FBI ยึดฟอรัม BreachForums ที่ถูกใช้สำหรับซื้อขายข้อมูลที่ถูกขโมยมา

FBI ได้เข้ายึดเว็บไซต์ BreachForums ที่กำลังโด่งดังจากการซื้อขายข้อมูลรั่วไหล และข้อมูลองค์กรที่ถูกขโมยมาให้กับอาชญากรไซเบอร์รายอื่น

การเข้ายึดดังกล่าวเกิดขึ้นในเช้าวันพุธที่ผ่านมา (15 มีนาคม 2024) ไม่นานหลังจากที่เว็บไซต์ดังกล่าวถูกใช้เพื่อประกาศขายข้อมูลที่ถูกขโมยจากพอร์ทัลของหน่วยงานบังคับใช้กฎหมายของยุโรปเมื่อสัปดาห์ที่แล้ว

โดยปัจจุบันเว็บไซต์แสดงข้อความที่ระบุว่า FBI ได้เข้าควบคุมข้อมูล และระบบเบื้องหลัง ซึ่งแสดงให้เห็นว่าหน่วยงานบังคับใช้กฎหมายได้ยึดทั้งเซิร์ฟเวอร์ และโดเมนของเว็บไซต์

โดยข้อความระบุว่า “เว็บไซต์นี้ถูกปิดโดย FBI และ DOJ ด้วยความช่วยเหลือจากพันธมิตรระหว่างประเทศ”

“เรากำลังตรวจสอบข้อมูลระบบเบื้องหลังของเว็บไซต์นี้ หากใครมีข้อมูลที่จะรายงานเกี่ยวกับพฤติกรรมที่เข้าข่ายความผิดทางไซเบอร์บน BreachForums โปรดแจ้งให้เราทราบ”

ข้อความบนเว็บไซต์ยังแสดงรูปโปรไฟล์สองรูปของผู้ดูแลเว็บไซต์คือ Baphomet และ ShinyHunters ที่อยู่ด้านหลังลูกกรง

หากหน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลระบบเบื้องหลังของ BreachForums ได้จริง พวกเขาจะมีที่อยู่อีเมล, ที่อยู่ IP และข้อความส่วนตัวที่อาจเปิดเผยข้อมูลสมาชิก และใช้ในการสืบสวนของหน่วยงานบังคับใช้กฎหมาย

นอกจากนี้ FBI ยังได้ยึดช่องทาง Telegram ของเว็บไซต์ และช่องทางอื่น ๆ ที่เป็นของ Baphomet โดยหน่วยงานบังคับใช้กฎหมายได้ส่งข้อความที่ระบุว่าช่องทางดังกล่าวอยู่ภายใต้การควบคุมของพวกเขา

ข้อความบางส่วนที่โพสต์ไปยังช่องทาง Telegram ที่ถูกยึดโดยหน่วยงานบังคับใช้กฎหมายนั้นมาจากบัญชีของ Baphomet โดยตรง ซึ่งมีแนวโน้มว่าผู้ดูแลเว็บไซต์ถูกจับกุม และอุปกรณ์ของเขาตอนนี้อยู่ในมือของหน่วยงานบังคับใช้กฎหมายเรียบร้อยแล้ว

FBI กำลังขอให้เหยื่อ และบุคคลต่าง ๆ ติดต่อพวกเขาพร้อมข้อมูลเกี่ยวกับ BreachForums และสมาชิกเพื่อช่วยในการสืบสวน

ข้อความการเข้ายึดเว็บไซต์ รวมถึงวิธีการติดต่อ FBI เกี่ยวกับการยึดเว็บไซต์ดังกล่าว รวมถึงอีเมล, บัญชี Telegram, บัญชี TOX ตั้งอยู่ในโดเมนย่อยของศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3) ของ FBI โดยมีข้อความระบุว่า “สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กำลังสืบสวนฟอรัมการซื้อขายข้อมูลที่ผิดกฏหมายที่ชื่อว่า BreachForums และ Raidforums”

โดยตั้งแต่เดือนมิถุนายน 2023 ถึงเดือนพฤษภาคม 2024 BreachForums (โฮสต์ที่ breachforums.

FBI ขัดขวางการโจมตีของ Chinese Botnet ด้วยการจัดการ Router ที่ติด malware

FBI ขัดขวางการโจมตีของ Chinese Botnet ด้วยการจัดการ Router ที่ติด malware

FBI ได้ขัดขวางการโจมตีของ KV Botnet ที่ถูกใช้โดย Volt Typhoon ซึ่งเป็นกลุ่มที่ได้รับการสนันสนุนจากรัฐบาลจีน เพื่อหลบเลี่ยงการตรวจจับระหว่างการโจมตี โดยมีเป้าหมายการโจมตีไปยังโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

(more…)

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

FBI แจ้งเตือนถึงแนวโน้มที่เพิ่มขึ้นของการโจมตีด้วย Dual Ransomware ที่กำหนดเป้าหมายไปยังบริษัทในสหรัฐฯ

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) แจ้งเตือนถึงแนวโน้มใหม่ของการโจมตีด้วย Dual Ransomware ที่กำหนดเป้าหมายไปที่เหยื่อรายเดียวกัน ในช่วงตั้งแต่เดือนกรกฎาคม 2023

“ในระหว่างการโจมตีเหล่านี้ ผู้โจมตีทางไซเบอร์ได้ใช้แรนซัมแวร์ที่แตกต่างกันสองรูปแบบกับเหยื่อจาก Ransomware ดังต่อไปนี้ AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum และ Royal” FBI ระบุในการแจ้งเตือน

ยังไม่มีรายละเอียดเกี่ยวกับขนาดของแคมเปญการโจมตีดังกล่าว แม้ว่าจะเชื่อกันว่าการโจมตีดังกล่าวเกิดขึ้นในช่วงระยะเวลาใกล้เคียงกัน ตั้งแต่ระหว่าง 48 ชั่วโมง ไปจนถึงภายใน 10 วัน

การเปลี่ยนแปลงที่โดดเด่นอีกประการหนึ่งที่พบในการโจมตีด้วยแรนซัมแวร์ครั้งนี้คือ วิธีการในการโจรกรรมข้อมูล, wiper tools และมัลแวร์ประเภทต่าง ๆ ที่เพิ่มขึ้นเพื่อกดดันให้เหยื่อต้องยอมจ่ายเงิน

“การใช้ Dual Ransomware ลักษณะนี้ ส่งผลให้เกิดการผสมผสานในการเข้ารหัสข้อมูล การขโมยข้อมูล และความสูญเสียทางการเงินจากการจ่ายค่าไถ่ อีกทั้งการโจมตีแบบ Dual Ransomware สร้างผลกระทบกับระบบของเหยื่อเป็นอย่างมาก” เป็นที่น่าสังเกตว่าการโจมตีด้วย Dual Ransomware นั้นไม่ใช่เทคนิคใหม่ โดยมีการตรวจพบการโจมตีลักษณะนี้มาตั้งแต่ต้นเดือนพฤษภาคม 2021

เมื่อปีที่ผ่านมา Sophos รายงานว่าซัพพลายเออร์ด้านยานยนต์ที่ไม่เปิดเผยชื่อ ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ 3 ตัวซึ่งประกอบด้วย Lockbit, Hive และ BlackCat ในช่วงสองสัปดาห์ระหว่างเดือนเมษายนถึงพฤษภาคม 2022 จากนั้น เมื่อต้นเดือนที่ผ่านมา Symantec ให้รายละเอียดเกี่ยวกับการโจมตีด้วยแรนซัมแวร์ที่ชื่อ 3AM โดยกำหนดเป้าหมายไปที่เหยื่อที่ไม่เปิดเผยชื่อ ภายหลังจากการพยายามโจมตีด้วย LockBit ในเครือข่ายเป้าหมายไม่สำเร็จ

คำแนะนำสำหรับองค์กรต่าง ๆ ในการเพิ่มการป้องกันระบบ ดังนี้

ควรป้องกัน และรักษาข้อมูลด้วยการสำรองข้อมูลแบบออฟไลน์
ตรวจสอบการเชื่อมต่อระยะไกลจากภายนอก และการใช้โปรโตคอลรีโมทเดสก์ท็อปจากระยะไกล (RDP)
การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อป้องกันการถูกโจมตีแบบฟิชชิ่
ตรวจสอบบัญชีผู้ใช้ และการแบ่งเครือข่ายเพื่อป้องกันการแพร่กระจายของแรนซัมแวร์

ที่มา : thehackernews

NSA และ FBI แจ้งเตือนกลุ่ม Hacker ในชื่อ “Kimsuky” สวมรอยเป็นนักข่าวเพื่อขโมยข้อมูล

NSA และ FBI แจ้งเตือนการพบ Kimsuky (a.k.a APT43) กลุ่ม Hacker ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ได้ปลอมตัวเป็นนักข่าว และนักวิชาการ แล้วใช้การโจมตีแบบ spear-phishing เพื่อรวบรวมข้อมูลข่าวกรองจากองค์กรด้านนวัตกรรม ศูนย์วิจัย สถาบันการศึกษา และองค์กรสื่อต่าง ๆ

