Ryuk Ransomware Gang Uses Zerologon Bug for Lightning-Fast Attack

กลุ่ม Ryuk Ransomware นำช่องโหว่ Zerologon มาปรับใช้เพื่อทำการโจมตีระบบแล้ว

นักวิจัยจาก @TheDFIRReport ออกรายงานพบการโจมตีรูปแบบใหม่ของกลุ่ม Ryuk Ransomware ที่ได้นำช่องโหว่ Zerologon (CVE-2020-1472) มาปรับใช้ในการโจมตี ซึ่งทำให้กลุ่ม Ryuk Ransomware สามารถใช้เวลาในการเข้ารหัสทั้งโดเมนที่ถูกบุกรุกได้ในเวลาเพียงห้าชั่วโมง

นักวิจัยกล่าวว่าการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่มีมัลแวร์ Bazar loader จากนั้นผู้โจมตีจะทำการสำรวจระบบด้วยการใช้เครื่องมือ built-in ภายใน Windows เพื่อสำรวจระบบ จากนั้นจะใช้ประโยชน์จากช่องโหว่ของ Zerologon (CVE-2020-1472) เพื่อใช้ในการรีเซ็ตรหัสผ่านเครื่องของโดเมนคอนโทรลเลอร์ จากนั้นผู้โจมตีจะทำการเคลื่อนย้ายไปยังคอนโทรลเลอร์รองภายในระบบด้วย Server Message Block (SMB) และ Windows Management Instrumentation (WMI) ด้วยเครื่องมือ Cobalt Strike ซึ่งในขั้นตอนสุดท้ายของการโจมตีกลุ่ม Ryuk Ransomware ได้ติดตั้งแรนซัมแวร์ลงบนเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ที่เก็บข้อมูลสำรอง ตามด้วยเครื่องที่เหลือทั้งหมด

นักวิจัยยังกล่าวว่าผู้โจมตีสามารถบรรลุวัตถุประสงค์ของพวกเขาได้ในระยะเวลาอันสั้น โดยเหตุการณ์นับจากการโจมตีขั้นแรกด้วยการที่ผู้ใช้งานหลงกลอีเมลฟิชชิงทำให้ Bazar loader ทำงานจนถึงการปล่อยแรนซัมแวร์ใช้เวลาทั้งหมด 5 ชั่วโมงเท่านั้น ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตซ์ความปลอดภัยเพื่อเเก้ไขช่องโหว่ Zerologon เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

โดยผู้ที่สนใจรายงานดังกล่าวสามารถอ่านรายละเอียดได้จาก : thedfirreport 

ที่มา : threatpost

DarkHydrus Relies on Open-Source Tools for Phishing Attacks

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer