กลุ่มแฮ็กเกอร์รัสเซียใช้เราเตอร์ Ubiquiti เพื่อแอบซ่อนตัวในระหว่างการโจมตี

กลุ่มแฮ็กเกอชาวร์รัสเซียกำลังใช้ Ubiquiti EdgeRouters ที่ถูกบุกรุกเพื่อหลบเลี่ยงการตรวจจับ

โดยกลุ่ม Military Unit 26165 ซึ่งเป็นส่วนหนึ่งของ Main Intelligence Directorate of the General Staff (GRU) ของรัสเซีย และเป็นที่รู้จักในชื่อ APT28 และ Fancy Bear ได้ใช้เราเตอร์ที่ถูกบุกรุก และได้รับความนิยมอย่างมากเหล่านี้ เพื่อสร้างบอตเน็ตซึ่งช่วยขโมยข้อมูล NTLMv2 และทำหน้าที่เป็นพร็อกซีสำหรับการดำเนินการที่เป็นอันตราย

นอกจากนี้ยังใช้เพื่อโฮสต์เครื่องมือที่สร้างขึ้นเอง รวมถึงหน้าเว็บฟิชชิ่ง ตลอดจนปฏิบัติการทางไซเบอร์ต่าง ๆ ที่มุ่งเป้าไปยังกองทัพ รัฐบาล และองค์กรอื่น ๆ ทั่วโลก

"EdgeRouters มักจะมาพร้อมกับ default credentials และไม่มีการป้องกันด้วยไฟร์วอลล์เพื่อรองรับผู้ให้บริการอินเทอร์เน็ตไร้สาย (WISP) นอกจากนี้ EdgeRouters จะไม่มีการอัปเดตเฟิร์มแวร์โดยอัตโนมัติ เว้นแต่ผู้ใช้จะอัปเดตด้วยตนเอง" FBI เตือน

"ด้วยการเข้าถึงสิทธิ์รูทของ Ubiquiti EdgeRouters กลุ่ม APT28 จะสามารถเข้าถึงระบบปฏิบัติการบน Linux ได้อย่างอิสระ เพื่อติดตั้งเครื่องมือ และสร้างความสับสนในขณะที่ดำเนินการแคมเปญที่เป็นอันตราย"

หลังจากตรวจสอบเราเตอร์ที่ถูกแฮ็ก FBI ค้นพบเครื่องมือต่าง ๆ ของ APT28 รวมถึงสคริปต์ Python สำหรับขโมยข้อมูล โปรแกรมที่ออกแบบมาเพื่อรวบรวมข้อมูล NTLMv2 และการกำหนดเส้นทางที่สร้างขึ้นเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลแบบฟิชชิ่งโดยอัตโนมัติ

APT28 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซีย ซึ่งถูกระบุว่ามีส่วนต่อการโจมตีทางไซเบอร์ที่มีชื่อเสียงหลายครั้งนับตั้งแต่เริ่มปฏิบัติการ พวกเขาอยู่เบื้องหลังการโจมตีคณะกรรมการรณรงค์หาเสียงของรัฐสภาประชาธิปไตย (DCCC) และคณะกรรมการประชาธิปไตยแห่งชาติ (DNC) ก่อนการเลือกตั้งประธานาธิบดีสหรัฐในปี 2016 และถูกตั้งข้อหาในสหรัฐอเมริกาเนื่องจากมีส่วนร่วมในการโจมตี DNC และ DCCC นอกจากนี้สภาสหภาพยุโรปยังได้คว่ำบาตรสมาชิก APT28 ในเดือนตุลาคม 2020 ฐานมีส่วนร่วมในการแฮ็กรัฐสภาเยอรมัน

วิธีกู้คืน Ubiquiti EdgeRouters ที่ถูกแฮ็ก

FBI และหน่วยงานพันธมิตรแนะนำมาตรการต่อไปนี้เพื่อกำจัดมัลแวร์ และบล็อกการเข้าถึงเราเตอร์ที่ถูกบุกรุกจากกลุ่ม APT28:

