นักวิจัยจาก Cisco Talos ที่ทำงานร่วมกับตำรวจเนเธอร์แลนด์ได้รับเครื่องมือถอดรหัสของ Tortilla เวอร์ชันหนึ่งของตระกูล Babuk ransomware จนนำไปสู่การจับกุมกลุ่มแฮ็กเกอร์ที่ทำการโจมตี

Tortilla เป็นเวอร์ชันหนึ่งของตระกูล Babuk ransomware ที่แพร่กระจายอย่างรวดเร็วหลังจากซอร์สโค้ดของมัลแวร์ต้นฉบับถูกปล่อยใน Hacker forum (more…)

แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล

นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565

เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง

(more…)

หน่วยงานด้านความปลอดภัยทางไซเบอร์จากสหรัฐอเมริกาได้เปิดเผยมัลแวร์ตัวใหม่ที่ใช้โดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านในการโจมตีที่มุ่งเป้าไปยังรัฐบาล และเครือข่ายการค้าทั่วโลก

ข้อมูลนี้ได้รับการยืนยันเช่นเดียวกันจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) กองกำลังปฏิบัติการทางไซเบอร์แห่งชาติของสหรัฐฯ (CNMF) และศูนย์ความมั่นคงทางไซเบอร์แห่งชาติ (NCSC)

ในปีนี้กลุ่ม MuddyWater ถูกเปิดเผยว่ากำลังดำเนินการภายใต้ปฏิบัติการของกระทรวงข่าวกรอง และความมั่นคงของอิหร่าน (MOIS) ที่มุ่งเป้าไปยังองค์กรภาครัฐ และเอกชนหลายราย รวมถึงผู้ให้บริการโทรคมนาคม การป้องกันประเทศ รัฐบาลท้องถิ่น และภาคอุตสาหกรรมน้ำมัน และก๊าซธรรมชาติ ในเอเชีย แอฟริกา ยุโรป และอเมริกาเหนือ

กลุ่ม MuddyWater ยังเป็นที่รู้จักภายใต้ชื่อ Earth Vetala, MERCURY, Static Kitten, Seedworm และ TEMP.Zagros โดยมีเป้าหมายในการโจมตีทางไซเบอร์เพื่อสนับสนุนวัตถุประสงค์ของ MOIS มาตั้งแต่ปี 2018

(more…)

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.

พบช่องโหว่ร้ายแรงสามารถเข้าควบคุมเราเตอร์ D-Link ได้

ทีมนักวิจัยจากมหาวิทยาลัย Silesian ในประเทศโปแลนด์ได้พบช่องโหว่หลายรายการซึ่งส่งผลกระทบกับเราเตอร์ D-Link หลายรุ่นประกอบด้วย DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 และ DWR-921 โดยช่องโหว่ร้ายแรงสามารถทำให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้เลยทีเดียว

หนึ่งในช่องโหว่เป็น Directory Traversal (CVE-2018-10822) ส่งผลให้ผู้โจมตีสามารถเข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ ซึ่งก่อนหน้านี้ช่องโหว่เคยถูกรายงานมาแล้ว (CVE-2017-6190) แต่ทางผู้ผลิตล้มเหลวในการแก้ไขช่องโหว่ที่เกิดขึ้นบนผลิตภัณฑ์ของตนเองหลายรุ่น นอกจากนี้ยังมี

CVE-2018-10824 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์เก็บรหัสผ่านของ Admin ที่พบว่าไม่มีการเข้ารหัสด้วย โดยนักวิจัยไม่ได้เผยที่ตั้งไฟล์เพราะเกรงว่าจะเป็นการชี้ช่องทาง
CVE-2018-10823 เป็นช่องโหว่ที่ทำให้เกิดการรันคำสั่งและสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ หลังจากทำการ authenticate สำเร็จแล้ว

แม้ว่าทางบริษัทผู้ผลิตจะได้รับการแจ้งเตือนช่องโหว่ต่างๆ ตั้งแต่เดือนพฤษภาคมและให้สัญญาว่าจะออกแพตช์สำหรับเราเตอร์รุ่น DWR-116 และ DWR-111 พร้อมแจ้งเตือนสำหรับผลิตภัณฑ์ที่เก่าจนไม่ได้รับการรองรับแล้ว แต่จนบัดนี้ทาง D-Link ก็ยังไม่มีแพตช์ใดๆ ออกมาจนทำให้นักวิจัยตัดสินใจเผยรายละเอียดต่อสาธารณะ สำหรับผู้ใช้งานที่ได้รับผลกระทบควรไปตั้งค่าปิดการเข้าถึงเราเตอร์ผ่านอินเทอร์เน็ต

เช่นเดียวกับการค้นพบช่องโหว่ใน Linksys E-Series เร้าเตอร์ โดยนักวิจัยจาก Cisco Talos เป็นข้อผิดพลาดใน Injection Command ของระบบปฏิบัติการ ส่งผลให้สามารถเข้าถึงเครื่องและติดตั้งมัลแวร์ได้ ซึ่งข้อแตกต่างจากช่องโหว่ในผลิตภัณฑ์ D-Link คือสามารถโจมตีสำเร็จได้เมื่อทำการ authenticate แล้วเท่านั้น และได้มีการออกแพทช์เรียบร้อยแล้ว

ที่มา:securityweek

ทีม Cisco Talos ได้มีการประกาศถึงโปรเจคล่าสุดวันนี้โดยโปรเจคดังกล่าวนั้นเป็นโปรแกรมสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Thanatos ซึ่งเคยแพร่กระจายอยู่ในช่วงเดือนกุมภาพันธ์ที่ผ่านมา หลังจากที่มีการค้นพบว่ามัลแวร์เรียกค่าไถ่ Thanatos มีบั๊กในโปรแกรมทำให้ไม่สามารถถอดรหัสไฟล์ได้แม้จะถูกถอดรหัสไฟล์โดยผู้พัฒนามัลแวร์เอง

เมื่อเข้ารหัสไฟล์ มัลแวร์เรียกค่าไถ่ Thanatos จะทำการแก้ไขนามสกุลโดยต่อท้ายคำว่า ".THANATOS" ไปด้วย เป้าหมายของมัลแวร์เรียกค่าไถ่ Thanatos นั้นได้แก่ไฟล์หลายประเภททั้งไฟล์เอกสารทั่วไปไปจนถึงไฟล์ .VMDK หรือไฟล์ .LNK

ผู้ใช้งานที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ Thanatos สามารถดาวโหลดโปรแกรมถอดรหัสได้ที่ลิงค์ด้านล่าง โดยจะต้องติดตั้ง Microsoft Visual C++ Redistributable for Visual Studio 2017 ก่อนจึงจะสามารถรันในเครื่องที่ถูกเข้ารหัสเพื่อถอดรหัสไฟล์ได้

Thanatos Decryptor: https://github.

สำหรับผู้อ่านที่ยังไม่คุ้นเคยกับปฏิบัติการและมัลแวร์ VPNFilter เราแนะนำให้อ่านบทความ "เผยปฏิบัติการมัลแวร์ VPNFilter โจมตีอุปกรณ์เน็ตเวิร์กกว่า 500,000 เครื่องทั่วโลก" เพื่อความเข้าใจที่มากขึ้นครับ 🙂
หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
โมดูลการโจมตีใหม่
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

หลังจากการค้นพบปฏิบัติการและมัลแวร์ VPNFilter เมื่อช่วงพฤษภาคมที่ผ่านมาซึ่งพุ่งเป้าโจมตีอุปกรณ์กว่า 500,000 รายการทั่วโลก ทีม Cisco Talos ได้ประกาศข้อเท็จจริงและข้อมูลเพิ่มเติมเกี่ยวกับปฏิบัติการดังกล่าวเมื่อวานที่ผ่านมาซึ่งรวมไปถึงรายการอุปกรณ์ที่ได้รับผลกระทบเพิ่มเติมและโมดูลการโจมตีใหม่ที่ถูกค้นพบในมัลแวร์ด้วย
โมดูลการโจมตีใหม่
มัลแวร์ VPNFilter เป็นหนึ่งในมัลแวร์ที่ถูกระบุว่ามีความซับซ้อนและมีการทำงานอย่างเป็นระบบระเบียบที่แตกต่างกับมัลแวร์ชนิดอื่นอย่างชัดเจน หนึ่งในศิลปะที่มัลแวร์ VPNFilter ได้นำมาปรับใช้นั้นคือการทำงานแบบเป็นโมดูล (modular) ซึ่งทำให้ผู้โจมตีสามารถปรับแต่งการทำงานของมัลแวร์เมื่ออยู่ในระบบของเหยื่อได้อย่างอิสระและเป็นไปตามความต้องการ

ในรายงานฉบับแรกของ Cisco Talos ได้มีการระบุถึงโมดูลการทำงานของมัลแวร์ในขั้นตอนที่ 3 คือเมื่อมัลแวร์ประสบความสำเร็จในการฝังตัวในระบบและมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (Command & Control Server) แล้วทั้งหมด 2 โมดูล ได้แก่

โมดูลสำหรับการดักจับข้อมูล (Packet Sniffer) เป็นโมดูลที่ถูกออกแบบให้ดักจับและตรวจสอบหาข้อมูลสำคัญที่ถูกส่งผ่านอุปกรณ์เครือข่ายที่มัลแวร์ฝังตัวอยู่
โมดูลสำหรับการเข้าถึงเครือข่าย Tor เป็นโมดูลที่ถูกออกแบบมาเพื่อให้มัลแวร์สามารถใช้งานเครือข่าย Tor เพื่อรับ-ส่งข้อมูลได้

สำหรับโมดูลล่าสุดที่ Cisco Talos นั้นคือโมดูลสำหรับการสอดแทรกเนื้อหาอันตรายลงไปในข้อมูลที่ถูกรับ-ส่งในเครือข่าย โดยมีชื่อเรียกโมดูลว่า 'ssler'

การทำงานในเบื้องต้นของโมดูล ssler นั้น มีรายละเอียดดังต่อไปนี้

มัลแวร์จะทำการติดตั้งโมดูล ตั้งค่าและเริ่มการทำงานโมดูล โดยการตั้งค่าดังกล่าวจะเป็นการระบุให้โมดูลคอยดักจับและแก้ไขเนื้อหาของที่ถูกรับ-ส่งมาจากแหล่งใดบ้าง ซึ่งสามารถระบุได้ทั้งช่วงหมายเลขไอพีแอดเดรสและโดเมนเนม
มัลแวร์จะทำการแก้ไข iptables ของอุปกรณ์เพื่อเปลี่ยนเส้นทางข้อมูล HTTP ให้ไปยังเซอร์วิสที่มัลแวร์เปิดรอไว้ที่พอร์ต 8888
เมื่อทราฟิกของเครือข่ายถูกบังคับให้วิ่งผ่านเซอร์วิสของโมดูล ssler มัลแวร์สามารถดำเนินการแก้ไขเนื้อหาได้อย่างอิสระ ทั้งการเปลี่ยน https:// เป็น http://, ทำ sslstripping, หรือแก้ไขการตั้งค่า HTTP header ในลักษณะต่างๆ เพื่อให้คุณสมบัติด้านความปลอดภัยลดลง
โมดูล ssler จะทำการดึงข้อมูลสำคัญ อาทิ ชื่อผู้ใช้งานและรหัสผ่านที่ถูกส่งในรูปแบบ Basic Authentication หรือ HTTP POST request ใดๆ ที่ถูกส่งไปยัง accounts.

หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
วิธีการโจมตีอุปกรณ์เครือข่าย
เป้าหมายการโจมตี
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม
วิธีการโจมตีอุปกรณ์เครือข่าย
อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย
เป้าหมายการโจมตี
อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783
ตัวบ่งชี้ภัยคุกคาม
อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.

นักวิจัยด้านความปลอดภัยจาก Cisco Talos ตรวจพบการโจมตีโดยการใช้ประโยชน์จาก Google search-engine optimization (SEO) สำหรับการค้นหา Keywords ที่เกี่ยวข้องกับสถาบันการเงิน โดยใช้วิธีการยึดเว็บไซต์ และใช้มาโครสคริปส์ที่เป็นอันตรายในการแพร่กระจาย Zeus Panda banking Trojan เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้งาน
ซึ่งก่อนหน้านี้เคยพบการโจมตีโดยใช้ประโยชน์จาก SEO ในการแพร่กระจายมัลแวร์มาก่อนแล้ว แต่กลุ่มนี้มีการพุ่งเป้าไปยังผู้ใช้งานเฉพาะที่ต้องการค้นหาข้อมูลที่เกี่ยวข้องกับสถาบันการเงิน โดยการใช้ประโยชน์จากผลการจัดอันดับที่แสดงบน Google อย่าง SERP (Search Engine Result Page) เพื่อทำให้ผู้ค้นหาเห็นเว็ปไซต์ที่ต้องการเป็นอันดับแรก โดยเป้าหมายหลักในการโจมตีครั้งนี้จะเป็นลูกค้าในสถาบันการเงินอินเดีย, สวีเดน, ออสเตรเลีย และซาอุดิอาระเบีย นอกจากนี้กลุ่มผู้โจมตีได้ทำการกำหนดเป้าหมายไปยังกลุ่มผู้ใช้งานที่กำลังค้นหารายละเอียดเกี่ยวกับระบบ SWIFT ด้วย
อันดับแรกผู้โจมตีจะทำการยึดเว็ปไซต์จริง และทำการ Optimize เพื่อให้ได้ผลลัพธ์การค้นหาเป็นอันดับแรกจากคำค้นหาที่ต้องการ โดยตัวอย่างของคำค้นหา เช่น

"al rajhi bank working hours during ramadan"
"how many digits in karur vysya bank account number"
"free online books for bank clerk exam"
"how to cancel a cheque commonwealth bank"
"salary slip format in excel with formula free download" เป็นต้น

หากผู้ใช้เข้าถึงเว็บไซต์ที่มีการฝั่ง JavaScript ที่เป็นอันตรายเอาไว้ หน้าเว็บจะทำการ Redirect ไปยังหน้าเพจเพื่อทำการดาวน์โหลดไฟล์เอกสารที่เป็นอันตราย โดยผู้โจมตีจะพยายามหลอกให้ผู้ใช้หลงเชื่อเพื่อเปิดใช้งานมาโครสคริปส์ เมื่อผู้ใช้งานเปิดไฟล์เอกสาร และเปิดใช้งานมาโครสคริปส์ จะทำการดาวน์โหลด Zeus Panda มาติดตั้งบนเครื่อง

ที่มา : Hackread