เหมือนจริงกว่าทำ Pentest!? MITRE ปล่อยแผนการจำลองพฤติกรรมกลุ่ม APT “FIN6” เพื่อให้องค์กรได้ทดสอบความปลอดภัยต่อภัยคุกคามจริง

MITRE เปิดตัวโครงการใหม่ Adversary Emulation Library พร้อมแผนสำหรับการจำลองพฤติกรรมกลุ่ม APT "FIN6" ซึ่งทำให้ผู้ที่สนใจสามารถจำลองพฤติกรรมของกลุ่ม APT ในแต่ละขั้นตอนเพื่อประเมินความปลอดภัยระบบได้จริง

FIN6 เป็นกลุ่ม APT ที่พุ่งเป้าโจมตีกลุ่มธุรกิจเพื่อการขโมยเงิน โดยมีพฤติกรรมสำคัญคือการโจมตีระบบ Point of Sale (PoS) ด้วยมัลแวร์ที่ออกแบบมาพิเศษเพื่อขโมยเลขบัตรเครดิต และยังเกี่ยวข้องกับปฏิบัติการของ Ransomware "Ryuk" ด้วย

แผนจำลองการโจมตีนี้เริ่มต้นตั้งแต่วิธีการที่กลุ่ม FIN6 หาข้อมูลของระบบที่จะโจมตี ทำการโจมตีเข้าไปจนถึงการกระจายในระบบภายใน (lateral movement) เพื่อหาระบบเป้าหมายที่จะขโมยข้อมูล คู่มือยังบอกวิธีการจำลองถึงระดับของคำสั่งที่ผู้โจมตีจะใช้จริงด้วย

ผู้ที่สนใจสามารถดู Adversary Emulation Library ได้ที่ https://github.

Iranian hacker group becomes first known APT to weaponize DNS-over-HTTPS (DoH)

นักวิจัยจาก Kaspersky พบกลุ่ม APT จากอิหร่านเริ่มนำ DNS-over-HTTPS (DoH) มาใช้เป็นเครื่องมือในการโจมตี

Vincente Diaz นักวิเคราะห์มัลแวร์และนักวิจัยโปรแกรมป้องกันไวรัสจาก Kaspersky ได้กล่าวถึงกลุ่ม APT จากอิหร่านหรือที่รู้จักกันในชื่อ OilRig หรือ APT34 ในงาน webinar ว่ากลุ่ม OilRig นี้ได้นำโปรโตคอล DNS-over-HTTPS (DoH) มาพัฒนาในเครื่องมือที่ใช้ในการโจมตีเป็นกลุ่มเเรก เพื่อใช้ exfiltration หรือขโมยข้อมูลออกจากระบบ

Diaz กล่าวว่ากลุ่ม OilRig นั้นได้เริ่มใช้ยูทิลิตี้ใหม่ที่เรียกว่า DNSExfiltrator เป็นส่วนหนึ่งของการบุกรุกเครือข่ายที่ถูกแฮก โดย DNSExfiltrator เป็นโอเพนซอร์สที่มีอยู่ใน GitHub โดย DNSExfiltrator จะสร้างช่องทางการสื่อสารที่ซ่อนตัวอย่างลับๆ โดยการใช้ funneling data และจะซ่อนช่องทางไว้ภายในโปรโตคอลที่ไม่ได้มาตรฐาน ซึ่งจะสามารถถ่ายโอนข้อมูลระหว่างสองจุดโดยใช้ DNS requests หรือ DNS-over-HTTPS (DoH) ในการดำเนินการ

Diaz ยังกล่าวอีกว่ากลุ่ม OilRig หรือ APT34 ได้ใช้ DNSExfiltrator ในการย้ายข้อมูลภายในเครือข่ายจากนั้นจะทำการ exfiltration ไฟล์ไปยังเครือข่ายภายนอกอีกครั้ง โดยกลุ่ม OilRig น่าจะนำเทคนิคนี้มาใช้เพื่อหลีกเลี่ยงการตรวจจับในขณะทำการขโมยข้อมูลออกสู่เครือข่ายภายนอก

ทั้งนี้กลุ่ม OilRig หรือ APT34 นั้นเป็นกลุ่มเเรกที่ใช้เทคนิคขโมยข้อมูลผ่าน DNS มาก่อน จึงไม่แปลกที่กลุ่มนี้จะหันมาพัฒนาเทคนิคเป็นการขโมยข้อมูลผ่าน DNS-over-HTTPS (DoH)

Kaspersky กล่าวว่าเมื่อเดือนพฤษภาคมที่ผ่านมานั้นพบกลุ่ม OilRig มีความเชื่อมโยงกับการ exfiltration ข้อมูลผ่าน DoH ไปยังโดเมนที่เกี่ยวข้องกับ COVID-19

ที่มา: zdnet

Alert (AA20-126A) APT Groups Target Healthcare and Essential Services

กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์

CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา

CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้

ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ

ที่มา: us-cert

Multiple nation-state groups are hacking Microsoft Exchange servers

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

Mitsubishi Electric discloses security breach, China is main suspect

Mitsubishi Electric ตรวจพบการบุกรุกเครือข่ายและการรั่วไหลของข้อมูล เชื่อจีนเป็นผู้โจมตี
จากการแถลงการณ์ที่เผยแพร่บนเว็บไซต์ของ บริษัท มิตซูบิชิ อิเล็คทริค ซึ่งเป็นหนึ่งในบริษัทผู้ผลิตอุปกรณ์ไฟฟ้าและอิเล็กทรมนิกส์ที่ใหญ่ที่สุดในโลก บริษัทฯ ได้มีการประกาศถึงการตรวจพบการโจมตีและการรั่วไหลของข้อมูลซึ่งเกิดขึ้นเมื่อ 28 มิถุนายน ปี 2019 และได้มีการสอบสวนภายในอย่างเป็นทางการเมื่อเดือนกันยายนปีเดียวกัน

บริษัทฯ ยังได้มีการประกาศถึงการโจมตีลงในหนังสือพิมพ์ท้องถิ่นสองฉบับคือ Asahi Shimbun และ Nikkei โดยเป็นการกล่าวโทษไปยังกลุ่มจารกรรมไซเบอร์ของจีนชื่อ Tick (Bronze Butler) ซึ่งเป็นที่รูจักว่าเป็นกลุ่ม APT ที่พุ่งเป้าไปที่อุตสาหกรรมในประเทศญี่ปุ่นและเคยมีประวัติการโจมตีมาแล้วย้อนหลังไปหลายปี

อ้างอิงจากประกาศดังกล่าว ทางมิตซูบิชิเชื่อว่าต้นกำเนิดการแฮกมาจากบริษัทพันธมิตรทางธุรกิจซึ่งอยู่ในจีน โดยผู้โจมตีได้มีการใช้บัญชีของพนักงานในการติดตั้งไฟล์ที่เป็นอันตรายในระบบ และเข้าถึงระบบซึ่งอยู่ในประเทศญี่ปุ่น และท้ายที่สุดนำไปสู่การเข้าถึงและการขโมยไฟล์ที่เป็นเอกสารทางธุรกิจกว่า 200 MB อีกทั้งยังมีการใช้เทคนิคการโจมตีหลายรายการพบลบหลักฐานดิจิตอล ส่งผลให้การตรวจสอบและวิเคราะห์การโจมตีทำได้ยากอีกด้วย

ในขณะนี้ทางสำนักงานใหญ่ของมิตซูบิชิได้ทำการแจ้งไปรัฐบาลญี่ปุ่นรวมไปถึงกระทรวงกลาโหมแล้วถึงสถานะและควบคืบหน้าในการตรวจสอบ สืบเนื่องจากมิตซูบิชิเป็นหนึ่งในผู้ถือสัมปทานรายใหญ่กับกระทรวงกลาโหม รวมไปถึงมีโปรเจคด้านการสื่อสารและสาธารณูปโภค ซึ่งอาจทำให้การรั่วไหลของข้อมูลรอบนี้เป็นประเด็นเรื่องความมั่นคงด้วย

ที่มา : ZDNet

ศูนย์ดูแลด้านความปลอดภัยทางไซเบอร์ (NCSC) ของอังกฤษ เตือนการโจมตีผ่านช่องโหว่ของอุปกรณ์ VPN

 

National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs

จับข่าวคุย: เพราะอะไรกลุ่มแฮกเกอร์จีนถึงใช้ช่องโหว่ลับของอเมริกาได้ก่อนมีการเปิดเผย?