1. ทำการรีเซ็ตฮาร์ดแวร์เป็นค่าเริ่มต้นจากโรงงานเพื่อล้างระบบไฟล์ของไฟล์ที่เป็นอันตราย
2. อัปเกรดเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด
3. เปลี่ยนชื่อผู้ใช้ และรหัสผ่านเริ่มต้น
4. ใช้ Rules บนไฟร์วอลล์อินเทอร์เฟซฝั่ง WAN เพื่อป้องกันการเข้าถึงจากระยะไกลที่ไม่ได้รับอนุญาต

FBI กำลังตรวจสอบหาข้อมูลที่เกี่ยวข้องกับการดำเนินการของกลุ่ม APT28 บน EdgeRouters ที่ถูกแฮ็ก เพื่อป้องกันการโจมตีโดยใช้เทคนิคเหล่านี้ต่อไป

แฮ็กเกอร์ชาวรัสเซียเคยกำหนดเป้าหมายไปยังอุปกรณ์ Internet routing เพื่อใช้ในการโจมตีแบบ man-in-the-middle เพื่อสนับสนุนการจารกรรมข้อมูลของเหยื่ออย่างต่อเนื่อง และวางรากฐานสำหรับปฏิบัติการในครั้งต่อ ๆ ไป

ที่มา : https://www.

แฮ็กเกอร์รัสเซียใช้ฟีเจอร์ Ngrok และ WinRAR โจมตีสถานทูต

นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

Ransom Demands Return: New DDoS Extortion Threats From Old Actors Targeting Finance and Retail

Akamai security ออกเเจ้งเตือนถึงการขู่การโจมตี DDoS Attack ที่กำหมดเป้าหมายไปยังธุรกิจธนาคาร, การเงินและการค้าปลีก

ทีมวิจัย Security Intelligence Research Team (SIRT) จาก Akamai security intelligence & threat research ได้ออกมาเเจ้งเตือนถึงภัยคุกคามจากกลุ่มที่อ้างตัวว่าเป็นกลุ่ม Fancy Bear และ Armada Collective ซึ่งได้ทำการข่มขู่และตั้งเป้าหมายทำปฏิบัติการโจมตี DDoS Attack ในภาคธุรกิจธนาคาร, กลุ่มการเงินและธุรกิจการค้าปลีก

ทีม SIRT กล่าวว่าการข่มขู่นั้นเริ่มต้นจากอีเมลโดยมีข้อความระบุว่าถึงการเตือนการโจมตี DDoS Attack ที่กำลังจะเกิดขึ้นกับบริษัทเว้นแต่จะมีการจ่ายเงินค่าไถ่เป็น Bitcoin ซึ่งในบางกรณีอีเมลยังเตือนว่าหากมีการเปิดเผยข้อเรียกร้องเกี่ยวกับการโจมตีสู่สาธารณะเมื่อใดการโจมตีจะเริ่มต้นขึ้นทันที ข้อความลักษณะนี้นั้นมีความคล้ายคลึงกับแคมเปญขู่กรรโชกทรัพย์ด้วยการโจมตี DDoS Attack ล่าสุดที่ถูกบันทึกไว้ในเดือนพฤศจิกายน 2019

ในข้อเรียกร้องและการจ่ายเงินนั้นจะเห็นว่ากลุ่ม Armada Collective ต้องการค่าไถ่เริ่มต้นที่ 5 BTC และเพิ่มเป็น 10 BTC ถ้าหากเลยกำหนดเวลาจ่ายและจะเพิ่มขึ้น 5 BTC ในแต่ละวันหลังจากนั้น ส่วนกลุ่ม Fancy Bear นั้นจะเริ่มต้นที่ 20 BTC และจะเพิ่มเป็น 30 BTC หากเลยกำหนดเวลาจ่ายพร้อมกับเพิ่มอีก 10 BTC ในแต่ละวัน

ทั้งนี้ในอีเมล์ยังระบุว่าจะมีการทดสอบโจมตี DDoS Attack กับเป้าหมายเพื่อพิสูจน์ความร้ายเเรงของการโจมตีซึ้งผู้โจมตีอ้างว่าพวกเขาสามารถทำการโจมตี DDoS Attack ได้ถึง 2Tbps

