DNS Tunneling ถูกใช้เพื่อซ่อนการสแกนช่องโหว่ และติดตามอีเมลฟิชชิ่ง

DNS Tunneling กำลังถูกใช้เพื่อหลีกเลี่ยงมาตรการด้านความปลอดภัย โดยการซ่อนการรับส่งข้อมูลที่เป็นอันตรายในแพ็กเก็ต DNS ทำให้แฮ็กเกอร์สามารถขโมยข้อมูลที่สำคัญ, ซ่อนมัลแวร์ หรือการเชื่อมต่อกับ command-and-control เซิร์ฟเวอร์ได้

Unit 42 ของ Palo Alto Networks พบว่ากลุ่มผู้โจมตีกำลังใช้เทคนิค DNS Tunneling นอกเหนือจากการสร้างช่องทางสื่อสารกับ command-and-control เซิร์ฟเวอร์ และ VPN เช่น การสแกนหาช่องโหว่บนเครือข่าย และการประเมินผลสำเร็จของแคมเปญฟิชชิ่ง

DNS Tunneling สำหรับการติดตามแคมเปญการโจมตี

ตามรายงาน ผู้โจมตีกำลังใช้ประโยชน์จากเทคนิค DNS Tunneling เพื่อติดตามพฤติกรรมของเหยื่อที่เกี่ยวข้องกับการสแปม, ฟิชชิ่ง หรือโฆษณาต่าง ๆ และส่งข้อมูลของเหยื่อกลับไปยังโดเมนที่เป็นอันตราย

ตัวอย่างเช่น ในการโจมตีด้วยฟิชชิ่ง เทคนิค DNS Tunneling ช่วยให้ผู้โจมตีแฝงการติดตามข้อมูลลงใน DNS requests ทำให้ผู้โจมตีสามารถสังเกตการมีส่วนร่วมของเหยื่อกับเนื้อหาฟิชชิ่งที่อยู่บน Content Delivery Networks (CDNs) เพื่อดูว่าอีเมลฟิชชิ่งสำเร็จหรือไม่

พฤติกรรมนี้ถูกพบในแคมเปญ TrkCdn ซึ่งมีเป้าหมายเป็นเหยื่อ 731 ราย โดยใช้ 75 IP Addresses สำหรับ nameservers และในแคมเปญ SpamTracker ซึ่งมีเป้าหมายเป็นสถาบันการศึกษาของญี่ปุ่น โดยใช้ 44 โดเมนสำหรับ tunneling ด้วย IP 35.75.233.210 ทั้งสองแคมเปญใช้วิธีการสร้างชื่อโดเมน และการเข้ารหัสเป็นซับโดเมนแบบเดียวกัน

ผู้โจมตีใช้ประโยชน์จาก DNS logs เพื่อติดตามอีเมลของเหยื่อ และตรวจสอบผลการดำเนินการของแคมเปญ โดยมีการลงทะเบียนโดเมนใหม่ระหว่างเดือนตุลาคม 2020 และมกราคม 2024 ก่อนการเริ่มการโจมตี 2 ถึง 12 สัปดาห์ และทำการติดตามพฤติกรรมเป็นเวลา 9 ถึง 11 เดือน และยกเลิกหลังจากใช้งานมาหนึ่งปี

DNS Tunneling สำหรับการสแกนช่องโหว่

ผู้โจมตีสามารถใช้ DNS Tunneling เพื่อสแกนโครงสร้างพื้นฐานของเครือข่ายโดยการเข้ารหัส IP addresses และเวลาในการรับส่งข้อมูลผ่านทาง tunneling พร้อมกับการ spoofed IP addresses เพื่อค้นหา DNS resolvers ที่เปิดอยู่, ใช้ประโยชน์จากช่องโหว่ของตัว DNS resolver และดำเนินการโจมตีไปยัง DNS นั้น ๆ ซึ่งอาจนำไปสู่การเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย หรือการโจมตีแบบ Denial of Service (DoS)

วิธีการนี้ถูกพบในแคมเปญ "SecShow" ที่ผู้โจมตีสแกนโครงสร้างพื้นฐานของเครือข่ายเหยื่ออย่างต่อเนื่อง และดำเนินการโจมตีแบบ reflection attacks

นักวิจัยจาก Unit 42 ระบุว่า "โดยทั่วไปแล้ว แคมเปญนี้จะเน้นเป้าหมายไปที่ DNS resolver ที่เปิดอยู่ ดังนั้นจึงพบว่าเหยื่อส่วนใหญ่มาจากสถาบันการศึกษา, บริษัทเทคโนโลยี และหน่วยงานภาครัฐ ซึ่งเป็นที่ที่มักพบ DNS resolver เปิดใช้งานอยู่"

นอกจากนี้ ผู้โจมตีสามารถใช้เทคนิคเดียวกันนี้เพื่อติดตามเหยื่อหลายรายได้ และกำลังใช้ประโยชน์จาก DNS queries เพื่อตรวจหา configurations ที่ผิดพลาดในองค์กรเป้าหมาย ซึ่งอาจถูกนำไปใช้ในการโจมตีแบบ Denial of Service (DoS), ขโมยข้อมูล หรือติดตั้งมัลแวร์ได้

เพื่อป้องกันการโจมตี ควรมีการใช้งานซอฟต์แวร์ด้านความปลอดภัยที่สามารถตรวจจับรูปแบบ DNS traffic ที่ผิดปกติ และอัปเดตระบบปฏิบัติการ และแอปพลิเคชันอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ และระมัดระวังการคลิกลิงก์ที่น่าสงสัยในอีเมล หรือข้อความ

Indicators of Compromise

Domains used for DNS tunneling

85hsyad6i2ngzp[.]com
8egub9e7s6cz7n[.]com
8jtuazcr548ajj[.]com
anrad9i7fb2twm[.]com
aucxjd8rrzh7xf[.]com
b5ba24k6xhxn7b[.]com
cgb488dixfxjw7[.]com
d6zeh4und3yjt9[.]com
epyujbhfhbs35j[.]com
hhmk9ixaw9p3ec[.]com
hjmpfsamfkj5m5[.]com
iszedim8xredu2[.]com
npknraafbisrs7[.]com
patycyfswg33nh[.]com
rhctiz9xijd4yc[.]com
sn9jxsrp23x63a[.]com
swh9cpz2xntuge[.]com
tp7djzjtcs6gm6[.]com
uxjxfg2ui8k5zk[.]com
wzbhk2ccghtshr[.]com
y43dkbzwar7cdt[.]com
ydxpwzhidexgny[.]com
z54zspih9h5588[.]com
3yfr6hh9dd3[.]com
4bs6hkaysxa[.]com
66tye9kcnxi[.]com
8kk68biiitj[.]com
93dhmp7ipsp[.]com
api536yepwj[.]com
bb62sbtk3yi[.]com
cytceitft8g[.]com
dipgprjp8uu[.]com
ege6wf76eyp[.]com
f6kf5inmfmj[.]com
f6ywh2ud89u[.]com
h82c3stb3k5[.]com
hwa85y4icf5[.]com
ifjh5asi25f[.]com
m9y6dte7b9i[.]com
n98erejcf9t[.]com
rz53par3ux2[.]com
szd4hw4xdaj[.]com
wj9ii6rx7yd[.]com
wk7ckgiuc6i[.]com
secshow[.]net
secshow[.]online
secdns[.]site

IP addresses

35.75.233[.]210
202.112.47[.]45

ที่มา: hackread , DNS Tunneling

Ars Technica ถูกใช้ในแคมเปญมัลแวร์ด้วยเทคนิคการหลีกเลี่ยงการตรวจจับที่ไม่เคยถูกพบมาก่อน

 

นักวิจัยความปลอดภัยทางไซเบอร์จาก Mandiant ได้รายงานในวันอังคารที่ผ่านมาว่า Ars Technica ได้ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์ใน Stage ที่สอง ในแคมเปญการโจมตีที่ยังไม่เคยถูกพบมาก่อน เพื่อหลีกเลี่ยงการตรวจจับได้อย่างชาญฉลาด (more…)

Microsoft แจ้งเตือน ‘FalseFont’ Backdoor ตัวใหม่ มุ่งเป้าโจมตีอุตสาหกรรมการป้องกันประเทศ

องค์กรต่าง ๆ ในภาคอุตสาหกรรมการป้องกันประเทศ (DIB) ตกเป็นเป้าหมายของกลุ่มแฮ็กเกอร์ชาวอิหร่าน ซึ่งเป็นส่วนหนึ่งของแคมเปญที่ออกแบบมาเพื่อติดตั้ง Backdoor ตัวใหม่ที่ชื่อ FalseFont ซึ่ง Microsoft ตรวจพบจากการติดตามพฤติกรรมของกลุ่ม Peach Sandstorm (Holmium) ซึ่งเป็นที่รู้จักในชื่อ APT33, Elfin และ Refined Kitten

(more…)

มัลแวร์ EarlyRAT ตัวใหม่ เชื่อมโยงกับกลุ่มแฮ็กเกอร์ Andariel ของเกาหลีเหนือ

นักวิเคราะห์ด้านความปลอดภัยพบ remote access trojan (RAT) ชื่อ 'EarlyRAT' ซึ่งถูกใช้งานโดย Andariel ซึ่งเป็นกลุ่มย่อยของกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือที่ได้รับการสนับสนุนโดยรัฐบาล

Andariel (หรือที่รู้จักในชื่อ Stonefly) เป็นส่วนหนึ่งของกลุ่มแฮ็กเกอร์ Lazarus ที่รู้จักกันในการใช้ (more…)

แฮ็กเกอร์ใช้ extension บนเบราว์เซอร์ชื่อ ‘Rilide’ เพื่อ bypass 2FA ขโมยเงิน crypto [EndUser]

นักวิจัยด้านความปลอดภัยพบ extension ที่เป็นอันตรายตัวใหม่บนเบราว์เซอร์ที่ชื่อว่า 'Rilide' ซึ่งกำหนดเป้าหมายไปที่เบราว์เซอร์ที่ใช้ Chromium-based เช่น Google Chrome, Brave, Opera และ Microsoft Edge

โดยมัลแวร์ได้รับการออกแบบมาเพื่อตรวจสอบการใช้งานบนเบราว์เซอร์ บันทึกภาพหน้าจอ และขโมย cryptocurrency ผ่านทางสคริปต์ที่แทรกไว้ในหน้าเว็บ (more…)

เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews