ผู้เชี่ยวชาญจาก Symentec พบพฤติกรรมการโจมตีที่มุ่งเน้นไปที่หน่วยงานรัฐในแถบเอเชีย เป้าหมายในครั้งนี้มีทั้งบริษัทการบินอวกาศและการป้องกันประเทศ, บริษัทโทรคมนาคมและองค์กรไอที โดยแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ดังกล่าวเป็นกลุ่มเดียวกับกลุ่มที่ใช้ "ShadowPad" RAT ในแคมเปญก่อนหน้านี้ แต่ในครั้งนี้ผู้โจมตีมีการใช้ Tools ที่หลากหลายมากขึ้นและจากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าการโจมตีนี้เกิดขึ้นตั้งแต่ต้นปี 2564 และยังดำเนินการต่อเนื่องมาจนถึงปัจจุบัน เป้าหมายของการโจมตีมีหน่วยงานรัฐดังต่อไปนี้

บริษัทส่วนงานราชการ/สำนักนายกรัฐมนตรี
สถาบันของรัฐที่เชื่อมโยงกับการเงิน
บริษัทการบินอวกาศและการป้องกันของรัฐ
บริษัทโทรคมนาคมของรัฐ
หน่วยงานด้านไอทีของรัฐ
หน่วยงานสื่อของรัฐ

ลักษณะการโจมตี

การโจมตีเริ่มต้นด้วยการติดตั้งไฟล์ . DLL ที่เป็นอันตราย โดยใช้วิธีการ Execute จากโปรแกรมปกติที่ที่อยู่บนเครื่องเพื่อโหลดไฟล์ .dat จากนั้นไฟล์จะถูกส่งไปยังเครื่องเป้าหมายผ่านวิธีการ side-loaded ซึ่งในครั้งนี้ผู้โจมตีใช้ Bitdefender Crash Handler ที่มีอายุ 11 ปีในการโจมตี
เมื่อไฟล์ .dat เข้ามาในเครื่องแล้ว ข้างในจะมีเพย์โหลดที่ประกอบไปด้วย Shellcode อยู่ ซึ่ง Shellcode นี้สามารถใช้คำสั่งเพื่อดึงเพย์โหลดอื่นๆ ที่เป็นอันตรายมาติดตั้งเพิ่มเติมได้ โดยเป็นการเรียกจาก Memory โดยตรง
สามวันหลังจาก Backdoor ถูกติดตั้งบนเครื่องเป้าหมาย ผู้โจมตีได้ทำการติดตั้งโปรแกรม ProcDump ลงไปเพื่อขโมย Credential ของผู้ใช้งานจาก Local Security Authority Server Service (LSASS) ซึ่งในวันเดียวกัน ทีม Penetration Testing ของบริษัท LadonGo ได้ทดสอบเจาะระบบโดยใช้วิธี DLL hijacking เพื่อทำการ side-loaded ด้วยเช่นกัน
อีกสองสัปดาห์ต่อมา ผู้โจมตีได้ทำการติดตั้ง Mimikatz ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันแพร่หลายในการขโมยข้อมูลประจำตัว
ต่อมา ผู้โจมตีเริ่มมีการใช้ PsExec ในการเรียกใช้งาน Crash Handler เพื่อทำการ DLL hijacking ติดตั้งโหลดเพย์โหลดบนคอมพิวเตอร์อื่น ๆ ในเครือข่าย
หนึ่งเดือนหลังจากการโจมตีครั้งแรก ผู้โจมตีได้สิทธิ์ High Privileged บนระบบที่สามารถสร้าง Account ใหม่ได้ นอกจากนี้ยังได้รับสิทธิ์ในการเข้าสู่ User Credentials และ log files บน Active Direcory ได้อีกด้วย
เหตุการณ์สุดท้าย พบว่าผู้โจมตีมีการใช้ Fscan ในการโจมตีผ่านช่องโหว่ CVE-2021-26855 (Proxylogon) บน Exchange Servers บนเครือข่าย

จากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญพบหนึ่งใน Tools ที่ใช้ในการโจมตีครั้งนี้คือ (Infostealer.

