กลุ่มแฮ็กเกอร์รัสเซียใช้เราเตอร์ Ubiquiti เพื่อแอบซ่อนตัวในระหว่างการโจมตี

กลุ่มแฮ็กเกอชาวร์รัสเซียกำลังใช้ Ubiquiti EdgeRouters ที่ถูกบุกรุกเพื่อหลบเลี่ยงการตรวจจับ

โดยกลุ่ม Military Unit 26165 ซึ่งเป็นส่วนหนึ่งของ Main Intelligence Directorate of the General Staff (GRU) ของรัสเซีย และเป็นที่รู้จักในชื่อ APT28 และ Fancy Bear ได้ใช้เราเตอร์ที่ถูกบุกรุก และได้รับความนิยมอย่างมากเหล่านี้ เพื่อสร้างบอตเน็ตซึ่งช่วยขโมยข้อมูล NTLMv2 และทำหน้าที่เป็นพร็อกซีสำหรับการดำเนินการที่เป็นอันตราย

นอกจากนี้ยังใช้เพื่อโฮสต์เครื่องมือที่สร้างขึ้นเอง รวมถึงหน้าเว็บฟิชชิ่ง ตลอดจนปฏิบัติการทางไซเบอร์ต่าง ๆ ที่มุ่งเป้าไปยังกองทัพ รัฐบาล และองค์กรอื่น ๆ ทั่วโลก

"EdgeRouters มักจะมาพร้อมกับ default credentials และไม่มีการป้องกันด้วยไฟร์วอลล์เพื่อรองรับผู้ให้บริการอินเทอร์เน็ตไร้สาย (WISP) นอกจากนี้ EdgeRouters จะไม่มีการอัปเดตเฟิร์มแวร์โดยอัตโนมัติ เว้นแต่ผู้ใช้จะอัปเดตด้วยตนเอง" FBI เตือน

"ด้วยการเข้าถึงสิทธิ์รูทของ Ubiquiti EdgeRouters กลุ่ม APT28 จะสามารถเข้าถึงระบบปฏิบัติการบน Linux ได้อย่างอิสระ เพื่อติดตั้งเครื่องมือ และสร้างความสับสนในขณะที่ดำเนินการแคมเปญที่เป็นอันตราย"

หลังจากตรวจสอบเราเตอร์ที่ถูกแฮ็ก FBI ค้นพบเครื่องมือต่าง ๆ ของ APT28 รวมถึงสคริปต์ Python สำหรับขโมยข้อมูล โปรแกรมที่ออกแบบมาเพื่อรวบรวมข้อมูล NTLMv2 และการกำหนดเส้นทางที่สร้างขึ้นเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลแบบฟิชชิ่งโดยอัตโนมัติ

APT28 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซีย ซึ่งถูกระบุว่ามีส่วนต่อการโจมตีทางไซเบอร์ที่มีชื่อเสียงหลายครั้งนับตั้งแต่เริ่มปฏิบัติการ พวกเขาอยู่เบื้องหลังการโจมตีคณะกรรมการรณรงค์หาเสียงของรัฐสภาประชาธิปไตย (DCCC) และคณะกรรมการประชาธิปไตยแห่งชาติ (DNC) ก่อนการเลือกตั้งประธานาธิบดีสหรัฐในปี 2016 และถูกตั้งข้อหาในสหรัฐอเมริกาเนื่องจากมีส่วนร่วมในการโจมตี DNC และ DCCC นอกจากนี้สภาสหภาพยุโรปยังได้คว่ำบาตรสมาชิก APT28 ในเดือนตุลาคม 2020 ฐานมีส่วนร่วมในการแฮ็กรัฐสภาเยอรมัน

วิธีกู้คืน Ubiquiti EdgeRouters ที่ถูกแฮ็ก

FBI และหน่วยงานพันธมิตรแนะนำมาตรการต่อไปนี้เพื่อกำจัดมัลแวร์ และบล็อกการเข้าถึงเราเตอร์ที่ถูกบุกรุกจากกลุ่ม APT28:

1. ทำการรีเซ็ตฮาร์ดแวร์เป็นค่าเริ่มต้นจากโรงงานเพื่อล้างระบบไฟล์ของไฟล์ที่เป็นอันตราย
2. อัปเกรดเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด
3. เปลี่ยนชื่อผู้ใช้ และรหัสผ่านเริ่มต้น
4. ใช้ Rules บนไฟร์วอลล์อินเทอร์เฟซฝั่ง WAN เพื่อป้องกันการเข้าถึงจากระยะไกลที่ไม่ได้รับอนุญาต

FBI กำลังตรวจสอบหาข้อมูลที่เกี่ยวข้องกับการดำเนินการของกลุ่ม APT28 บน EdgeRouters ที่ถูกแฮ็ก เพื่อป้องกันการโจมตีโดยใช้เทคนิคเหล่านี้ต่อไป

แฮ็กเกอร์ชาวรัสเซียเคยกำหนดเป้าหมายไปยังอุปกรณ์ Internet routing เพื่อใช้ในการโจมตีแบบ man-in-the-middle เพื่อสนับสนุนการจารกรรมข้อมูลของเหยื่ออย่างต่อเนื่อง และวางรากฐานสำหรับปฏิบัติการในครั้งต่อ ๆ ไป

ที่มา : https://www.

พบกลุ่ม APT28 ใช้ช่องโหว่ใน Outlook เพื่อขโมยบัญชี Microsoft Exchange

 

ทีม Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML (more…)

แฮ็กเกอร์รัสเซียใช้ฟีเจอร์ Ngrok และ WinRAR โจมตีสถานทูต

นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

Google พบกลุ่ม Hacker ชาวรัสเซีย และจีนเกี่ยวข้องกับการโจมตีช่องโหว่ของ WinRAR

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

แฮ็กเกอร์รัสเซียใช้ช่องโหว่ Follina โจมตีประเทศยูเครน

ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับการโจมตีแบบ Spear-Phishing รูปแบบใหม่ที่ใช้ช่องโหว่ Follina บน Windows เพื่อติดตั้งมัลแวร์สำหรับขโมยรหัสผ่าน โดยพบว่าเป็นกลุ่ม APT28 ซึ่งคาดว่าเป็นหน่วยข่าวกรองของทหารรัสเซีย โดยมีชื่อเรียกอื่น ๆ เช่น Fancy Bear และ Sofacy

CERT-UA ระบุว่าในการโจมตีจะเริ่มต้นด้วยการส่งไฟล์เอกสารชื่อว่า “Nuclear Terrorism A Very Real Threat.

แจ้งเตือนกลุ่มแฮกเกอร์ LazyScripter พุ่งเป้าโจมตีสายการบินด้วย Remote Access Trojan

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

US shares info on Russian malware used to target parliaments, embassies

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.

State-sponsored hackers are now using coronavirus lures to infect their targets

แฮกเกอร์ที่รัฐสนับสนุนกำลังใช้ coronavirus เพื่อหลอกลวงให้เป้าหมายของพวกเขาติดเชื้อมัลแวร์

แฮกเกอร์ที่รัฐสนับสนุน (APT) ของรัฐบาลจีน เกาหลีเหนือ และรัสเซียถูกจับได้โดยใช้อีเมลที่มีธีม COVID-19 เพื่อทำให้เหยื่อติดมัลแวร์

รัสเซีย
กลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐกลุ่มแรกที่ใช้การหลอกลวงโดย coronavirus คือกลุ่ม Hades ที่เชื่อว่ามีการปฏิบัติการนอกรัสเซีย และมีส่วนเกี่ยวข้องกับ APT28 (Fancy Bear) iและเป็นหนึ่งในกลุ่มที่แฮก DNC ในปี 2016

QiAnXin บริษัทรักษาความปลอดภัยไซเบอร์พบว่าแฮกเกอร์ Hades ดำเนินการเเคมเปญในกลางเดือนกุมภาพันธ์ เมื่อพวกเขาซ่อน C# backdoor trojan ในเอกสารที่มีข่าวล่าสุดเกี่ยวกับ COVID-19 เอกสารถูกส่งไปยังเป้าหมายในยูเครน ซึ่งปลอมเป็นอีเมลที่มาจากศูนย์สาธารณสุขของกระทรวงสาธารณสุขของประเทศยูเครน

เกาหลีเหนือ
กลุ่มแฮกเกอร์เกาหลีเหนือซ่อนมัลแวร์ไว้ในเอกสารที่ระบุรายละเอียดการตอบสนองของเกาหลีใต้ต่อการแพร่ระบาดของ COVID-19 เชื่อว่าเอกสารดังกล่าวมีเป้าหมายเป็นเจ้าหน้าที่ของเกาหลีใต้ โดยเอกสารนั้นเต็มไปด้วย BabyShark ซึ่งเป็นสายพันธุ์มัลแวร์ที่เคยใช้โดยกลุ่มแฮกเกอร์เกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky

จีน
แคมเปญมัลแวร์ส่วนใหญ่ที่ใช้ธีม coronavirus มาจากประเทศจีน พบการโจมตีครั้งเเรกที่เกิดขึ้นโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์เวียดนาม VinCSS ตรวจพบกลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐของจีน (ชื่อ Mustang Panda) แพร่กระจายอีเมลด้วยไฟล์แนบ RAR ที่อ้างว่าส่งข้อความเกี่ยวกับการระบาดของโรค coronavirus จากนายกรัฐมนตรีเวียดนาม เมื่อเหยื่อหลงเชื่อโหลดและแตกไฟล์ก็จะติดโทรจัน

ที่มา : Zdnet

How Microsoft Cleverly Cracks Down On “Fancy Bear” Hacking Group

การ hack กลุ่มแฮคเกอร์กลับนั้นไม่ใช่สิ่งที่ทาง Microsoft ผู้ซึ่งพยายามที่จะปกป้องลูกค้าจากเหล่าแฮคเกอร์ อาชญากรไซเบอร์ หรือกลุ่มที่ได้รับการสนับสนุนจากภาครัฐนั้นเลือกที่จะทำ ซึ่งทาง Microsoft เองเลือกที่จะใช้ตัวกฎหมายเป็นเครื่องมือในการจัดการกับแฮคเกอร์กลุ่มใหญ่ที่มีชื่อว่า Fancy Bear โดยทางองค์กรได้ทำการขโมยข้อมูลเซิร์ฟเวอร์จากความช่วยเหลือของตัวกฎหมาย Microsoft ให้ทีมกฎหมายฟ้อง Fancy Bear ในศาสสรัฐบาลกลางนอก Washington DC
Fancy Bear คือกลุ่ม hacker ที่รู้จักกันในอีกหลายๆ ชื่อ เช่น APT28, Sofacy, Sednit, และ Pawn Storm เริ่มมีการเคลื่อนไหวตั้งแต่ปี 2007 และเคยถูกกล่าวหาว่ามีส่วนเกี่ยวข้องกับการพยายามแฮคข้อมูลของคณะกรรมการพรรคเดโมแครต หรือ Democratic National Committee (DNC) เป็นที่เชื่อกันว่ากลุ่มแฮคเกอร์ดังกล่าวเกี่ยวข้องกับหน่วยสืบราชการลับของรัสเซียแม้ว่าทาง Microsoft ยังไม่พบการเชื่อมต่อใดๆ ระหว่างสองฝ่ายนี้ Fancy Bear เลือกจะที่ใช้ Domain Name ที่มีความคล้ายกับ domain ที่ทาง Microsoft ให้บริการอยู่ จึงทำให้ Microsoft สามารถใช้จุดนี้ทำให้กลุ่ม Fancy Bear ถูกนำตัวมาขึ้นศาล
ความตั้งใจของ Microsoft ไม่ใช่การนำตัวแฮคเกอร์เหล่านี้มาขึ้นศาล แต่ว่าต้องการที่จะเป็นเจ้าของ domain ของ Fancy Bear ซึ่งทำหน้าที่เป็น command-and-control เซิร์ฟเวอร์ ถึงแม้ว่า Microsoft จะไม่ได้สิทธิ์ครอบครองอย่างเต็มตัว แต่เมื่อปีที่ผ่านมาศาลตัดสินให้ Domain Name registrars ที่ชื่อ "compelling them to alter" ซึ่งเป็น DNS ของอย่างน้อย 70 domains ของ Fancy Bear ให้วิ่งไปที่เซิร์ฟเวอร์ที่ถูกควบคุมโดย Microsoft ซึ่งต่อมา Microsoft ใช้คดีความนี้เป็นเครื่องมือในการช่วยสร้าง Sinkhole Domains ซึ่งทำให้หน่วยอาชญากรรมดิจิตอลขององค์กรสามารถใช้เฝ้าสังเกตุการณ์พฤติกรรมได้

ที่มา : thehackernews