Akamai SIRT ได้ออกข้อเเนะนำให้องค์กรหรือบริษัทที่ตกเป็นเป้าหมายไม่ให้ทำการจ่ายเงินค่าไถ่จากการข่มขู่เพราะไม่มีการรับประกันว่าผู้โจมตีที่ทำการข่มขู่นั้นจะหยุดการโจมตีและอาจเป็นการสนับสนุนให้ผู้โจมตีทำการโจมตีต่อองค์กรอื่นๆ ต่อไป ทั้งนี้องค์กรหรือบริษัทที่ตกเป็นเป้าหมายควรทำการวางเเผนที่เตรียมพร้อมสู่สถานะการถ้าหากเกิดการโจมตีว่าจะต้องมีขึ้นตอนการรับมือยังไง เจ้าหน้าที่ที่รับผิดชอบส่วนต่างๆ มีความพร้อมไหมรวมถึงถ้าหากเจ้าหน้าที่ที่รับผิดชอบเกิดการลาหรือเจ็บป่วยก็ควรต้องวางเเผนหาคนรับผิดชอบหน้าที่เเทน เพื่อเป็นการป้องกันและเตรียมพร้อมสู่สถานการณ์จริง

ที่มา : blogs.

How Microsoft Cleverly Cracks Down On “Fancy Bear” Hacking Group

การ hack กลุ่มแฮคเกอร์กลับนั้นไม่ใช่สิ่งที่ทาง Microsoft ผู้ซึ่งพยายามที่จะปกป้องลูกค้าจากเหล่าแฮคเกอร์ อาชญากรไซเบอร์ หรือกลุ่มที่ได้รับการสนับสนุนจากภาครัฐนั้นเลือกที่จะทำ ซึ่งทาง Microsoft เองเลือกที่จะใช้ตัวกฎหมายเป็นเครื่องมือในการจัดการกับแฮคเกอร์กลุ่มใหญ่ที่มีชื่อว่า Fancy Bear โดยทางองค์กรได้ทำการขโมยข้อมูลเซิร์ฟเวอร์จากความช่วยเหลือของตัวกฎหมาย Microsoft ให้ทีมกฎหมายฟ้อง Fancy Bear ในศาสสรัฐบาลกลางนอก Washington DC
Fancy Bear คือกลุ่ม hacker ที่รู้จักกันในอีกหลายๆ ชื่อ เช่น APT28, Sofacy, Sednit, และ Pawn Storm เริ่มมีการเคลื่อนไหวตั้งแต่ปี 2007 และเคยถูกกล่าวหาว่ามีส่วนเกี่ยวข้องกับการพยายามแฮคข้อมูลของคณะกรรมการพรรคเดโมแครต หรือ Democratic National Committee (DNC) เป็นที่เชื่อกันว่ากลุ่มแฮคเกอร์ดังกล่าวเกี่ยวข้องกับหน่วยสืบราชการลับของรัสเซียแม้ว่าทาง Microsoft ยังไม่พบการเชื่อมต่อใดๆ ระหว่างสองฝ่ายนี้ Fancy Bear เลือกจะที่ใช้ Domain Name ที่มีความคล้ายกับ domain ที่ทาง Microsoft ให้บริการอยู่ จึงทำให้ Microsoft สามารถใช้จุดนี้ทำให้กลุ่ม Fancy Bear ถูกนำตัวมาขึ้นศาล
ความตั้งใจของ Microsoft ไม่ใช่การนำตัวแฮคเกอร์เหล่านี้มาขึ้นศาล แต่ว่าต้องการที่จะเป็นเจ้าของ domain ของ Fancy Bear ซึ่งทำหน้าที่เป็น command-and-control เซิร์ฟเวอร์ ถึงแม้ว่า Microsoft จะไม่ได้สิทธิ์ครอบครองอย่างเต็มตัว แต่เมื่อปีที่ผ่านมาศาลตัดสินให้ Domain Name registrars ที่ชื่อ "compelling them to alter" ซึ่งเป็น DNS ของอย่างน้อย 70 domains ของ Fancy Bear ให้วิ่งไปที่เซิร์ฟเวอร์ที่ถูกควบคุมโดย Microsoft ซึ่งต่อมา Microsoft ใช้คดีความนี้เป็นเครื่องมือในการช่วยสร้าง Sinkhole Domains ซึ่งทำให้หน่วยอาชญากรรมดิจิตอลขององค์กรสามารถใช้เฝ้าสังเกตุการณ์พฤติกรรมได้

ที่มา : thehackernews