รายงานของบริษัท SEKOIA และ Trend Micro เกี่ยวกับแคมเปญใหม่ที่ดำเนินการโดยแฮ็กเกอร์ชาวจีนชื่อ Lucky Mouse พบการใช้แอปสำหรับรับ-ส่งข้อความแชทเพื่อเป็น Backdoor บนเครื่องเหยื่อ

โดยกลุ่มแฮ็กเกอร์โจมตีแอปพลิเคชั่นแชทที่ชื่อว่า MiMi และปรับแต่งไฟล์ติดตั้งของโปรแกรม โดยไฟล์ติดตั้งที่ถูกปรับแต่งจะดาวน์โหลด และติดตั้งมัลแวร์ HyperBro บน Windows และ rshell บน Linux และ macOS

มีหน่วยงานต่าง ๆ มากถึง 13 แห่งในไต้หวัน และฟิลิปปินส์ที่ถูกโจมตี ซึ่ง 8 แห่งถูกโจมตีด้วย rshell โดยถูกพบครั้งแรกในช่วงกลางเดือนกรกฎาคม พ.ศ. 2564

Lucky Mouse หรือ APT27, Bronze Union, Emissary Panda และ Iron Tiger เป็นที่รู้จักตั้งแต่ปี 2556 และมีประวัติการโจมตีเครือข่ายเป้าหมายเพื่อหาข้อมูลข่าวกรองทางการเมือง และการทหารที่เกี่ยวข้องกับประเทศจีน แฮ็กเกอร์ยังเชี่ยวชาญในการขโมยข้อมูลที่สำคัญออกไป โดยใช้ SysUpdate HyperBro และ PlugX แต่จากพฤติกรรมล่าสุดเป็นครั้งแรกของกลุ่มที่กำหนดเป้าหมายไปยัง macOS

แคมเปญล่าสุดนี้ถือว่าเป็นการโจมตีในรูปแบบ supply chain attack เนื่องจาก Lucky Mouse เข้าไปทำการควบคุม backend servers สำหรับดาวน์โหลดโปรแกรมติดตั้งของแอป MiMi จึงทำให้ผู้โจมตีสามารถปรับแต่งแอปเพื่อทำเป็นแบ็คดอร์ได้

โดยพบว่า MiMi เวอร์ชัน 2.3.0 บน macOS ถูกดัดแปลงเพื่อฝัง JavaScript ที่เป็นอันตรายตั้งแต่เมื่อวันที่ 26 พฤษภาคม 2565 ส่วน MiMi เวอร์ชัน 2.2.0 และ 2.2.1 บน Windows ได้ถูกโจมตีในลักษณะที่คล้ายกันตั้งแต่เมื่อวันที่ 23 พฤศจิกายน พ.ศ. 2564

โดย rshell เป็นแบ็คดอร์ที่ใช้รับคำสั่งจาก command-and-control (C2) เพื่อดำเนินการต่าง ๆ บนเครื่องเหยื่อ และส่งผลลัพธ์ที่ได้จากการทำตามคำสั่งที่ได้รับมากลับไปยัง C2

สาเหตุที่การโจมตีครั้งนี้ถูกเชื่อมโยงกับกลุ่ม Lucky Mouse เนื่องจากการใช้งาน HyperBro เป็นแบ็คดอร์ที่กลุ่มแฮ็กเกอร์กลุ่มนี้ใช้โดยเฉพาะ

SEKOIA ชี้ให้เห็นว่า นี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์ใช้แอปส่งข้อความในการโจมตี ในปลายปี 2563 ESET เปิดเผยว่าซอฟต์แวร์แชทยอดนิยมที่ชื่อว่า Able Desktop ถูกใช้ในการโจมตีเพื่อส่ง HyperBro, PlugX และโทรจันที่ชื่อว่า Tmanger ซึ่งมีการกำหนดเป้าหมายไปยังประเทศมองโกเลีย

ที่มา: thehackernews

 

 

 

แคมเปญล่าสุดของมัลแวร์ Grandoreiro banking trojan กำลังมุ่งเป้าโจมตีไปยังบริษัทที่อยู่ในประเทศเม็กซิโก และสเปน

Zscaler ระบุในรายงานว่า “แคมเปญนี้ กลุ่มแฮ็กเกอร์จะปลอมตัวเป็นเจ้าหน้าที่ของรัฐจากสำนักงานอัยการสูงสุดแห่งเม็กซิโกซิตี้ และใช้การโจมตีในรูปแบบ spear-phishing emails โดยจะหลอกล่อเหยื่อให้ดาวน์โหลด 'Grandoreiro' ซึ่งเป็น banking trojan ที่มีการใช้งานมาตั้งแต่ปี 2559 โดยมีเป้าหมายเพื่อโจมตีผู้ใช้งานในละตินอเมริกาโดยเฉพาะ”

