แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ใน ProjectSend เพื่อติดตั้ง Backdoor บนเซิร์ฟเวอร์

ผู้โจมตีกำลังใช้ช่องโหว่ระดับ Critical ใน ProjectSend ที่ได้รับการเปิดเผยออกสู่สาธารณะ เพื่อ bypass การยืนยันตัวตน เพื่อทำการอัปโหลด webshells และเข้าถึงเซิร์ฟเวอร์จากภายนอก

ช่องโหว่นี้หมายเลข CVE-2024-11680 เป็นช่องโหว่การยืนยันตัวตนในระดับ Critical ที่ส่งผลกระทบต่อ ProjectSend เวอร์ชันก่อน r1720 โดยทำให้ผู้โจมตีสามารถส่ง HTTP request ที่ออกแบบมาเป็นพิเศษไปยัง 'options.

CISA เรียกร้องให้หน่วยงานต่าง ๆ แก้ไขช่องโหว่ระดับ Critical ใน “Array Networks” ที่กำลังถูกนำไปใช้ในการโจมตี

เมื่อวันจันทร์ที่ผ่านมา CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ได้รับการแก้ไขไปแล้ว ซึ่งส่งผลกระทบต่อ Array Networks AG และ vxAG secure access gateways เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) หลังมีรายงานการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

ช่องโหว่นี้มีหมายเลข CVE-2023-28461 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตน ซึ่งอาจถูกโจมตีโดยการเรียกใช้โค้ดจากระยะไกลได้ โดย Array Networks ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้วในเวอร์ชัน 9.4.0.484 ตั้งแต่เดือนมีนาคม 2023

Array Networks ระบุว่า "ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Array AG/vxAG เป็นช่องโหว่ด้านความปลอดภัยบนเว็บที่ทำให้ผู้โจมตีสามารถเข้าถึง filesystem หรือเรียกใช้โค้ดจากระยะไกลบน SSL VPN gateway ได้ โดยใช้ flags attribute ใน HTTP header โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน"

การเพิ่มช่องโหว่นี้ในรายการ KEV catalog เกิดขึ้นไม่นานหลังจากบริษัทด้านความปลอดภัยไซเบอร์ Trend Micro เปิดเผยว่ากลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Earth Kasha (หรือที่รู้จักกันในชื่อ MirrorFace) ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ต่าง ๆ เช่น Array AG (CVE-2023-28461), Proself (CVE-2023-45727) และ Fortinet FortiOS/FortiProxy (CVE-2023-27997) เพื่อเข้าถึงระบบในเบื้องต้น

Earth Kasha มีชื่อเสียงจากการโจมตีองค์กรในญี่ปุ่นอย่างกว้างขวาง อย่างไรก็ตามในช่วงไม่กี่ปีที่ผ่านมาพบว่ากลุ่มนี้ยังได้โจมตีไต้หวัน, อินเดีย และยุโรปอีกด้วย

เมื่อต้นเดือนนี้ ESET ยังได้เปิดเผยแคมเปญของ Earth Kasha ที่มุ่งเป้าหมายไปยังหน่วยงานทางการทูตที่ไม่เปิดเผยชื่อในสหภาพยุโรป เพื่อส่ง backdoor ที่ชื่อว่า ANEL โดยใช้ประโยชน์จากงาน World Expo 2025 ที่มีกำหนดจัดขึ้นในโอซาก้า ประเทศญี่ปุ่น ในเดือนเมษายน 2025

จากการโจมตีที่ยังคงดำเนินอยู่ หน่วยงานของรัฐบาลกลาง (FCEB) ได้รับคำแนะนำให้ดำเนินการอัปเดตแพตช์อุปกรณ์ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันเครือข่ายของตน

VulnCheck ได้ให้ข้อมูลโดยระบุว่า การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่กลุ่มแฮ็กเกอร์จีน 15 กลุ่ม จากทั้งหมด 60 กลุ่ม มีความเชื่อมโยงกับการใช้ช่องโหว่ที่ถูกโจมตีบ่อยที่สุด 15 รายการในปี 2023

โดย VulnCheck ระบุว่า พบ hosts ที่เชื่อมต่ออินเทอร์เน็ตมากกว่า 440,000 รายการ ที่มีแนวโน้มอาจตกเป็นเป้าหมายของการโจมตีได้

Patrick Garrity จาก VulnCheck ระบุว่า "องค์กรควรประเมินความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้, เพิ่มความสามารถในการตรวจสอบความเสี่ยงที่อาจเกิดขึ้นกับระบบ, ใช้ประโยชน์จากข้อมูลข่าวสารด้านภัยคุกคาม, รักษามาตรฐานการจัดการแพตช์ที่มีประสิทธิภาพ และดำเนินการควบคุมเพื่อลดความเสี่ยง เช่น ลดการเปิดเผยอุปกรณ์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตให้น้อยที่สุด"