ในช่วงสัปดาห์ทีผ่านมา ข่าวใหญ่ข่าวหนึ่งซึ่งเกี่ยวข้องกับการทำสงครามไซเบอร์ได้ถูกเปิดเผยโดย Symantec และสำนักข่าวหลายแห่งในต่างประเทศ เมื่อมีการเปิดเผยว่ากลุ่มแฮกเกอร์ซึ่งคาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ APT3 มีการใช้ช่องโหว่ลับที่ถูกค้นพบและพัฒนาเป็นเครื่องมือในการโจมตีโดย National Security Agency (NSA) ของสหรัฐอเมริกาในการโจมตี ซึ่งเป็นเหตุการณ์ที่เกิดขึ้นก่อนที่จะมีการการรั่วไหลของข้อมูลของ NSA โดย The Shadow Brokers

แฮกเกอร์จีนนำช่องโหว่ลับของอเมริกาไปใช้ทำอะไร? ช่องโหว่ดังกล่าวเป็นช่องโหว่เดียวกันหรือไม่? และคำถามสำคัญคือถ้าช่องโหว่ที่ถูกใช้เป็นช่องโหว่เดียวกัน กลุ่มแฮกเกอร์จีนสามารถเข้าถึงช่องโหว่และเครื่องมือสำหรับโจมตีนี้ได้อย่างไร? ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาสรุปเหตุการณ์โดยย่อเพื่อให้ผู้อ่านชาวไทยได้รับทราบข้อมูลกันครับ
Timeline
เพื่อให้เกิดความเข้าใจที่ถูกต้องและรวบรัด เราขอสรุปไทม์ไลน์ของเหตุการณ์เอาไว้เบื้องต้นก่อน ตามรายการดังนี้ครับ

March 2016 กลุ่ม APT3 จากจีนใช้ช่องโหว่และเครื่องมือของ Equation Group ซึ่งมีความเกี่ยวข้องกับหน่วย Tailored Access Operation (TAO) ของ NSA ในการโจมตี มีเป้าหมายอยู่ในประเทศฮ่องกงและเบลเยี่ยม
September 2016 มัลแวร์ Bemstour ที่ถูกใช้โดยกลุ่ม APT3 ที่มีการใช้เครื่องมือ DoublePulsar ของ Equation Group ถูกพัฒนาเป็นเวอร์ชันใหม่ และใช้ในการโจมตีโดยมีเป้าหมายอยู่ในประเทศฮ่องกง
March 2017 มีใครบางคนแจ้งไมโครซอฟต์ก่อนจะมีการรั่วไหลของข้อมูล ไมโครซอฟต์จึงมีการออกแพตช์ป้องกันช่องโหว่ก่อนจะมีการรั่วไหลจริง (คาดว่าเป็น NSA)
April 2017 กลุ่มแฮกเกอร์ The Shadow Brokers มีการปล่อยช่องโหว่และเครื่องมือของ Equation Group โดยอ้างว่าเป็นข้อมูลที่รั่วไหลออกมา
June 2017 กลุ่ม APT3 ใช้มัลแวร์ Bemstour ที่มีการใช้แบ็คดอร์ DoublePulsar เพื่อโจมตีเป้าหมายในลักซ์เซมเบิร์กและฟิลิปปินส์
August 2017 กลุ่ม APT3 โจมตีเป้าหมายในเวียดนาม
November 2017 มีการจับกุมและส่งมอบสมาชิกของกลุ่มแฮกเกอร์ APT3 มายังสหรัฐฯ
September 2018 มีการแจ้งเตือนการค้นพบช่องโหว่เพิ่มเติมจากมัลแวร์ Bemstour จาก Symantec ซึ่งต่อมาถูกแพตช์โดยไมโครซอฟต์
March 2019 มีการตรวจพบมัลแวร์ Bemstour รุ่นใหม่

History of Leaked NSA Tools

ชุดโปรแกรมของ Equation Group เป็นชุดของเครื่องมือที่ใช้ในการโจมตีช่องโหว่รวมไปถึงเครื่องมืออื่นๆ ในการช่วยเจาะระบบที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์ Equation Group โดยเครื่องมือที่ใช้ในการโจมตีช่องโหว่ชื่อดังที่อยู่ในชุดโปรแกรมนี้ อาทิ โปรแกรมสำหรับโจมตีช่องโหว่ EternalBlue, แบ็คดอร์ DoublePulsar และชุดโปรแกรมควบคุมปฏิบัติการไซเบอร์ FuzzBench (อ่านเพิ่มเติมได้จากบทวิเคราะห์ของไอ-ซีเคียว)

ช่องโหว่ EternalBlue และแบ็คดอร์ DoublePulsar ต่อมาเมื่อมีการรั่วไหลจาก The Shadow Brokers ได้ถูกนำมาใช้กับมัลแวร์หลายประเภท และมีส่วนสำคัญต่อการโจมตีและแพร่กระจายของมัลแวร์ WannaCry ซึ่งทำให้สามารถโจมตีและรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับกลุ่มแฮกเกอร์ Equation Group นั้น ถือว่าเป็นกลุ่มแฮกเกอร์ที่มีศักยภาพสูงสุดอันดับต้นๆ ของโลก โดยจากหลักฐานที่รวบรวมมาจากการโจมตีหลายครั้ง เป็นที่เชื่อกันว่ากลุ่มแฮกเกอร์ Equation Group เกิดขึ้นจากการรวมตัวของแผนก Tailored Access Operation (TAO) ภายใต้สังกัดของสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) และรัฐบาลอิสราเอลบางส่วน หนึ่งในผลงานซึ่งเชื่อกันว่าเป็นของ Equation Group นอกเหนือจากเครื่องมือในการโจมตีช่องโหว่นั้นยังได้แก่

มัลแวร์ Stuxnet หนึ่งในมัลแวร์ที่ถูกพูดถึงมากที่สุด ถูกพัฒนาเพื่อชะลอการวิจัยและพัฒนาทางด้านนิวเคลียร์ของอิหร่าน
มัลแวร์ Flame มัลแวร์ซึ่งใช้วิธีการโจมตีอัลกอริธึมแฮช MD5 เพื่อให้สามารถสร้างค่าแฮชเดียวกันจากข้อมูลที่ต่างกันได้ (MD5 Hash Collision) ซึ่งเป็นครั้งแรกที่มีการใช้ช่องโหว่นี้ในการโจมตีจริง

จากประวัติที่ได้กล่าวมา เราคงไม่อาจไม่ปฏิเสธได้ว่าชุดของเครื่องมือที่ใช้ในการโจมตีช่องโหว่รวมไปถึงเครื่องมืออื่นๆ ในชุดโปรแกรมของ Equation Group นั้นสามารถถูกเรียกได้ว่าเป็น Cyber Weapon ที่น่าสะพรึงกลัว
ทำความรู้จักกลุ่มแฮกเกอร์จีน APT3
กลุ่มแฮกเกอร์จีน APT3 หรือในชื่อ GothicPanda เป็นกลุ่มแฮกเกอร์ซึ่งเชื่อกันว่าได้รับการสนับสนุนจากรัฐบาลจีน โดยมีเป้าหมายสำคัญในการขโมยข้อมูลด้วยการโจมตีบริษัทผู้ผลิตเทคโนโลยีด้านการบินและการป้องกันประเทศ รวมไปถึงกลุ่มบริษัทด้านเทคโนโลยีและการสื่อสาร
พฤติกรรมการโจมตี
เมื่ออ้างอิงจากข้อมูลของ MITRE ATT&CK framework เราสามารถระบุเทคนิคที่กลุ่ม APT3 ใช้ในการโจมตีได้ตามรูปภาพด้านล่าง

มัลแวร์/ซอฟต์แวร์ที่ใช้ในการโจมตี
เมื่ออ้างอิงจากข้อมูลของ MITRE ATT&CK framework เราสามารถระบุเครื่องมือที่กลุ่ม APT3 ใช้ในการโจมตีได้ตามรูปภาพด้านล่าง

LaZagne
OSInfo
PlugX
RemoteCMD
schtasks
SHOTPUT

แล้วสรุปแฮกเกอร์จีน APT3 เข้าถึงช่องโหว่ของ NSA ได้อย่างไร?
แม้ในตอนนี้จะยังไม่มีรายงานอย่างเป็นทางการรวมไปถึงการวิเคราะห์การโจมตีซึ่งบ่งชี้ให้เห็นทำไมแฮกเกอร์จีนกลุ่ม APT3 ถึงสามารถเข้าถึงช่องโหว่ลับซึ่งถูกค้นพบและพัฒนาโดย NSA ได้ แต่สื่อหลายสำนักก็ได้มีการตั้งสมมติฐานที่น่าสนใจไว้ดังนี้

เป็นไปได้ไหมที่ NSA จะถูกแฮกหรือถูกโจมตีจนเกิดเป็นการรั่วไหลของข้อมูลเช่นเดียวกับกรณีที่ The Shadow Brokers ดำเนินการ?
หรือว่าเมื่อ The Shadow Brokers สามารถเข้าถึงชุดโปรแกรมดังกล่าวได้แล้ว จีนจึงทำการแฮกและขโมยข้อมูลที่อยู่ในมือ The Shadow Brokers ต่อ?
หรือฝั่งจีนสามารถตรวจจับการโจมตีที่มีการใช้ช่องโหว่เหล่านี้ได้ หรืออาจค้นพบเครื่องมือเหล่านี้โดยบังเอิญในระบบใดระบบหนึ่งซึ่งเคยถูกโจมตีโดย NSA แล้วมีการนำเครื่องมือที่ค้นพบมาใช้งาน?

ยังไม่มีใครสามารถยืนยันประเด็นเหล่านี้ได้และคงเป็นไปได้ยากที่จะยืนยันข้อเท็จจริงให้ได้
แหล่งอ้างอิง

Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak
Stolen NSA hacking tools were used in the wild 14 months before Shadow Brokers leak
How Chinese Spies Got the N.S.A.’s Hacking Tools, and Used Them for Attacks

New malware found using Google Drive as its command-and-control server

ทีมนักวิจัยด้านความปลอดภัยจาก 360 Threat Intelligence และ Palo Alto Networks ได้มีการเปิดเผยที่แคมเปญการโจมตีใหม่ซึ่งพุ่งเป้าไปที่กลุ่มประเทศในตะวันออกกลางโดยมีชื่อของกลุ่มผู้โจมตีคือ DarkHydrus APT กลุ่มผู้โจมตีนี้ใช้วิธีการแพร่กระจายโทรจันชื่อ RougeRobin ด้วยการโจมตีในรูปแบบฟิชชิ่งโดยมัลแวร์สายพันธุ์สามารถใช้ติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมด้วยโปรโตคอล DNS รวมไปถึงมีการใช้บริการ Google Drive เป็นเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมด้วย

มัลแวร์ RougeRobin จะถูกดาวน์โหลดและติดตั้งผ่านทางมาโครสคริปต์อันตรายที่ฝังอยู่ในไฟล์เอกสาร โดยตัวมัลแวร์เองนั้นถูกพัฒนาด้วยภาษา C# และใช้เทคนิคในการเรียกโปรแกรม regsvr32.exe เพื่อเริ่มการทำงานของมัลแวร์ มัลแวร์ยังมีความสามารถสูงในการหลีกเลี่ยงการวิเคราะห์ทั้งจากระบบ sandbox และระบบจำลองต่างๆ ด้วย

สำหรับฟังก์ชันในการใช้บริการ Google Drive เป็นเซิร์ฟเวอร์ออกคำสั่งและควบคุมนั้น มัลแวร์จะกระทำโดยการอัปโหลดไฟล์ไปยังบัญชี Google Drive และคอยมอนิเตอร์การเปลี่ยนแปลงของไฟล์นี้ หากผู้โจมตีมีการแก้ไขไฟล์ดังกล่าวด้วยคีย์เวิร์ดพิเศษที่ถูกตั้งค่าเอาไว้แล้ว มัลแวร์จะมีการปฏิบัติตามคำสั่งนั้นโดยทันที

ขอแนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อต้องเปิดไฟล์แนบทางอีเมลซึ่งถูกส่งมาจากบุคคลที่ไม่รู้จัก และไม่ควรยินยอมให้มีการรันมาโครสคริปต์ในไฟล์เอกสารโดยไม่มีความจำเป็นโดยเด็ดขาด

ที่มา : thehackernews

VPNFilter ซีซั่น 2: อุปกรณ์ ASUS, D-Link, Huawei โดนด้วย พร้อมโมดูลใหม่ดักเปลี่ยนข้อมูลเว็บ

สำหรับผู้อ่านที่ยังไม่คุ้นเคยกับปฏิบัติการและมัลแวร์ VPNFilter เราแนะนำให้อ่านบทความ "เผยปฏิบัติการมัลแวร์ VPNFilter โจมตีอุปกรณ์เน็ตเวิร์กกว่า 500,000 เครื่องทั่วโลก" เพื่อความเข้าใจที่มากขึ้นครับ 🙂
หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
โมดูลการโจมตีใหม่
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