การโจมตีเริ่มเกิดขึ้นอย่างต่อเนื่องตั้งแต่เดือนมิถุนายน พ.ศ. 2565 ซึ่งมีเป้าหมายเป็นกลุ่ม ยานยนต์ โยธา และอุตสาหกรรมการก่อสร้าง โลจิสติกส์ และ ประเภทเครื่องจักรต่างๆ ผ่านเครือข่ายขององค์กรหลายแห่งในเม็กซิโก และอุตสาหกรรมการผลิตสารเคมีในสเปน

การโจมตีเครือข่ายขององค์กรนั้นแฮ็กเกอร์เลือกใช้วิธี spear-phishing ที่เป็นภาษาสเปน ซึ่งข้อความใน Email จะเกี่ยวข้องกับการขอคืนเงิน การแจ้งเตือนการดำเนินคดี การยกเลิกสินเชื่อ เพื่อทำให้เหยื่อสนใจ และทำการโหลดไฟล์ ZIP ที่แนบมากับ Email โดยในไฟล์ ZIP จะมีไฟล์ PDF ที่ทำให้เหยื่อติดมัลแวร์ได้

Niraj Shivtarkar นักวิจัยของ Zscaler ได้กล่าวว่า “PDF ไฟล์จะมีหน้าที่ในการดาวน์โหลด แตกไฟล์ และติดตั้งเพย์โหลดของ Grandoreiro ขนาด 400 MB จากเซิร์ฟเวอร์ภายนอก และใช้เป็นช่องทางการเชื่อมต่อในรูปแบบ C2 เซิร์ฟเวอร์ในลักษณะคล้ายๆกับ LatentBot”

ตัวมัลแวร์ยังถูกออกแบบมาเพื่อรวบรวมข้อมูลสำคัญต่างๆ ทั้งโปรแกรมป้องกันมัลแวร์ที่ถูกติดตั้งไว้บนเครื่องเหยื่อ กระเป๋าเงินคริปโต แอพธนาคาร และข้อมูลใน Email จากนั้นจะรวบรวมข้อมูลเหล่านี้ส่งกลับไปยัง C2 เซิร์ฟเวอร์

Grandoreiro เป็น backdoor ที่มีฟังก์ชันการบันทึกการกดแป้นพิมพ์ เก็บข้อมูลรูปแบบการเคลื่อนไหวของเมาส์ และแป้นพิมพ์ จำกัดการเข้าถึงบางเว็บไซต์ อัปเดตตัวเองอัตโนมัติ และทำให้ตัวมันสามารถแฝงตัวอยู่บนระบบด้วยการเปลี่ยนแปลง Registry ของ Windows

โดยมันถูกเขียนขึ้นโดยใช้ภาษา Delphi ใช้ CAPTCHA สำหรับหลีกเลี่ยงการวิเคราะห์จาก sandbox และใช้โดเมนที่สร้างขึ้นโดย domain generate algorithm (DGA) เป็น C2 เซิร์ฟเวอร์

จากรายงานทำให้เห็นว่า Grandoreiro กำลังมีการพัฒนาอย่างต่อเนื่อง ทำให้มันเป็นมัลแวร์ที่มีความซับซ้อน และสามารถหลีกเลี่ยงการถูกตรวจจับได้เป็นอย่างดี

การพัฒนาดังกล่าวเกิดขึ้นเพียง 1 ปีหลังจากที่หน่วยงานบังคับใช้กฎหมายของสเปนจับกุมบุคคล 16 รายที่มีส่วนเกี่ยวข้องกับปฏิบัติการของ Mekotio และ Grandoreiro ในเดือนกรกฎาคม 2564

ที่มา: thehackernews

ผู้โจมตีใช้มัลแวร์ตัวใหม่เพื่อเป็น backdoor บน Microsoft Exchange server ของรัฐบาล และองค์กรทางการทหารจากยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา อย่างลับๆ  โดยตัวมัลแวร์ชื่อ SessionManager ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Kaspersky ครั้งแรกเมื่อต้นปี 2565 โดยมัลแวร์เป็นลักษณะ native-code module สำหรับ Microsoft's Internet Information Services (IIS) เว็บเซิร์ฟเวอร์

