News

ผู้เชี่ยวชาญตรวจพบแคมเปญที่เป็นอันตราย โดยพบการส่งมัลแวร์ 'Matanbuchus' ผ่าน Phishing Email เพื่อติดตั้ง Cobalt Strike บนเครื่องที่ถูกบุกรุก ซึ่ง Cobalt Strike เป็นซอร์ฟแวร์ที่ใช้สำหรับการทดสอบการเจาะระบบ แต่ปัจจุบันมักถูกใช้ในการโจมตีเพื่อหาช่องทางการปล่อย Payloads อื่นๆที่เป็นอันตรายได้

รายละเอียดเบื้องต้น

Matanbuchus เป็นโครงการ Malware-as-a-Service (MaaS) ที่ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2564 มีการโฆษณาบน Dark Web โดยโปรโมตว่าสามารถรันไฟล์ exe ได้โดยตรงบน System ของเครื่อง

จากนั้นผู้เชี่ยวชาญจาก Palo Alto Networks ได้ทำวิเคราะห์มัลแวร์เมื่อเดือนมิถุนายน พ.ศ. 2564 และทำการรวบรวมข้อมูลเพื่อทำการ Mapping Network Path และ Infrastructure ของมัลแวร์ รวมไปถึงคำสั่งบน PowerShell ที่ใช้ในการติดตั้ง Payloads

ลักษณะการโจมตี

ปัจจุบัน ผู้เชี่ยวชาญชื่อ Brad Duncan ได้นำตัวอย่างมัลแวร์มาตรวจสอบการทำงาน สรุปได้ดังนี้

1. หัวข้อของ Subject จะขึ้นต้นด้วยคำว่า RE: เพื่อหลอกให้ผู้ใช้งานว่าเป็นอีเมลตอบกลับการสนทนาที่เกิดขึ้นก่อนหน้า
2. ในอีเมลจะมีไฟล์ ZIP ที่ข้างในมีไฟล์ HTML อยู่ มันจะทำหน้าที่สร้างไฟล์ ZIP ใหม่อีกอัน ซึ่งข้างในเป็นไฟล์ MSI ที่มีลายเซ็นแบบดิจิทัลด้วยใบรับรองที่ออกโดย DigiCert ให้กับ "Westeast Tech Consulting, Corp"

3. หากผู้ใช้งานคลิกติดตั้งไฟล์ .MSI จะมีหน้า Install ขึ้นมา ซึ่งลักษณะ Fonts จะเป็น Adobe Acrobat catalog update จากนั้นจะมีรายงานว่ามีการติดตั้งผิดพลาด เพื่อเบี่ยงเบนความสนใจของเป้าหมายจากสิ่งที่เกิดขึ้นเบื้องหลัง
4. สิ่งที่เกิดขึ้นเบื้องหลังการติดตั้งไฟล์ MSI ปลอมคือ Payloads Matanbuchus สองรายการ ("main.

Citrix ออกมาเตือนผู้ใช้งานให้รีบอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่บน Citrix Application Delivery Management (ADM) ที่อาจส่งผลให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของ Admin ได้

Citrix ADM เป็น web-base solution ที่ทำให้ผู้ดูแลระบบสามารถบริหารจัดการระบบของ Citrix ทั้งฝั่ง On-premises และบนคลาวด์ ไม่ว่าจะเป็น Citrix Application Delivery Controller (ADC), Citrix Gateway, หรือ Citrix Secure Web Gateway

Florian Hauser จาก Code White เป็นผู้รายงานช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2022-27511 Improper Access Control weakness โดยช่องโหว่ดังกล่าวจะมีผลกระทบกับทั้ง Citrix ADM server และ Citrix ADM agent เช่น Citrix ADM เวอร์ชันที่เก่ากว่า 13.0-85.19 และ Citrix ADM เวอร์ชันที่เก่ากว่า 13.1-21.53 โดยหากผู้โจมตีสามารถโจมตีได้สำเร็จจะสามารถสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้

โดย Citrix ระบุว่า "ผลกระทบที่เกิดขึ้นหลังจากการสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบคือ เมื่ออุปกรณ์ถูกรีบูทขึ้นมาใหม่ ผู้โจมตีสามารถเข้าถึงอุปกรณ์ผ่านทาง SSH โดยใช้ค่ารหัสผ่านเริ่มต้นของบัญชีผู้ดูแลระบบได้"

โดยผู้ใช้งานที่ใช้ Citrix ADM เวอร์ชัน cloud จะได้รับการแก้ไขโดยอัตโนมัติ แต่หากมีการใช้งานในเวอร์ชัน on-premise แนะนำผู้ใช้งานรีบอัปเดตแพตซ์โดยเร็วที่สุด โโย Citrix ยังแนะนำให้มีการจำกัดการเข้าถึง Citrix ADM จากเครื่องที่ได้รับอนุญาตเท่านั้น

ที่มา: bleepingcomputer.

เมื่อวันที่ 25 มีนาคม Sophos ได้เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ CVE-2022-1040 ซึ่งเป็นช่องโหว่การ Bypass การตรวจสอบสิทธิ์ที่ส่งผลต่อ User Portal และ Webadmin ของ Sophos Firewall และอาจถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกล สามวันต่อมา บริษัทเตือนว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่เพื่อกำหนดเป้าหมายองค์กรหลายแห่งในภูมิภาคเอเชียใต้

ล่าสุดในสัปดาห์นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity ได้ให้รายละเอียดเกี่ยวกับกลุ่มผู้โจมตีจากประเทศจีนที่รู้จักในชื่อ DriftingCloud ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 ตั้งแต่ต้นเดือนมีนาคม ราวๆสามสัปดาห์ก่อนที่ Sophos จะออกแพตช์ ผู้โจมตีได้ใช้ช่องโหว่ Zero-day ดังกล่าวในการเข้าควบคุม firewall เพื่อติดตั้ง Webshell backdoor และมัลแวร์ที่จะเปิดใช้งานการเข้าควบคุมจากภายนอกนอกเครือข่ายที่ได้รับการป้องกันโดย Sophos Firewall

นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีพยายามซ่อนการเชื่อมต่อสำหรับการเข้าถึงของ webshell ด้วยการใช้ชื่อไฟล์ที่ดูเหมือนเป็นปกติอย่าง login.

พบฟังก์ชันบางอย่างบน Microsoft 365 ที่อาจทำให้ผู้โจมตีสามารถเข้ารหัสเพื่อเรียกค่าไถ่ไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ได้

โดย Proofpoint ระบุว่าการโจมตีด้วยแรนซัมแวร์บน cloud ในครั้งนี้ อาจทำให้ผุ้โจมตีสามารถเข้ารหัสไฟล์ที่เก็บไว้ใน SharePoint และ OneDrive ในลักษณะที่ทำให้ไม่สามารถกู้คืนได้ หากไม่มีการสำรองข้อมูลไว้ภายนอก หรือกุญแจสำหรับถอดรหัสจากผู้โจมตี

การโจมตีสามารถทำได้โดยใช้ Microsoft APIs, command-line interface (CLI) scripts และ PowerShell scripts ซึ่งการโจมตีเกิดขึ้นได้จากฟีเจอร์ของ Microsoft 365 ที่เรียกว่า AutoSave ที่จะสร้างสำเนาของไฟล์เวอร์ชันเก่าเมื่อผู้ใช้แก้ไขไฟล์ที่จัดเก็บไว้ใน OneDrive หรือ SharePoint Online

โดยเริ่มต้นจากการที่ผู้โจมตีสามารถเข้าถึงบัญชี SharePoint Online หรือ OneDrive ของเหยื่อได้ ซึ่งหลักๆช่องทางที่พบการโจมตีได้บ่อยที่สุดที่จะทำให้ได้บัญชีของเหยื่อมานั้น จะเป็นการโจมตีบัญชีโดยตรงผ่านการโจมตีแบบ phishing หรือ brute-force attacks หรือหลอกให้เหยื่อให้สิทธิ์บนแอปพลิเคชัน OAuth แก่ผู้โจมตี หรือเข้าควบคุมเซสชันเว็บของผู้ใช้ที่เข้าสู่ระบบ จากนั้นจึงค่อยขโมยข้อมูลของเหยื่อ และเริ่มกระบวนการเข้ารหัสไฟล์

