ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) แจ้งเตือนกลุ่มแฮ็กเกอร์ชาวรัสเซียชื่อ Sandworm ซึ่งกำลังใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ถูกเรียกว่า Follina ซึ่งมีหมายเลข CVE-2022-30190

โดยช่องโหว่ดังกล่าวเกิดขึ้นจากการเปิด หรือ preview เอกสารที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยผู้โจมตีเริ่มใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2022

หน่วยงานของยูเครนมั่นใจว่ากลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีดังกล่าวคือกลุ่ม Sandworm

เป้าหมายคือองค์กรประเภทสื่อ

CERT-UA กล่าวว่าแฮ็กเกอร์ชาวรัสเซียใช้การส่งอีเมลที่เป็นอันตรายโดยใช้ช่องโหว่ Follina และกำหนดเป้าหมายผู้รับมากกว่า 500 รายในองค์กรสื่อต่างๆในยูเครนรวมถึงสถานีวิทยุ และหนังสือพิมพ์

อีเมลมีหัวข้อ "LIST of links to interactive maps" และมีไฟล์แนบ .DOCX ที่มีชื่อเดียวกัน ซึ่งเมื่อเปิดไฟล์ โค้ด JavaScript จะดำเนินการเพื่อดึงข้อมูลเพย์โหลดที่ชื่อ "2.txt" ซึ่ง CERT-UA จัดอยู่ในประเภท "malicious CrescentImp"

CERT-UA ได้เผยแพร่ข้อมูล IOC ที่เกี่ยวข้องกับเหตุการณ์ดังกล่าว เพื่อช่วยให้หน่วยงานต่างๆระมัดระวังมัลแวร์ CrescentImp อย่างไรก็ตามยังไม่ชัดเจนว่า CrescentImp เป็นมัลแวร์ที่พัฒนามาจากมัลแวร์ตัวใดหรือไม่ หรือมันถูกสร้างขึ้นมาเพื่อการโจมตีครั้งนี้โดยเฉพาะ เนื่องจาก Hashes ของมัลแวร์ที่ CERT-UA ตรวจพบ ไม่เคยถูกพบมาก่อนบน Virus Total

พฤติกรรมของ Sandworm ในยูเครน

Sandworm ได้มุ่งเป้าหมายการโจมตีไปยังยูเครนอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา และความถี่ของการโจมตีก็เพิ่มขึ้นหลังจากการรุกรานของรัสเซียในยูเครน

ในเดือนเมษายน พบว่า Sandworm พยายามที่จะโจมตีผู้ให้บริการด้านพลังงานรายใหญ่ของยูเครน โดยกำหนดเป้าหมายไปยังสถานีไฟฟ้าย่อยด้วยมัลแวร์ Industroyer รุ่นใหม่

ในเดือนกุมภาพันธ์ นักวิจัยด้านความปลอดภัยค้นพบว่า Sandworm เป็นกลุ่มที่รับผิดชอบในการสร้าง และใช้งาน Cyclops Blink botnet ซึ่งเป็นมัลแวร์ที่มีความสามารถในการแฝงตัวอยู่บนระบบได้ดีมาก

เมื่อปลายเดือนเมษายน สหรัฐฯได้ตั้งรางวัลนำจับ 10,000,000 ดอลลาร์ให้กับผู้ที่สามารถช่วยระบุตัวสมาชิกของกลุ่ม Sandworm ทั้ง 6 คนได้

IOCs

Files:

cc27122efef26fa2b4cc5d30845704e7 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0 - СПИСОК_посилань_на_інтерактивні_карти.docx
106d1413f8768be03cb7dc982a1455f9 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297 - update.

ในวันจันทร์ที่ 30 พฤษภาคม 2022 ที่ผ่านมา มีการพบช่องโหว่หมายเลข CVE-2022-30190 ใน Microsoft Support Diagnostic Tool (MSDT) บน Windows ซึ่งเป็นช่องโหว่ในลักษณะการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เมื่อ MSDT ถูกเรียกใช้งานผ่าน URL จากแอปพลิเคชัน เช่น Microsoft Word

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถสั่งรันโค้ดได้ตามที่ต้องการด้วยสิทธิ์ของแอปพลิเคชันนั้นๆ เช่นการสั่งติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล รวมถึงสามารถสร้างบัญชีผู้ใช้ใหม่บนเครื่องเหยื่อได้

วิธีการลดผลกระทบจากช่องโหว่

ปิดการทำงานของ MSDT URL Protocol

การปิดการทำงานของ MSDT URL จะช่วยป้องกันไม่ให้ฟังก์ชันตัวแก้ไขปัญหาของ Microsoft ที่มีช่องโหว่ดังกล่าวถูกเปิดขึ้นมาใช้งานผ่านลิ้ง แต่ฟังก์ชันตัวแก้ไขปัญหาดังกล่าวยังทำงานได้อยู่ผ่านทาง Get Help application และใน system setting โดยสามารถปิดการทำงานของ MSDT ได้ดังนี้

เปิด Command Prompt ด้วยสิทธิ์ Administrator.

แฮ็กเกอร์สัญชาติจีนเริ่มการโจมตีโดยใช้ประโยชน์จากช่องโหว่ zero-day ของ Microsoft Office (หรือที่รู้จักในชื่อ 'Follina')

ช่องโหว่ RCE ดังกล่าวเกิดจาก Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190) ซึ่งส่งผลกระทบต่อทั้ง Windows client และ server ทั้งหมด

กลุ่ม Shadow Chaser ซึ่งเป็นนักวิจัยที่รายงาน zero-day นี้ครั้งแรกในเดือนเมษายนกล่าวว่า ในช่วงแรก Microsoft ประเมินว่าช่องโหว่นี้ไม่ถือว่าเป็น "ปัญหาด้านความปลอดภัย" แต่อย่างไรก็ตาม ในภายหลังกลับปิดเคส(ระบบสำหรับการแจ้งช่องโหว่กับ Microsoft) ว่าเป็นช่องโหว่ที่มีผลกระทบในแบบ Remote Code Execution

เริ่มพบการโจมตีเป็นวงกว้าง

เมื่อวันที่ 30 พ.ค. ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Proofpoint พบว่ากลุ่ม TA413 APT ซึ่งเป็นกลุ่มที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยการส่งไฟล์ Word ที่ถูก ZIP ไว้ผ่านแคมเปญชื่อ 'Women Empowerments Desk’ ของ Central Tibetan Administration และใช้โดเมน tibet-gov.