นักวิจัยพบ Backdoors และเครื่องมือสอดแนมที่ถูกสร้างขึ้นเองโดย Polonium Hackers

กลุ่มผู้คุกคามที่ชื่อว่า Polonium ซึ่งเชื่อมโยงกับการโจมตีที่มีเป้าหมายระดับสูงจำนวนมาก โดยมุ่งเป้าไปที่หน่วยงานของประเทศอิสราเอล และพบว่ามีการใช้ Backdoors ที่ถูกสร้างขึ้นเองกว่า 7 รูปแบบที่แตกต่างกันตั้งแต่เดือนกันยายน 2564

บริษัทรักษาความปลอดภัยเครือข่าย ESET ระบุว่าการโจมตีเหล่านี้มุ่งเป้าไปยังองค์กรในลักษณะต่างๆ เช่น วิศวกรรม เทคโนโลยีสารสนเทศ กฎหมาย การสื่อสาร การสร้างแบรนด์ และการตลาด สื่อ การประกันภัย และบริการทางสังคม

โดย Polonium เป็นชื่อที่เกี่ยวกับองค์ประกอบทางเคมีที่ Microsoft เป็นคนตั้งให้กับกลุ่มดัวบก่าว ซึ่งคาดว่ามีฐานปฏิบัติการอยู่ในเลบานอน และมีเป้าหมายเป็นองค์กรในอิสราเอลโดยเฉพาะ

พฤติกรรมของกลุ่มนี้เกิดขึ้นครั้งแรกเมื่อต้นเดือนมิถุนายน เมื่อ Microsoft ระบุว่าได้ระงับบัญชี OneDrive ที่เป็นอันตรายมากกว่า 20 บัญชีที่ถูกสร้างโดยผู้โจมตี เพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2)

หัวใจสำคัญของการโจมตีคือการติดตั้ง CreepyDrive และ CreepyBox เพื่อใช้ในการขโมยข้อมูลที่มีความสำคัญออกไปยังบัญชี OneDrive และ Dropbox ที่ถูกควบคุมโดยผู้โจมตี และยังพบว่ามีการใช้ backdoor PowerShell ที่มีชื่อว่า CreepySnail

การค้นพบล่าสุดของ ESET เกี่ยวกับ backdoor ที่ไม่เคยถูกพบก่อนหน้านี้อีก 5 รายการ ทำให้กลุ่มดังกล่าวน่าสนใจมากขึ้น เนื่องจากมีการพัฒนาปรับแต่ง และปรับปรุงมัลแวร์อย่างต่อเนื่อง

เวอร์ชัน และการเปลี่ยนแปลงมากมายที่ Polonium นํามาใช้ แสดงให้เห็นถึงความพยายามในการสอดแนมเป้าหมายของกลุ่ม" Matías Porolli นักวิจัยของ ESET ระบุ "แต่ดูเหมือนว่ากลุ่มดังกล่าวจะไม่มีการดำเนินการในลักษณะของแรนซัมแวร์"

รายการ hacking tools มีดังนี้

CreepyDrive/CreepyBox - backdoor PowerShell อ่าน และรันคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ใน OneDrive หรือ Dropbox
CreepySnail - backdoor PowerShell ที่ได้รับคำสั่งจากเซิร์ฟเวอร์ C2 ของผู้โจมตี
DeepCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบัญชี Dropbox และใช้ขโมยข้อมูลออกไป
MegaCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบริการจัดเก็บข้อมูลบนคลาวด์ขนาดใหญ่
FlipCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในเซิร์ฟเวอร์ FTP และใช้ขโมยข้อมูลออกไป
TechnoCreep - backdoor C# ที่ใช้ติดต่อกับเซิร์ฟเวอร์ C2 ผ่าน TCP เพื่อรันคำสั่ง และใช้ขโมยข้อมูลออกไป
PapaCreep - backdoor C ++ ที่สามารถรับ และรันคำสั่งจากเซิร์ฟเวอร์ภายนอกผ่าน TCP
PapaCreep ถูกค้นพบเมื่อเดือนกันยายน 2565 เป็นมัลแวร์ที่มีส่วนประกอบ 4 ส่วนที่แตกต่างกันสำหรับการเรียกใช้คำสั่ง และส่งคำสั่ง output รวมทั้งอัปโหลด และดาวน์โหลดไฟล์

นักวิจัยของ ESET ระบุว่า ได้ค้นพบโมดูลอื่น ๆ เช่นการบันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ ถ่ายภาพผ่านเว็บแคม และ reverse shell

แม้จะมีมัลแวร์จำนวนมากที่ใช้ในการโจมตี แต่ช่องทางที่ใช้ในการเข้าถึงในขั้นตอนแรกยังไม่เป็นที่ทราบแน่ชัด แม้จะมีข้อสงสัยว่าอาจเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ของ VPN

"โมดูลที่เป็นอันตรายส่วนใหญ่มีขนาดเล็ก มีฟังก์ชันการทำงานที่จำกัด ผู้โจมตีจะแบ่งโค้ด backdoor โดยแบ่งฟังก์ชันการทำงานที่เป็นอันตรายไปยัง DLLs ที่มีขนาดเล็ก โดยคาดหวังว่าการป้องกัน หรือนักวิจัยจะไม่สังเกตเห็นการโจมตีได้ทั้งหมด"

ที่มา : thehackernews.

แฮ็กเกอร์กำลังโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical CVE-2022-22954 ซึ่งส่งผลกระทบกับ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)

ช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วจากการอัปเดตแพตซ์ด้านความปลอดภัยเมื่อ 20 วันก่อนพร้อมกับ RCE อีกสองรายการ CVE-2022-22957 และ CVE-2022-22958 ที่ส่งผลกระทบกับ VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation และ vRealize Suite Lifecycle Manage

ไม่นานหลังจากการเปิดเผยรายละเอียดของช่องโหว่ และมีโค้ด PoC ปล่อยออกมาสู่สาธารณะ ก็เริ่มพบการโจมตีตามมาทันที ซึ่งแฮ็กเกอร์จะมุ่งเป้าโจมตีไปยัง VMware ที่ยังไม่ได้ทำการอัพเดทแพตซ์ ซึ่งทาง VMware ก็ยืนยันว่า CVE-2022-22954 ถูกนำมาใช้ในการโจมตีแล้วจริงๆ

ปัจจุบันนักวิจัยจาก Morphisec ก็รายงานว่าพบการโจมตีช่องโหว่นี้จากกลุ่ม APT ที่ชื่อว่า APT35 หรืออีกชื่อหนึ่งคือ "Rocket Kitten"

รายละเอียดการโจมตี

เมื่อแฮ็กเกอร์โจมตีได้สำเร็จ จะเริ่มต้นด้วยการรันคำสั่ง PowerShell บน Identity Manager ที่มีช่องโหว่ จากนั้นก็จะทำการดาวน์โหลดตัว loader และโหลด Core Impact Agent จาก C2 Server ซึ่ง Core Impact Agent เป็น Pentest Tool ที่มีลักษณะคล้ายกันกับ Cobalt Strike ซึ่งถูกนำมาใช้ในการโจมตีของกลุ่มดังกล่าว

การโจมตีจาก APT35 (Morphisec)
Morphisec สามารถตรวจสอบหาที่อยู่ของ C2 Server และสามารถเชื่อมโยงเข้ากับบุคคลหนึ่งที่มีชื่อว่า Ivan Neculiti และบริษัทชื่อ Stark Industries ซึ่งทาง BleepingComputer พบความเชื่อมโยงของบริษัท 2-3 แห่งที่เกี่ยวข้องกับการฉ้อโกง แล้วพบว่ามีชื่อของ Neculiti เข้าไปเกี่ยวข้องด้วย รวมไปถึงบริษัทผู้ให้บริการ Hosting ที่ถูกกล่าวหาว่าให้การสนับสนุนเว็ปไซต์ที่ใช้ในการโจมตีดังกล่าว

ล่าสุด (26 เมษายน 12:04 PM) BleepingComputer ได้รับคำชี้แจงจากบริษัท P.Q. Hosting S.R.L สำนักงานใหญ่ในมอลโดวา และบริษัทแม่ของ Stark Industries ว่าบริษัทไม่มีส่วนเกี่ยวข้องกับการกระทำที่ผิดกฏหมายดังกล่าว

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon

โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท

ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile

ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)

ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว

การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่

หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers

Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ

(more…)

นักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ตรวจพบการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ขององค์กรของรัฐบาลคูเวต โดยในกิจกรรมการโจมตีดังกล่าวนักวิจัยได้พบแบ็คดอร์ Powershell สองตัวที่ไม่เคยเห็นมาก่อน ซึ่งนักวิจัยพบการโจมตีนี้มีความเชื่อมโยงกับกลุ่มภัยคุกคาม xHunt

นักวิจัยกล่าวว่าแบ็คดอร์ที่ถูกค้นพบใหม่ทั้งสองตัวถูกติดตั้งบนเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกบุกรุก โดยแบ็คดอร์ถูกพบใน Scheduled tasks ที่ถูกสร้างโดยผู้โจมตี ซึ่งไฟล์ที่ถูกพบจะเรียกพยายามใช้สคริปต์ PowerShell ที่เป็นอันตราย โดยชื่อของไฟล์แบ็คดอร์ทั้งสองตัวนั้นคือ “TriFive" และ "Snugy"

แบ็คดอร์ตัวแรก TriFive เป็นแบ็คดอร์ที่ใช้ในการเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange โดยใช้การเข้าสู่อินบ็อกของผู้ใช้ที่อยู่ภายในระบบและจะทำการรันสคริปต์ PowerShell จาก Draft อีเมลภายในโฟลเดอร์อีเมลที่ถูกลบ

แบ็คดอร์ตัวที่สอง Snugy เป็นแบ็คดอร์ที่ใช้ในการทำ DNS-tunneling เพื่อเรียกใช้คำสั่งบนเซิร์ฟเวอร์ที่ถูกบุกรุก โดย DNS tunneling จะช่วยให้ผู้โจมตีสามารถทำการเชื่อมต่อข้อมูลโดยใช้โปรโตคอล DNS ซึ่งจะทำให้ผู้โจมตีสามารถใช้เป็นช่องทางในการสื่อสารกับเซิร์ฟเวอร์ที่เป็นอันตรายภายนอกของผู้โจมตี

นักวิจัยยังกล่าวอีกว่าโค้ดต่างๆ ที่อยู่ภายในแบ็คดอร์ Snugy นั้นมีความคล้ายคลึงกับแบ็คดอร์ CASHY200 ที่ถูกใช้โดยกลุ่ม xHunt ซึ่งนักวิจัยได้สันนิษฐานการโจมตีครั้งนี้น่าจะมีความเกี่ยวโยงกัน ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์หรือเปิดไฟล์ที่แนบมากับอีเมลเพื่อป้องกันการฟิชชิงด้วยอีเมล

ที่มา: threatpost.

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.