ตัวมัลแวร์ถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคมปี 2021 จากการโจมตีระลอกใหญ่ด้วยช่องโหว่ ProxyLogon แต่มัลแวร์ดังกล่าวกลับไม่เคยถูกตรวจพบมาก่อน  Kaspersky ระบุว่า "SessionManager backdoor จะช่วยให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบของเหยื่อได้เป็นอย่างดี"

"เมื่อเข้าถึงระบบของเหยื่อได้แล้ว มันจะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงอีเมลของบริษัท ดาวน์โหลดมัลแวร์ตัวอื่นเพิ่มเติม หรือแม้แต่เข้าควบคุมเซิร์ฟเวอร์ของเหยื่อเพื่อใช้เป็นฐานในการโจมตีต่อไป"

(more…)

ลักษณะการทำงาน

Syslogk เป็น rootkit ที่เมื่อติดตั้งแล้วมันจะแฝงตัวเป็นโมดูล Kernal บนระบบปฏิบัติการ Linux โดยหลังจากติดตั้งในครั้งแรก มันจะทำการลบตัวมันเองออกจากรายการโมดูลที่ติดตั้งเพื่อหลีกเลี่ยงการตรวจสอบ ทางเดียวที่จะตรวจพบคือการตรวจสอบโดยใช้คำสั่ง /proc ในลักษณะตามภาพ

จากนั้นมันจะดักจับคำสั่งบน Linux เพื่อกรองข้อมูลบางอย่างที่มันไม่ต้องการให้แสดงผลออกไปเช่น คำสั่งเรียกดูไฟล์ โฟลเดอร์ รวมไปถึง การเรียกดู Process ที่ทำงานอยู่ นอกจากนี้ยังมีความสามารถในการซ่อนไดเร็กทอรีที่มีไฟล์อันตรายบนระบบ, ซ่อน Process, ซ่อนการรับส่งข้อมูลเครือข่าย, ตรวจสอบแพ็กเก็ต TCP ทั้งหมด รวมไปถึงเริ่มหรือหยุดการทำงานของเพย์โหลดจากระยะไกลได้ หนึ่งในเพย์โหลดที่ซ่อนอยู่ซึ่งค้นพบโดย Avast คือ Backdoor ที่มีชื่อว่า Rekoobe ซึ่งมันจะถูกโหลดลงมาหลังจากติดตั้ง Syslogk โดย Backdoor นี้จะไม่ทำงานจนกว่าจะได้รับ Magic Packets จากผู้โจมตี

Magic Packets จะทำหน้าที่คล้ายระบบ Wake on LAN ที่ใช้ในการเรียกอุปกรณ์ที่อยู่ในโหมดสลีปให้ทำงาน โดยมันจะทำงานได้ต่อเมื่อมีการระบุ Field เช่น Source IP, Destination IP, Destination Port ตรงกับที่ตั้งค่าไว้เท่านั้น เมื่อได้รับค่า Field ที่ถูกต้อง Rekoobe สามารถเริ่มหรือหยุดทำงานได้ทันทีตามที่ผู้โจมตีต้องการ ช่วยลดโอกาสในการตรวจจับได้อย่างมาก

ปัจจุบัน Syslogk อยู่ในช่วงเริ่มต้นของการพัฒนา และยังทำงานบน Kernel 3.x เท่านั้น จึงยังไม่ส่งผลกระทบต่อหลายๆองค์กร แต่อย่างไรก็ตาม ในอนาคต Syslogk จะปล่อยเวอร์ชันที่รองรับ Kernel เวอร์ชันล่าสุด ซึ่งจะขยายเป้าหมายให้กว้างขึ้นอย่างมาก

แนวทางการป้องกัน

ติดตามข่าวสารใหม่ๆอยู่เสมอ
อัพเดทระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด

ที่มา: Bleepingcomputer

กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers

โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน

นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์

รายละเอียดการโจมตี

กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped

ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้

หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย

ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย

ข้อมูลเพิ่มเติม

นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย

ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน

เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer.

