แฮ็กเกอร์กำลังโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical CVE-2022-22954 ซึ่งส่งผลกระทบกับ VMware Workspace ONE Access (เดิมเรียกว่า VMware Identity Manager)
ช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วจากการอัปเดตแพตซ์ด้านความปลอดภัยเมื่อ 20 วันก่อนพร้อมกับ RCE อีกสองรายการ CVE-2022-22957 และ CVE-2022-22958 ที่ส่งผลกระทบกับ VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation และ vRealize Suite Lifecycle Manage
ไม่นานหลังจากการเปิดเผยรายละเอียดของช่องโหว่ และมีโค้ด PoC ปล่อยออกมาสู่สาธารณะ ก็เริ่มพบการโจมตีตามมาทันที ซึ่งแฮ็กเกอร์จะมุ่งเป้าโจมตีไปยัง VMware ที่ยังไม่ได้ทำการอัพเดทแพตซ์ ซึ่งทาง VMware ก็ยืนยันว่า CVE-2022-22954 ถูกนำมาใช้ในการโจมตีแล้วจริงๆ
ปัจจุบันนักวิจัยจาก Morphisec ก็รายงานว่าพบการโจมตีช่องโหว่นี้จากกลุ่ม APT ที่ชื่อว่า APT35 หรืออีกชื่อหนึ่งคือ "Rocket Kitten"
รายละเอียดการโจมตี
เมื่อแฮ็กเกอร์โจมตีได้สำเร็จ จะเริ่มต้นด้วยการรันคำสั่ง PowerShell บน Identity Manager ที่มีช่องโหว่ จากนั้นก็จะทำการดาวน์โหลดตัว loader และโหลด Core Impact Agent จาก C2 Server ซึ่ง Core Impact Agent เป็น Pentest Tool ที่มีลักษณะคล้ายกันกับ Cobalt Strike ซึ่งถูกนำมาใช้ในการโจมตีของกลุ่มดังกล่าว
การโจมตีจาก APT35 (Morphisec)
Morphisec สามารถตรวจสอบหาที่อยู่ของ C2 Server และสามารถเชื่อมโยงเข้ากับบุคคลหนึ่งที่มีชื่อว่า Ivan Neculiti และบริษัทชื่อ Stark Industries ซึ่งทาง BleepingComputer พบความเชื่อมโยงของบริษัท 2-3 แห่งที่เกี่ยวข้องกับการฉ้อโกง แล้วพบว่ามีชื่อของ Neculiti เข้าไปเกี่ยวข้องด้วย รวมไปถึงบริษัทผู้ให้บริการ Hosting ที่ถูกกล่าวหาว่าให้การสนับสนุนเว็ปไซต์ที่ใช้ในการโจมตีดังกล่าว
ล่าสุด (26 เมษายน 12:04 PM) BleepingComputer ได้รับคำชี้แจงจากบริษัท P.Q. Hosting S.R.L สำนักงานใหญ่ในมอลโดวา และบริษัทแม่ของ Stark Industries ว่าบริษัทไม่มีส่วนเกี่ยวข้องกับการกระทำที่ผิดกฏหมายดังกล่าว
ที่มา : bleepingcomputer