หลังจากการค้นพบปฏิบัติการและมัลแวร์ VPNFilter เมื่อช่วงพฤษภาคมที่ผ่านมาซึ่งพุ่งเป้าโจมตีอุปกรณ์กว่า 500,000 รายการทั่วโลก ทีม Cisco Talos ได้ประกาศข้อเท็จจริงและข้อมูลเพิ่มเติมเกี่ยวกับปฏิบัติการดังกล่าวเมื่อวานที่ผ่านมาซึ่งรวมไปถึงรายการอุปกรณ์ที่ได้รับผลกระทบเพิ่มเติมและโมดูลการโจมตีใหม่ที่ถูกค้นพบในมัลแวร์ด้วย
โมดูลการโจมตีใหม่
มัลแวร์ VPNFilter เป็นหนึ่งในมัลแวร์ที่ถูกระบุว่ามีความซับซ้อนและมีการทำงานอย่างเป็นระบบระเบียบที่แตกต่างกับมัลแวร์ชนิดอื่นอย่างชัดเจน หนึ่งในศิลปะที่มัลแวร์ VPNFilter ได้นำมาปรับใช้นั้นคือการทำงานแบบเป็นโมดูล (modular) ซึ่งทำให้ผู้โจมตีสามารถปรับแต่งการทำงานของมัลแวร์เมื่ออยู่ในระบบของเหยื่อได้อย่างอิสระและเป็นไปตามความต้องการ

ในรายงานฉบับแรกของ Cisco Talos ได้มีการระบุถึงโมดูลการทำงานของมัลแวร์ในขั้นตอนที่ 3 คือเมื่อมัลแวร์ประสบความสำเร็จในการฝังตัวในระบบและมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (Command & Control Server) แล้วทั้งหมด 2 โมดูล ได้แก่

โมดูลสำหรับการดักจับข้อมูล (Packet Sniffer) เป็นโมดูลที่ถูกออกแบบให้ดักจับและตรวจสอบหาข้อมูลสำคัญที่ถูกส่งผ่านอุปกรณ์เครือข่ายที่มัลแวร์ฝังตัวอยู่
โมดูลสำหรับการเข้าถึงเครือข่าย Tor เป็นโมดูลที่ถูกออกแบบมาเพื่อให้มัลแวร์สามารถใช้งานเครือข่าย Tor เพื่อรับ-ส่งข้อมูลได้

สำหรับโมดูลล่าสุดที่ Cisco Talos นั้นคือโมดูลสำหรับการสอดแทรกเนื้อหาอันตรายลงไปในข้อมูลที่ถูกรับ-ส่งในเครือข่าย โดยมีชื่อเรียกโมดูลว่า 'ssler'

การทำงานในเบื้องต้นของโมดูล ssler นั้น มีรายละเอียดดังต่อไปนี้

มัลแวร์จะทำการติดตั้งโมดูล ตั้งค่าและเริ่มการทำงานโมดูล โดยการตั้งค่าดังกล่าวจะเป็นการระบุให้โมดูลคอยดักจับและแก้ไขเนื้อหาของที่ถูกรับ-ส่งมาจากแหล่งใดบ้าง ซึ่งสามารถระบุได้ทั้งช่วงหมายเลขไอพีแอดเดรสและโดเมนเนม
มัลแวร์จะทำการแก้ไข iptables ของอุปกรณ์เพื่อเปลี่ยนเส้นทางข้อมูล HTTP ให้ไปยังเซอร์วิสที่มัลแวร์เปิดรอไว้ที่พอร์ต 8888
เมื่อทราฟิกของเครือข่ายถูกบังคับให้วิ่งผ่านเซอร์วิสของโมดูล ssler มัลแวร์สามารถดำเนินการแก้ไขเนื้อหาได้อย่างอิสระ ทั้งการเปลี่ยน https:// เป็น http://, ทำ sslstripping, หรือแก้ไขการตั้งค่า HTTP header ในลักษณะต่างๆ เพื่อให้คุณสมบัติด้านความปลอดภัยลดลง
โมดูล ssler จะทำการดึงข้อมูลสำคัญ อาทิ ชื่อผู้ใช้งานและรหัสผ่านที่ถูกส่งในรูปแบบ Basic Authentication หรือ HTTP POST request ใดๆ ที่ถูกส่งไปยัง accounts.

เผยปฏิบัติการมัลแวร์ VPNFilter โจมตีอุปกรณ์เน็ตเวิร์กกว่า 500,000 เครื่องทั่วโลก

หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
วิธีการโจมตีอุปกรณ์เครือข่าย
เป้าหมายการโจมตี
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม
วิธีการโจมตีอุปกรณ์เครือข่าย
อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย
เป้าหมายการโจมตี
อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783
ตัวบ่งชี้ภัยคุกคาม
อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.