IBM Security X-Force พบเวอร์ชันอัพเกรดของ AnchorDNS Backdoor โดยมีชื่อเรียกว่า AnchorMail

"AnchorMail จะใช้ Command and Control เป็นเซิร์ฟเวอร์อีเมล โดยใช้โปรโตคอล SMTP และ IMAP ผ่าน Protocol TLS" โดย Charlotte Hammond ผู้เชี่ยวชาญการวิเคราะห์มัลแวร์ของ IBM ระบุว่าพฤติกรรมของ AnchorMail จะคล้ายๆกับพฤติกรรมของ AnchorDNS รุ่นก่อน

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง TrickBot คือ ITG23 หรือที่รู้จักในชื่อ Wizard Spider โดยค่อนข้างมีชื่อเสียงในด้านการพัฒนา Anchor Backdoor ที่ถูกใช้โจมตีเหยื่อมาตั้งแต่ปี 2018 ด้วยมัลแวร์ TrickBot และ BazarBackdoor ในช่วงหลายปีที่ผ่านมาทางกลุ่มได้ร่วมมือกับกลุ่ม Conti Ransomware ซึ่งทำให้มีการนำ TrickBot และ BazarLoader ไปใช้ร่วมในการโจมตี

Backdoor AnchorDNS ในเวอร์ชันเก่านั้นจะสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้ DNS Tunneling เพื่อหลีกเลี่ยงการป้องกันของเหยื่อ แต่เวอร์ชันใหม่จะใช้อีเมลที่ได้รับการออกแบบมาเป็นพิเศษ

Charlotte Hammond ได้กล่าวว่า AnchorMail จะใช้โปรโตคอล SMTPS ที่เข้ารหัสเพื่อส่งข้อมูลไปยัง C2 และใช้ IMAPS ในการรับคำสั่ง การทำงานของมัลแวร์จะกำหนดเวลาให้ทำงานทุกๆ 10 นาที ตามด้วยการติดต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดำเนินการรับคำสั่ง ซึ่งรวมถึงการรันไบนารี, DLL และ shell code ผ่าน PowerShell จากนั้นก็จะลบตัวมันเองออกจากระบบ

การค้นพบ Anchor เวอร์ชันใหม่ จะทำให้เกิด Backdoor ใหม่ๆที่ใช้ในการโจมตีด้วย Ransomware เพิ่มมากขึ้น

ในปัจจุบัน AnchorMail ยังพบการโจมตีเฉพาะบน Windows เท่านั้น แต่เนื่องจากพบว่า AnchorDNS ถูกนำไปใช้บน Linux เรียบร้อยแล้ว จึงทำให้ในอนาคตเราอาจพบ AnchorMail เวอร์ชัน Linux เกิดขึ้นได้เช่นกัน

ที่มา : thehackernews

Microsoft ได้พบ malware ตัวใหม่ที่ถูกใช้โดยกลุ่ม Nobelium ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds supply chain attacks เมื่อปีที่แล้ว โดยตัว Malware ดังกล่าวมีชื่อว่า FoggyWeb ที่ถูกขนานนามว่าเป็น Backdoor แบบ Passive และมีเป้าหมายที่อยู่ในระดับสูง FoggyWeb เป็น Malware ที่ออกแบบมาเพื่อช่วยให้ผู้โจมตีสามารถ-ขโมยข้อมูลที่สำคัญจาก Active Directory Federation Services (AD FS) ที่ถูกโจมตี หรือ decrypted token-signing certificate และ token-decryption certificate ตลอดจนใช้ดาวน์โหลด และเรียกใช้ malicious component จาก Command-and-Control (C2) Server และดำเนินการบน Server ที่ถูกโจมตี

ล่าสุดทาง Microsoft แจ้งเตือนให้กับลูกค้าที่ตกเป็นเป้าหมายหรือถูกโจมตีโดย Backdoor นี้แล้ว และได้ให้คำแนะนำดังนี้

1.ตรวจสอบโครงสร้างพื้นฐานภายในองค์กรและคลาวด์ว่ามีการกำหนดค่าต่าง ๆ ปลอดภัยหรือไม่ เช่นการตั้ง Group Policy สำหรับการใช้งานต่าง ๆ หรือ กำหนดสิทธิ์การเข้าถึงของผู้ใช้งานให้อยู่ในหลัก Least Privilege แล้วหรือไม่

2.ลบการเข้าถึงของผู้ใช้และแอป และตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และสร้าง Credentials ใหม่ตามแนวทาง documented industry best practices

3.ใช้ Hardware Security Module (HSM) ตามที่ได้อธิบายไว้ในการรักษาความปลอดภัยของ AD FS Server เพื่อป้องกันการถูกขโมยข้อมูลที่สำคัญโดย FoggyWeb

ที่มา: BleepingComputer

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews