VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

ผู้เชี่ยวชาญด้าน security นามว่า เจมส์ ควินน์ ได้พบกับ Cryptominers สายพันธุ์ใหม่ที่ชื่อว่า ZombieBoy ซึ่งอาจมีต้นกำเนิดมาจากประเทศจีน

ความสามารถของ ZombieBoy นั้นถือว่าหลากหลายมาก เช่น สามารถใช้เครื่องมือ Gh0st RAT เข้าจัดการไฟล์ dll(dynamic link library), ใช้งาน WinEggDrop ที่ทำให้แฮกเกอร์สามารถเข้าถึงคอมพิวเตอร์ที่ได้รับผลกระทบจากระยะไกลได้ และที่สำคัญคือสามารถลบเลี่ยงระบบ security ซึ่งรวมถึงช่องโหว่ RDP(Remote Desktop Protocol) รหัส CVE-2017-9073 และ Server Message Block Protocol) รหัส CVE-2017-0143 และ CVE-2017-0146 นอกจากการนี้ยังมีการใช้ DoublePulsar และ EternalBlue เพื่อสร้าง Backdoors สำหรับการติด Malware อื่นๆ ซึ่งสร้างความยากลำบากในการแก้ไขอย่างมาก

อีกหนึ่งความลำบากของการตรวจสอบ ZombieBoy คือไม่สามารถทำให้ ZombieBoy ทำงานบน VMs(virtual machines)ได้ ดังนั้นจึงไม่สามารถทำวิศวกรรมย้อนกลับ Malware ตัวนี้ได้

ที่มา:hackread