวิจัยจาก Cryptolaemus จะเรียกวิธีการที่ผู้โจมตีใช้ลักษณะนี้ว่า "Operation Reacharound" ซึ่งจะทำการสร้าง Botnet ขึ้นมาใหม่โดยใช้ Infrastructure ที่มีอยู่แล้วของ TrickBot

Joseph Roosen ผู้เชี่ยวชาญด้าน Emotet และนักวิจัยจาก Cryptolaemus บอกกับ BleepingComputer ว่าพวกเขาไม่เห็นสัญญาณอื่นๆจาก Emotet ในการกลับมาใช้สแปม หรือไฟล์อันตรายในการแพร่กระจายตัวมัลแวร์

การที่ยังไม่ค่อยพบแพร่กระจายจากการสแปม น่าจะเกิดจากการที่ Emotet ต้องเริ่มสร้างระบบของตนขึ้นใหม่ตั้งแต่ต้น ซึ่งหลังจากนี้อาจจะเริ่มพบเห็นแคมเปญสแปมเพิ่มขึ้นจากปฏิบัติการเข้ายึดอีเมลจากผู้ตกเป็นเหยื่อหลังจากนี้

Cryptolaemus กลุ่มนักวิจัย Emotet ได้เริ่มวิเคราะห์ Emotet loader ใหม่และบอกกับ BleepingComputer ว่ามีข้อมูลเปลี่ยนแปลงเมื่อเทียบกับข้อมูลก่อนหน้านี้

นักวิจัยของ Cryptolaemus กล่าวกับ BleepingComputer ว่า "จนถึงตอนนี้ เราสามารถยืนยันได้แล้วว่า Command buffer มีการเปลี่ยนแปลง โดยตอนนี้มี 7 commands แทนที่จะเป็น 3-4 commands ดูเหมือนว่าจะมีตัวเลือกการ execution ต่างๆ สำหรับไบนารีที่ดาวน์โหลด (เพราะไม่ใช่แค่ dlls)"

Vitali Kremez ของ Intel ได้วิเคราะห์ Emotet dropper ตัวใหม่และเตือนว่าการกลับมาของ botnet มัลแวร์อาจนำไปสู่การติด ransomware ที่เพิ่มขึ้น

Kremez บอกกับ BleepingComputer ว่า Emotet loader DLL ปัจจุบันมี timestamp เป็น "6191769A (วันอาทิตย์ที่ 14 พ.ย. เวลา 20:50:34 ปี 2021)"

การป้องกัน Emotet botnet ตัวใหม่

Abuse.

พบ 14 ช่องโหว่ใหม่ใน BusyBox Linux Utility

BusyBox นั้นได้รับการขนานนามว่า Swiss Army Knife ของ Embedded Linux เป็นชุดซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย ซึ่งรวมเอา Utility หรือ Applets Unix ทั่วไปไว้ในไฟล์สำหรับสั่งการในไฟล์เดียวที่สามารถทำงานบนระบบ Linux เช่น Programmable Logic Controllers (PLC), Human-machine interfaces (HMIs) และ Remote terminal units (RTUs)

และเมื่อวันอังคารที่ผ่านมานี้เอง นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ที่สำคัญ 14 ช่องโหว่ใน BusyBox Linux Utility ที่สามารถนำไปใช้โจมตีได้ โดยจะส่งผลให้เกิด denial-of-service (DOS) และในบางกรณีอาจนำไปสู่การรั่วไหลของข้อมูล หรือการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัท DevOps JFrog และบริษัทรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรม Claroty ได้กล่าวในรายงานร่วมกันว่า ช่องโหว่ดังกล่าวมีเลข CVE-2021-42373 ถึง CVE-2021-42386 โดยช่องโหว่ดังกล่าวมีผลกระทบกับเครื่องมือหลาย Version ตั้งแต่ 1.16-1.33.1

รายการช่องโหว่ทั้งหมดที่ได้รับผลกระทบ

man - CVE-2021-42373
lzma/unlzma - CVE-2021-42374
ash - CVE-2021-42375
hush - CVE-2021-42376, CVE-2021-42377
awk - CVE-2021-42378,CVE-2021-42379, CVE-2021-42380,CVE-2021-42381, CVE-2021-42382,CVE-2021-42383, CVE-2021-42384,CVE-2021-42385, CVE-2021-42386

ล่าสุดช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วใน BusyBox version 1.34.0

ที่มา: thehackernews

Palo Alto แจ้งเตือนช่องโหว่ Zero-Day บน Firewall ที่ใช้ GlobalProtect Portal VPN

ช่องโหว่ Zero-Day ใหม่ที่ Palo Alto ออกมาแจ้งเตือนนี้อาจถูกนำมาใช้ในการโจมตีเข้ามาในเครือข่ายโดยไม่ต้องพิสูจน์ตัวตน และสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้

นักวิจัย Randori จากบริษัทรักษาความปลอดภัยทางไซเบอร์ใน Massachusetts ได้เป็นผู้ค้นพบช่องโหว่ดังกล่าว และถูกระบุเป็นช่องโหว่หมายเลข CVE-2021-3064 (PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces | CVSS:9.8) ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.1 (PAN-OS 8.1.0 - PAN-OS 8.1.16) โดยช่องโหว่ดังกล่าวประกอบไปด้วยวิธีการ Bypass validations โดยเว็บเซิฟเวอร์จากภายนอก (HTTP smuggling) และการทำ Buffer overflow

ช่องโหว่ดังกล่าวได้รับการพิสูจน์แล้วว่าทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Physical Firewall และ Virtual Firewall ได้ แต่ด้านรายละเอียดทางเทคนิคที่เกี่ยวข้องกับช่องโหว่นี้นั้นจะยังไม่ถูกเปิดเผยออกมาเป็นเวลา 30 วัน เพื่อป้องกันไม่ให้ผู้ที่ไม่หวังดีนำไปใช้ในการโจมตี

ทาง Palo Alto Networks ออกมาให้ข้อมูลว่า ช่องโหว่ Memory corruption ใน Palo Alto Networks GlobalProtect portal และ Gateway interface ทำให้ผู้โจมตี disrupt system processes จึงทำให้ผู้โจมตีอาจจะสามารถสั่งรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูงได้ แต่ผู้โจมตีจะต้องมีการเข้าถึง GlobalProtect interface ได้ก่อนในการโจมตีด้วยช่องโหว่นี้

อย่างไรก็ตาม Palo Alto Networks ได้แนะนำให้องค์กรที่ได้รับผลกระทบเปิดใช้งาน Threat Signature ID “91820 และ 91855” สำหรับตรวจสอบ Traffic เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นกับช่องโหว่ CVE-2021-3064

ที่มา: thehackernews

กลุ่ม Clop ใช้ประโยชน์จากช่องโหว่ของ SolarWinds Serv-U ในการโจมตีโดยใช้แรนซัมแวร์

กลุ่มแรนซัมแวร์ Clop หรือในชื่ออื่น ๆ เช่น TA505 และ FIN11 กำลังใช้ช่องโหว่ของ SolarWinds Serv-U เพื่อโจมตีเครือข่ายองค์กร และเข้ารหัสด้วยแรนซัมแวร์

Serv-U Managed File Transfer และ Serv-U Secure FTP มีช่องโหว่ Remote code execution ซึ่งมีหมายเลขช่องโหว่ CVE-2021-35211 ซึ่งสามารถทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้

SolarWinds ได้ปล่อยอัปเดตฉุกเฉินในเดือนกรกฎาคม 2021 หลังจากการพบว่าเริ่มมีการใช้ช่องโหว่ดังกล่าวในการโจมตี บริษัทยังเตือนด้วยว่าช่องโหว่นี้จะมีผลเฉพาะกับลูกค้าที่เปิดใช้งาน SSH feature

ช่องโหว่ที่ใช้ในการโจมตีด้วยแรนซัมแวร์

จากรายงานโดย NCC พบว่าการติดมัลแวร์เรียกค่าไถ่ Clop ในช่วงสองสามสัปดาห์ที่ผ่านมา ส่วนใหญ่เริ่มต้นจากการโจมตีด้วยช่องโหว่ CVE-2021-35211

เป็นที่ทราบกันดีว่ากลุ่ม Clop มักจะใช้ช่องโหว่ต่างๆในการโจมตี เช่น การโจมตีช่องโหว่ Zero-day ของ Accellion แต่นักวิจัยระบุว่ากลุ่ม Clop ก็มักใช้อีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายในการโจมตีด้วยเช่นเดียวกัน

ในการโจมตีครั้งใหม่ที่พบโดย NCC ผู้โจมตีใช้ประโยชน์จากช่องโหว่บน Serv-U เพื่อสร้างกระบวนการที่ควบคุมโดยผู้โจมตี ซึ่งทำให้พวกเขาสามารถเรียกใช้คำสั่งบนระบบเป้าหมายได้ ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ และทำการ lateral movement ไปยังภายในเครือข่าย โดยเป้าหมายก็เพื่อการโจมตีด้วยแรนซัมแวร์ต่อไป

สัญญาณที่บ่งบอกว่าระบบกำลังถูกโจมตีคือ Errors ใน Serv-U logs ซึ่งจะเกิดขึ้นเมื่อถูกโจมตีผ่านช่องโหว่ข้างต้น

Errors ที่แสดงใน logs จะคล้ายกับข้อความต่อไปนี้:

‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’

สัญญาณของการถูกโจมตีอีกประการหนึ่งคือร่องรอยของ PowerShell command execution ซึ่งใช้ในการติดตั้ง Cobalt Strike บนระบบที่มีช่องโหว่

สำหรับการพยายามแฝงตัวอยู่บนเครื่องที่โจมตีได้สำเร็จ ผู้โจมตีจะใช้การ Hijack schedule task ที่ถูกใช้อยู่แล้วบนระบบ เช่น registry backup เพื่อโหลด 'FlawedGrace RAT' ขึ้นมาทำงานได้ตลอดเวลา ซึ่ง FlawedGrace เป็นเครื่องมือที่ TA505 ใช้มาตั้งแต่เดือนพฤศจิกายน 2017 และยังคงเป็นเครื่องมือที่ใช้งานอยู่ของกลุ่ม

กลุ่ม NCC ได้โพสต์วิธีการตรวจสอบสำหรับผู้ดูแลระบบที่สงสัยว่าอาจถูกโจมตี:

ตรวจสอบว่าเวอร์ชัน Serv-U ของคุณมีช่องโหว่หรือไม่
ค้นหา DebugSocketlog.

ช่องโหว่ VMware vCenter Server ที่มีระดับความรุนแรงสูง และยังไม่มีแพตช์อัปเดต

vCenter Server เป็นยูทิลิตี้การจัดการจากส่วนกลางสำหรับ VMware และใช้เพื่อจัดการ Virtual machines, multiple ESXi hosts และส่วนประกอบที่เกี่ยวข้องทั้งหมดจากตำแหน่ง single centralized

ช่องโหว่อยู่ในการตรวจสอบสิทธิ์ IWA (Integrated Windows Authentication) โดยได้รับคะแนน CVSS 7.1 ช่องโหว่นี้รายงานโดย Yaron Zinar และ Sagi Sheinfeld จาก CrowdStrike

เซิร์ฟเวอร์ vCenter มีช่องโหว่ในการยกระดับสิทธิ์ในการตรวจสอบสิทธิ์ IWA (Integrated Windows Authentication) ผู้โจมตีที่มีการเข้าถึงเซิร์ฟเวอร์ vCenter ที่ไม่ใช่ผู้ดูแลระบบอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ได้

ช่องโหว่นี้ส่งผลกระทบต่อ vCenter 6.7 และ 7.0 เช่นเดียวกับ Cloud Foundation 3.x และ 4.x และยังไม่มีแพตช์อัปเดตในขณะนี้

วิธีแก้ปัญหาเบื้องต้นสำหรับช่องโหว่ CVE-2021-22048 คือการเปลี่ยนไปใช้ AD over LDAPS/Identity Provider Federation for AD FS (vSphere 7.0 เท่านั้น) จาก Integrated Windows Authentication (IWA) โดยสามารถดูรายละเอียดคำแนะนำสำหรับช่องโหว่ VMware vCenter แต่ละ Version ได้ที่ vmware.