ช่องโหว่ Zero-Click รูปแบบใหม่ กำหนดเป้าหมายผู้ใช้ iOS ด้วยมัลแวร์ Stealthy Root-Privilege [EndUser]

ก่อนหน้านี้กลุ่ม Advanced Persistent Threat (APT) ที่ยังไม่ถูกระบุชื่อ กำลังมุ่งเป้าไปที่อุปกรณ์ iOS ซึ่งเป็นส่วนหนึ่งของการโจมตีอุปกรณ์ทางด้าน Mobile ด้วยแคมเปญการโจมตีที่มีความซับซ้อนในชื่อ Operation Triangulation ซึ่งเริ่มขึ้นในปี 2019

Kaspersky ระบุว่า เป็นการโจมตีโดยใช้ช่องโหว่ zero-click ผ่านแพลตฟอร์ม iMessage และมัลแวร์จะทำงานด้วยสิทธิ์ root ซึ่งทำให้สามารถเข้าควบคุมอุปกรณ์ และข้อมูลของผู้ใช้งานได้

Kaspersky ระบุว่า พบร่องรอยของการถูก compromised ภายหลังจากมีการ backups ข้อมูลของอุปกรณ์เป้าหมาย

การโจมตีเริ่มต้นด้วยอุปกรณ์ iOS จะได้รับข้อความผ่าน iMessage ที่มีไฟล์แนบที่มีช่องโหว่มากับข้อความด้วย

ช่องโหว่ลักษณะนี้ถูกเรียกว่า zero-click ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านข้อความได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน เพื่อให้สามารถดำเนินการ execution code ได้

นอกจากนี้ยังมีการกำหนดค่าเพย์โหลดเพิ่มเติมสำหรับการเพิ่มระดับสิทธิ์ และติดตั้งมัลแวร์จากเซิร์ฟเวอร์ภายนอกได้อีกด้วย

โดยมัลแวร์ตัวนี้ทำงานภายใต้สิทธิ์ Root สามารถดึงข้อมูลที่มีความสำคัญ และรันโค้ดที่ดาวน์โหลดมาเป็นโมดูลปลั๊กอินจากเซิร์ฟเวอร์

ในขั้นตอนสุดท้าย ทั้งข้อความเริ่มต้น และช่องโหว่ในไฟล์แนบจะถูกลบออกเพื่อลบร่องรอยของการมัลแวร์

ขอบเขตในการโจมตีของแคมเปญนี้ยังไม่ชัดเจน แต่บริษัทระบุว่ายังพบการโจมตีอย่างต่อเนื่อง และโจมตีสำเร็จกับอุปกรณ์ iOS 15.7 ซึ่งเปิดตัวเมื่อวันที่ 12 กันยายน 2022

ปัจจุบันยังไม่มีข้อมูลที่แน่ชัดว่าการโจมตีดังกล่าวใช้ประโยชน์จากช่องโหว่ zero-day หรือไม่ เช่น ช่องโหว่ที่ผู้โจมตีพบก่อนที่ Apple จะออกแพตซ์อัปเดตใน IOS เวอร์ชัน 16.5

รัสเซียกล่าวหาว่าสหรัฐฯ แฮ็กอุปกรณ์ Apple นับพันเครื่อง

สอดคล้องกับรายงานของ Kaspersky Federal Security Service (FSB) ของรัสเซียออกคำแนะนำที่กล่าวหาหน่วยข่าวกรองสหรัฐฯ ว่าแฮ็กอุปกรณ์ Apple หลายพันเครื่องที่เป็นของสมาชิกในประเทศ และนักการทูตต่างประเทศ ด้วยวิธีการที่ยังไม่เป็นที่รู้จัก ซึ่งคาดว่าเป็นส่วนหนึ่งของปฏิบัติการสอดแนมของสหรัฐฯ

FSB ยังอ้างว่าความพยายามดังกล่าวแสดงให้เห็นถึงความร่วมมืออย่างใกล้ชิดระหว่าง Apple และสำนักงานความมั่นคงแห่งชาติ (NSA) แต่ยังไม่มีการระบุรายละเอียดทางเทคนิคอื่น ๆ โดย Apple ยืนยันกับ The Hacker News ว่า "ไม่เคยทำงานร่วมกับรัฐบาลใด ๆ ในการฝังแบ็คดอร์ในผลิตภัณฑ์ของ Apple และจะไม่มีวันทำ"

 

ที่มา : thehackernews

Multiple nation-state groups are hacking Microsoft Exchange servers

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet