แฮ็กเกอร์ชาวรัสเซียเริ่มโจมตีเป้าหมายในยูเครนด้วยช่องโหว่ Follina

ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) แจ้งเตือนกลุ่มแฮ็กเกอร์ชาวรัสเซียชื่อ Sandworm ซึ่งกำลังใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ถูกเรียกว่า Follina ซึ่งมีหมายเลข CVE-2022-30190

โดยช่องโหว่ดังกล่าวเกิดขึ้นจากการเปิด หรือ preview เอกสารที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยผู้โจมตีเริ่มใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2022

หน่วยงานของยูเครนมั่นใจว่ากลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีดังกล่าวคือกลุ่ม Sandworm

เป้าหมายคือองค์กรประเภทสื่อ

CERT-UA กล่าวว่าแฮ็กเกอร์ชาวรัสเซียใช้การส่งอีเมลที่เป็นอันตรายโดยใช้ช่องโหว่ Follina และกำหนดเป้าหมายผู้รับมากกว่า 500 รายในองค์กรสื่อต่างๆในยูเครนรวมถึงสถานีวิทยุ และหนังสือพิมพ์

อีเมลมีหัวข้อ "LIST of links to interactive maps" และมีไฟล์แนบ .DOCX ที่มีชื่อเดียวกัน ซึ่งเมื่อเปิดไฟล์ โค้ด JavaScript จะดำเนินการเพื่อดึงข้อมูลเพย์โหลดที่ชื่อ "2.txt" ซึ่ง CERT-UA จัดอยู่ในประเภท "malicious CrescentImp"

CERT-UA ได้เผยแพร่ข้อมูล IOC ที่เกี่ยวข้องกับเหตุการณ์ดังกล่าว เพื่อช่วยให้หน่วยงานต่างๆระมัดระวังมัลแวร์ CrescentImp อย่างไรก็ตามยังไม่ชัดเจนว่า CrescentImp เป็นมัลแวร์ที่พัฒนามาจากมัลแวร์ตัวใดหรือไม่ หรือมันถูกสร้างขึ้นมาเพื่อการโจมตีครั้งนี้โดยเฉพาะ เนื่องจาก Hashes ของมัลแวร์ที่ CERT-UA ตรวจพบ ไม่เคยถูกพบมาก่อนบน Virus Total

พฤติกรรมของ Sandworm ในยูเครน

Sandworm ได้มุ่งเป้าหมายการโจมตีไปยังยูเครนอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา และความถี่ของการโจมตีก็เพิ่มขึ้นหลังจากการรุกรานของรัสเซียในยูเครน

ในเดือนเมษายน พบว่า Sandworm พยายามที่จะโจมตีผู้ให้บริการด้านพลังงานรายใหญ่ของยูเครน โดยกำหนดเป้าหมายไปยังสถานีไฟฟ้าย่อยด้วยมัลแวร์ Industroyer รุ่นใหม่

ในเดือนกุมภาพันธ์ นักวิจัยด้านความปลอดภัยค้นพบว่า Sandworm เป็นกลุ่มที่รับผิดชอบในการสร้าง และใช้งาน Cyclops Blink botnet ซึ่งเป็นมัลแวร์ที่มีความสามารถในการแฝงตัวอยู่บนระบบได้ดีมาก

เมื่อปลายเดือนเมษายน สหรัฐฯได้ตั้งรางวัลนำจับ 10,000,000 ดอลลาร์ให้กับผู้ที่สามารถช่วยระบุตัวสมาชิกของกลุ่ม Sandworm ทั้ง 6 คนได้

IOCs

Files:

cc27122efef26fa2b4cc5d30845704e7 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0 - СПИСОК_посилань_на_інтерактивні_карти.docx
106d1413f8768be03cb7dc982a1455f9 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297 - update.

CERT/CC Reports Microsoft Exchange 2013 and Newer are Vulnerable to NTLM Relay Attacks

CERT/CC ได้เผยข้อมูลรายละเอียดช่องโหว่การโจมตี NTLM Relay ที่มีผลต่อ Microsoft Exchange 2013 และ Microsoft Exchange เวอร์ชันที่ใหม่กว่า ซึ่งทำให้อาชญากรไซเบอร์สามารถโจมตีจากระยะไกล (remote attacker) เพื่อใช้ช่องโหว่นี้เข้ามาควบคุมระบบของเครื่องเป้าหมายได้
แนะนำให้ผู้ใช้และผู้ดูแลระบบเข้าไปตรวจสอบรายละเอียดของช่องโหว่ VU#465632 เพิ่มเติมได้ที่ https://www.