ที่มา : thehackernews

ระวังอีเมลฟิชชิ่งที่แอบฝัง backdoor ใน Linux VM

นักวิจัยจาก Securonix พบผู้ไม่หวังดีที่ยังไม่ทราบตัวตนที่แน่ชัด พยายามหลอกให้ผู้ใช้งาน Windows เรียกใช้งาน Linux virtual machine (VM) เวอร์ชันที่ถูกปรับแต่งขึ้นมาเป็นพิเศษ และมีการตั้งค่า backdoor ไว้ (more…)

VMware แก้ไขช่องโหว่ RCE ระดับ Critical ของ vCenter Server

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)

กลุ่ม APT37 ของเกาหลีเหนือ โจมตีประเทศกัมพูชาด้วย VeilShell Backdoor โดยใช้ภาษากัมพูชา

กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่งเป็นที่รู้จักในชื่อ APT37 ได้แพร่กระจาย backdoor ตัวใหม่ชื่อ "VeilShell" สิ่งที่น่าสนใจคือเป้าหมายของการโจมตีนี้ เนื่องจากโดยปกติแล้ว APT กลุ่มต่าง ๆ จากเกาหลีเหนือส่วนใหญ่จะโจมตีองค์กรในเกาหลีใต้ หรือญี่ปุ่น แต่ในแคมเปญล่าสุดของ APT37 ได้พุ่งเป้าไปที่ประเทศกัมพูชา ซึ่งเป็นประเทศที่ Kim Jong-Un มีความสัมพันธ์ที่มากกว่าปกติ (more…)

การหลอกอัปเดตเบราว์เซอร์ปลอม ส่งผลต่อการแพร่กระจายของมัลแวร์ WarmCookie

แคมเปญการโจมตีใหม่ที่ชื่อว่า FakeUpdate มีเป้าหมายไปยังผู้ใช้งานในฝรั่งเศส โดยการใช้ประโยชน์จากเว็บไซต์ที่ถูกโจมตี เพื่อหลอกให้มีการอัปเดตเบราว์เซอร์ และแอปพลิเคชันปลอม ทำให้เกิดการแพร่กระจายของ WarmCookie backdoor (more…)

Palo Alto GlobalProtect ปลอม ถูกใช้เป็น Backdoor เพื่อโจมตีองค์กร

ผู้โจมตีมุ่งเป้าไปที่องค์กรในตะวันออกกลาง โดยใช้มัลแวร์ที่ปลอมเป็น Palo Alto GlobalProtect ซึ่งสามารถขโมยข้อมูล และเรียกใช้คำสั่ง PowerShell จากระยะไกล เพื่อแทรกซึมเข้าไปภายในเครือข่ายขององค์กรได้ (more…)

เครือข่ายองค์กรของ TeamViewer ถูกบุกรุกจากการโจมตีของกลุ่ม APT

TeamViewer บริษัทซอฟต์แวร์สำหรับ Remote Access ออกมายืนยันว่าระบบของบริษัทได้ถูกโจมตีทางไซเบอร์เมื่อวันที่ 26 มิถุนายน ที่ผ่านมา โดยบริษัทคาดว่าผู้โจมตีเป็นกลุ่ม APT

TeamViewer ระบุในโพสต์บน Trust Center ว่า "เมื่อวันพุธที่ 26 มิถุนายน 2024 ทีมรักษาความปลอดภัยของบริษัท ได้ตรวจพบความผิดปกติในระบบไอทีภายในของ TeamViewer"

"บริษัทได้ใช้มาตรการ และขั้นตอนด้านความปลอดภัยทันที เริ่มจากการสอบสวนร่วมกับทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงระดับโลก และดำเนินการแก้ไขที่จำเป็น" (more…)

กลุ่ม Turla ใช้ MSBuild เพื่อทำให้ Tiny BackDoor สามารถหลีกเลี่ยงการตรวจจับ

CRIL พบการโจมตีโดยใช้ไฟล์ .LNK ที่เป็นอันตราย ซึ่งแฝงตัวเป็นไฟล์เอกสาร PDF ที่เมื่อผู้ใช้งานเปิดไฟล์ .LNK มันจะแสดงคำเชิญเข้าร่วมสัมมนาเกี่ยวกับสิทธิมนุษยชน ซึ่งแสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายไปที่บุคคลที่มีความสนใจในประเด็นสิทธิมนุษยชน (more…)

กลุ่ม Kimsuky ใช้ Linux backdoor ตัวใหม่ มุ่งเป้าโจมตีไปยังเกาหลีใต้

กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้

Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO

ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux

Gomir backdoor

Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย

ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน

รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.