โดยบางองค์กรอาจมีการตั้งค่า limit เวอร์ชันของ AutoSave บน SharePoint Online หรือ OneDrive ไว้ ซึ่งเวอร์ชันที่เก่าที่สุดก็จะถูกลบทิ้งไปตามจำนวนที่ถูกกำหนดไว้ เช่นหากตั้งไว้ที่ 100 เวอร์ชัน เพื่อมีการสร้างเวอร์ชันที่ 101 เวอร์ชันที่ 1.0 ก็จะถูกลบออกไปเป็นต้น ซึ่งผู้โจมตีจะใช้วิธีการลดจำนวนเวอร์ชันที่จะถูก AutoSave ไว้บนระบบของ Microsoft 365 ลงมาเป็นค่าต่ำๆเช่น 1 เวอร์ชัน จากนั้นก็ทำการเข้ารหัสไฟล์ทั้งหมด 2 ครั้ง ดังนั้นไฟล์ปกติ(ที่ยังไม่ถูกเข้ารหัส) ก็จะถูกลบหายไปทั้งหมดแล้ว เมื่อถึงจุดนี้ผู้โจมตีก็สามารถเรียกค่าไถ่จากองค์กรได้

(more…)

Kaiser Permanente หนึ่งในผู้ให้บริการด้านสุขภาพที่ไม่แสวงหาผลกำไรชั้นนำของอเมริกา ได้เปิดเผยเหตุการณ์ข้อมูลรั่วไหลของข้อมูลด้านสุขภาพของบุคคลมากกว่า 69,000 ราย

Kaiser Permanente ก่อตั้งขึ้นในปี 2488 ให้บริการด้านสุขภาพแก่สมาชิกกว่า 12.5 ล้านคนจาก 8 รัฐในสหรัฐอเมริกา และกรุงวอชิงตัน ดี.ซี. บริษัทระบุในประกาศที่เผยแพร่บนเว็บไซต์ว่าผู้โจมตีเข้าถึงบัญชีอีเมลของพนักงานซึ่งมีข้อมูล Protected health information (PHI) เมื่อวันที่ 5 เมษายน 2565 โดยไม่ได้รับอนุญาต

ข้อมูลที่รั่วไหลจากการโจมตีมีดังนี้:

ชื่อ และนามสกุลของผู้ป่วย
หมายเลขประจำตัวผู้ป่วย
วันที่เข้ารับบริการ
ข้อมูลผลการทดสอบในห้องปฏิบัติการ

โดยองค์กรระบุว่าไม่มีข้อมูลหมายเลขประกันสังคม และหมายเลขบัตรเครดิตรั่วไหลจากเหตุการณ์ในครั้งนี้ โดยเหตุการณ์ดังกล่าวส่งผลกระทบต่อ Kaiser Foundation Health Plan ของผู้ป่วยในวอชิงตันเท่านั้น

Kaiser Permanents ตัดการเข้าถึงบัญชีอีเมลของผู้โจมตีภายในไม่กี่ชั่วโมง และเริ่มตรวจสอบเหตุการณ์เพื่อประเมินผลกระทบ ซึ่งรวมถึงการรีเซ็ตรหัสผ่านของพนักงานสำหรับบัญชีอีเมลที่ตรวจพบเหตุการณ์

ปัจจุบันยังไม่พบหลักฐานว่าข้อมูล PHI ที่เก็บไว้ในบัญชีอีเมลที่ถูกแฮ็ก ถูกขโมยออกไป หรือนำไปใช้ในทางที่ผิดหรือไม่ ซึ่งยังไม่สามารถตัดความเป็นไปได้สำหรับผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์นี้ออกไปได้ ในขณะที่ Kaiser Permanente ไม่ได้เปิดเผยจำนวนผู้ป่วยที่ได้รับผลกระทบที่แน่นอน แต่ข้อมูลที่แจ้งต่อสำนักงานสิทธิพลเมืองของกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ แสดงให้เห็นว่าเหตุการณ์นี้ส่งผลให้มีบุคคล 69,589 รายที่อาจได้รับผลกระทบ

ที่มา : Bleepingcomputer

ลักษณะการทำงาน

Syslogk เป็น rootkit ที่เมื่อติดตั้งแล้วมันจะแฝงตัวเป็นโมดูล Kernal บนระบบปฏิบัติการ Linux โดยหลังจากติดตั้งในครั้งแรก มันจะทำการลบตัวมันเองออกจากรายการโมดูลที่ติดตั้งเพื่อหลีกเลี่ยงการตรวจสอบ ทางเดียวที่จะตรวจพบคือการตรวจสอบโดยใช้คำสั่ง /proc ในลักษณะตามภาพ

จากนั้นมันจะดักจับคำสั่งบน Linux เพื่อกรองข้อมูลบางอย่างที่มันไม่ต้องการให้แสดงผลออกไปเช่น คำสั่งเรียกดูไฟล์ โฟลเดอร์ รวมไปถึง การเรียกดู Process ที่ทำงานอยู่ นอกจากนี้ยังมีความสามารถในการซ่อนไดเร็กทอรีที่มีไฟล์อันตรายบนระบบ, ซ่อน Process, ซ่อนการรับส่งข้อมูลเครือข่าย, ตรวจสอบแพ็กเก็ต TCP ทั้งหมด รวมไปถึงเริ่มหรือหยุดการทำงานของเพย์โหลดจากระยะไกลได้ หนึ่งในเพย์โหลดที่ซ่อนอยู่ซึ่งค้นพบโดย Avast คือ Backdoor ที่มีชื่อว่า Rekoobe ซึ่งมันจะถูกโหลดลงมาหลังจากติดตั้ง Syslogk โดย Backdoor นี้จะไม่ทำงานจนกว่าจะได้รับ Magic Packets จากผู้โจมตี

Magic Packets จะทำหน้าที่คล้ายระบบ Wake on LAN ที่ใช้ในการเรียกอุปกรณ์ที่อยู่ในโหมดสลีปให้ทำงาน โดยมันจะทำงานได้ต่อเมื่อมีการระบุ Field เช่น Source IP, Destination IP, Destination Port ตรงกับที่ตั้งค่าไว้เท่านั้น เมื่อได้รับค่า Field ที่ถูกต้อง Rekoobe สามารถเริ่มหรือหยุดทำงานได้ทันทีตามที่ผู้โจมตีต้องการ ช่วยลดโอกาสในการตรวจจับได้อย่างมาก

ปัจจุบัน Syslogk อยู่ในช่วงเริ่มต้นของการพัฒนา และยังทำงานบน Kernel 3.x เท่านั้น จึงยังไม่ส่งผลกระทบต่อหลายๆองค์กร แต่อย่างไรก็ตาม ในอนาคต Syslogk จะปล่อยเวอร์ชันที่รองรับ Kernel เวอร์ชันล่าสุด ซึ่งจะขยายเป้าหมายให้กว้างขึ้นอย่างมาก

แนวทางการป้องกัน

ติดตามข่าวสารใหม่ๆอยู่เสมอ
อัพเดทระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด

ที่มา: Bleepingcomputer

สัปดาห์นี้ Cisco ออกมาแจ้งเตือนผู้ใช้งานให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และ login เข้าใช้งาน web management ของอุปกรณ์ Cisco email gateway ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-20798 ซึ่งถูกพบในฟังก์ชันการ authentication บน Cisco Email Security Appliance (ESA) และ Cisco Secure Email และ Web Manager appliances

ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบการพิสูจน์ตัวตนที่ไม่เหมาะสม จากการใช้ Lightweight Directory Access Protocol (LDAP) สำหรับการตรวจสอบสิทธิ์

"ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการใส่ข้อมูลเฉพาะบางอย่างในหน้า login เข้าสู่ระบบ ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถเข้าถึง web-base management interface บนอุปกรณ์ที่มีช่องโหว่ได้" Cisco กล่าว

"โดยช่องโหว่ดังกล่าวถูกพบระหว่างแก้ปัญหาที่ถูกแจ้งเข้ามาทาง Cisco TAC (Technical Assistance Center)"

ทีม Product Security Incident Response Team (PSIRT) ของ Cisco กล่าวว่ายังไม่พบข้อมูลว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าวในปัจจุบัน

หากใช้งานแบบ default configuration จะไม่ได้รับผลกระทบ

ช่องโหว่นี้จะมีผลกับอุปกรณ์ที่กำหนดค่าให้ใช้การตรวจสอบสิทธิ์จากภายนอก และใช้ LDAP เป็นโปรโตคอลสำหรับการตรวจสอบสิทธิ์เท่านั้น

Cisco ระบุว่าฟีเจอร์การตรวจสอบสิทธิ์ภายนอกถูกปิดใช้งานโดยค่าเริ่มต้น ซึ่งหมายความว่าเฉพาะอุปกรณ์ที่มีการเปลี่ยนแปลงการตรวจสอบสิทธิ์เท่านั้นที่จะได้รับผลกระทบ

ผู้ใช้งานสามารถตรวจสอบว่ามีการเปิดใช้งานการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์หรือไม่ ได้โดยการ login เข้าไปที่ web-base management interface ไปที่ System Administration > Users และตรวจสอบว่ามีการเลือก "Enable External Authentication" ไว้หรือไม่

Cisco ระบุว่าช่องโหว่นี้ไม่ส่งผลกระทบต่ออุปกรณ์ Cisco Secure Web Appliance ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Cisco Web Security Appliance (WSA)

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์สำหรับช่องโหว่ CVE-2022-20798 ได้ สามารถใช้วิธีแก้ไขปัญหาชั่วคราว โดยการปิดการใช้งาน anonymous binds บนฟีเจอร์การตรวจสอบสิทธิ์จากภายนอก

โดยก่อนหน้านี้มีช่องโหว่บน Email gateway อีกรายการที่ได้รับการแก้ไขไปแล้วในเดือนกุมภาพันธ์ ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้อุปกรณ์ที่มีช่องโหว่หยุดการทำงานได้ โดยการใช้ข้อความอีเมลที่ออกแบบมาโดยเฉพาะในการโจมตี

โดยในวันเดียวกันนี้ Cisco ยังประกาศด้วยว่าจะไม่แก้ไขช่องโหว่แบบ zero-day ที่ส่งผลกระทบต่อเราเตอร์ที่ end-of-life ไปแล้วอย่าง RV110W, RV130, RV130W และ RV215W SMB ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ตามที่ต้องการด้วยสิทธิ์ root ได้

ที่มา Bleepingcomputer

Microsoft ได้เผยแพร่การอัปเดตด้านความปลอดภัยบน Windows ในรอบเดือนมิถุนายน 2565 เพื่อแก้ไขช่องโหว่ระดับ Critical บน Windows ที่ถูกเรียกว่า Follina และกำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

"Microsoft แนะนำให้ผู้ใช้งานอัปเดตแพตช์เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว แต่หากมีการตั้งค่าให้มีการอัปเดตแพตช์เองโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมอีก" Microsoft ระบุในคำแนะนำการอัปเดต

ช่องโหว่หมายเลข CVE-2022-3019 เป็นช่องโหว่ด้านความปลอดภัยในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ส่งผลกระทบกับ Windows ทุกเวอร์ชัน

ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตราย เพื่อติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือแม้แต่สร้างบัญชี Windows ใหม่ได้

นักวิจัยด้านความปลอดภัย nao_sec เป็นผู้พบช่องโหว่ดังกล่าว ที่พบว่าผู้โจมตีจะสามารถสั่งรัน PowerShell ที่เป็นอันตรายผ่าน MSDT โดยที่ Microsoft อธิบายว่าเป็นการโจมตีในรูปแบบ Arbitrary Code Execution (ACE) เมื่อเปิด หรือ preview เอกสาร Word

การอัปเดตในครั้งไม่ได้ป้องกัน Microsoft Office จากการโหลด Windows protocol URI handler โดยอัตโนมัติ แต่จะใช้วิธีบล็อกการทำงานจาก PowerShell injection เพื่อปิดช่องทางการโจมตีในรูปแบบนี้

พบการโจมตีอย่างต่อเนื่อง

ช่องโหว่ Follina ถูกใช้ในการโจมตีมาระยะหนึ่งแล้ว ตามที่นักวิจัยด้านความปลอดภัยของ Proofpoint เปิดเผยว่ากลุ่มแฮ็กเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ในการโจมตีที่กำหนดเป้าหมายไปยังชาว Tibetan และกลุ่มผู้โจมตีบางกลุ่มก็ใช้การโจมตีแบบฟิชชิงกับหน่วยงานรัฐบาลสหรัฐฯ และสหภาพยุโรป

ตอนนี้ช่องโหว่ Follina กำลังถูกใช้โดยกลุ่ม TA570 ซึ่งใช้แคมเปญฟิชชิ่งจากช่องโหว่ดังกล่าวเพื่อแพร่กระจายมัลแวร์ Qbot

CrazymanArmy ของ Shadow Chaser Group นักวิจัยด้านความปลอดภัยที่เคยรายงาน Zero-day ดังกล่าวไปให้กับ Microsoft ในเดือนเมษายนที่ผ่านมาระบุว่า Microsoft ปฏิเสธการแจ้งเตือนในครั้งแรกของเขาว่าไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่สุดท้ายหลังจากมีการปิดหัวข้อการแจ้งเตือนดังกล่าว ระบบของ Microsoft กลับระบุว่าการแจ้งเตือนของเขาเป็นช่องโหว่แบบ Remote code execution

ที่มา: bleepingcomputer.

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) แจ้งเตือนกลุ่มแฮ็กเกอร์ชาวรัสเซียชื่อ Sandworm ซึ่งกำลังใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ถูกเรียกว่า Follina ซึ่งมีหมายเลข CVE-2022-30190

โดยช่องโหว่ดังกล่าวเกิดขึ้นจากการเปิด หรือ preview เอกสารที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยผู้โจมตีเริ่มใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2022

หน่วยงานของยูเครนมั่นใจว่ากลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีดังกล่าวคือกลุ่ม Sandworm

เป้าหมายคือองค์กรประเภทสื่อ

CERT-UA กล่าวว่าแฮ็กเกอร์ชาวรัสเซียใช้การส่งอีเมลที่เป็นอันตรายโดยใช้ช่องโหว่ Follina และกำหนดเป้าหมายผู้รับมากกว่า 500 รายในองค์กรสื่อต่างๆในยูเครนรวมถึงสถานีวิทยุ และหนังสือพิมพ์

อีเมลมีหัวข้อ "LIST of links to interactive maps" และมีไฟล์แนบ .DOCX ที่มีชื่อเดียวกัน ซึ่งเมื่อเปิดไฟล์ โค้ด JavaScript จะดำเนินการเพื่อดึงข้อมูลเพย์โหลดที่ชื่อ "2.txt" ซึ่ง CERT-UA จัดอยู่ในประเภท "malicious CrescentImp"

CERT-UA ได้เผยแพร่ข้อมูล IOC ที่เกี่ยวข้องกับเหตุการณ์ดังกล่าว เพื่อช่วยให้หน่วยงานต่างๆระมัดระวังมัลแวร์ CrescentImp อย่างไรก็ตามยังไม่ชัดเจนว่า CrescentImp เป็นมัลแวร์ที่พัฒนามาจากมัลแวร์ตัวใดหรือไม่ หรือมันถูกสร้างขึ้นมาเพื่อการโจมตีครั้งนี้โดยเฉพาะ เนื่องจาก Hashes ของมัลแวร์ที่ CERT-UA ตรวจพบ ไม่เคยถูกพบมาก่อนบน Virus Total

พฤติกรรมของ Sandworm ในยูเครน

Sandworm ได้มุ่งเป้าหมายการโจมตีไปยังยูเครนอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา และความถี่ของการโจมตีก็เพิ่มขึ้นหลังจากการรุกรานของรัสเซียในยูเครน

ในเดือนเมษายน พบว่า Sandworm พยายามที่จะโจมตีผู้ให้บริการด้านพลังงานรายใหญ่ของยูเครน โดยกำหนดเป้าหมายไปยังสถานีไฟฟ้าย่อยด้วยมัลแวร์ Industroyer รุ่นใหม่

ในเดือนกุมภาพันธ์ นักวิจัยด้านความปลอดภัยค้นพบว่า Sandworm เป็นกลุ่มที่รับผิดชอบในการสร้าง และใช้งาน Cyclops Blink botnet ซึ่งเป็นมัลแวร์ที่มีความสามารถในการแฝงตัวอยู่บนระบบได้ดีมาก

เมื่อปลายเดือนเมษายน สหรัฐฯได้ตั้งรางวัลนำจับ 10,000,000 ดอลลาร์ให้กับผู้ที่สามารถช่วยระบุตัวสมาชิกของกลุ่ม Sandworm ทั้ง 6 คนได้

IOCs

Files:

cc27122efef26fa2b4cc5d30845704e7 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0 - СПИСОК_посилань_на_інтерактивні_карти.docx
106d1413f8768be03cb7dc982a1455f9 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297 - update.