โดยการแจ้งเตือนดังกล่าวมาจากการที่หน่วยงานรัฐบาลหลายแห่งในสหรัฐอเมริกา และเกาหลีใต้ ซึ่งกำลังติดตามปฏิบัติการของ Hacker กลุ่มดังกล่าว รวมถึงวิเคราะห์รูปแบบการโจมตีของกลุ่ม ทั้งนี้หน่วยงานต่าง ๆ ที่ออกมาแจ้งเตือนประกอบไปด้วย ที่ปรึกษาร่วมจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กระทรวงการต่างประเทศสหรัฐฯ สำนักงานความมั่นคงแห่งชาติ (NSA) ร่วมกับหน่วยข่าวกรองแห่งชาติของเกาหลีใต้ (NIS) สำนักงานตำรวจแห่งชาติ (NPA) และกระทรวงการต่างประเทศ (MOFA)

Kimsuky นอกจากมีชื่อ APT43 แล้ว ยังเป็นที่รู้จักในชื่อ Thallium และ Velvet Chollima ได้ดำเนินแคมเปญจารกรรมขนาดใหญ่ ที่ได้รับการสนับสนุนจากหน่วยงานข่าวกรอง และสำนักงานลาดตระเวนทั่วไป (RGB) ของเกาหลีเหนือมาตั้งแต่ปี 2012 เป็นอย่างน้อย

การโจมตีด้วย Spear-phishing ที่ปลอมตัวเป็นนักข่าว

Kimsuky ได้เริ่มต้นการโจมตีด้วย spear-phishing โดยใช้ที่อยู่อีเมลที่ใกล้เคียงกับบุคคลจริง และสร้างเนื้อหาที่น่าเชื่อถือ และสมจริงสำหรับการสื่อสารกับเป้าหมาย ในหัวข้อต่าง ๆ ที่สังเกตได้ ได้แก่ การสอบถาม, การเชิญสัมภาษณ์, การสำรวจที่กำลังดำเนินอยู่ และการขอรายงาน หรือการตรวจสอบเอกสาร ซึ่งใน phishing Email จะเริ่มต้นโดยไม่มีมัลแวร์ หรือไฟล์แนบใด ๆ เนื่องจากต้องการได้รับความไว้วางใจจากเป้าหมาย หากเป้าหมายไม่ตอบกลับอีเมลเหล่านี้ Kimsuky จะกลับมาพร้อมข้อความติดตามหลังจากผ่านไปสองสามวัน

ทาง FBI พบว่าในอีเมลภาษาอังกฤษก็มีโครงสร้างประโยค และอาจมีข้อความที่ตัดตอนมาจากการสื่อสารครั้งก่อนของเหยื่อกับผู้ติดต่อที่ถูกต้องซึ่งถูกขโมยไป รวมถึงเมื่อเป้าหมายเป็นชาวเกาหลีใต้ ข้อความฟิชชิ่งอาจมีภาษาถิ่นของเกาหลีเหนือที่แตกต่างกัน นอกจากนี้ยังพบว่าที่อยู่ที่ใช้ในการส่งอีเมลฟิชชิ่งจะปลอมแปลงเป็นของบุคคล หรือหน่วยงานที่ถูกต้องตามกฎหมาย แต่มักจะมีการสะกดผิดเล็กน้อย

การป้องกัน Kimsuky

ทั้งนี้หน่วยงานต่างๆ ที่ออกมาแจ้งเตือน ได้ให้คำแนะนำในการป้องกันการโจมตีจาก Kimsuky ไว้ว่า

ควรมีชุดมาตรการลดผลกระทบ ซึ่งรวมถึงการใช้รหัสผ่านที่รัดกุมเพื่อป้องกันบัญชี และเปิดใช้งาน multi-factor authentication (MFA)
ผู้ใช้ไม่ควรเปิดใช้งาน Macro ในเอกสารในอีเมลที่ส่งโดยบุคคลที่ไม่รู้จัก
ตรวจสอบเอกสารที่ส่งจากบริการ cloud hosting services ที่รู้จักเท่านั้น
เมื่อมีข้อสงสัยเกี่ยวกับข้อความที่อ้างว่ามาจากกลุ่มสื่อหรือนักข่าว โปรดไปที่เว็บไซต์อย่างเป็นทางการขององค์กรนั้น และยืนยันความถูกต้องของข้อมูลติดต่อ

 

ที่มา : bleepingcomputer

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร ตั้งเว็บไซต์ DDoS-For-Hire ปลอมเพื่อหลอกจับกุมอาชญากรทางไซเบอร์

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)

สหรัฐฯ แฮ็กเซิร์ฟเวอร์ และสั่งปิดเว็บไซต์ของกลุ่มมัลแวร์เรียกค่าไถ่ REvil

การหายตัวไปของกลุ่มมัลแวร์เรียกค่าไถ่ REvil ในต้นสัปดาห์นี้ เป็นผลจากการร่วมมือกันของผู้บังคับใช้กฎหมายสหรัฐ และหน่วยงานจากหลายประเทศ

กลุ่มมัลแวร์เรียกค่าไถ่ REvil หรือที่รู้จักในอีกชื่อ Sodinokibi เป็นกลุ่มที่อยู่เบื้องหลังการโจมตี May cyberattack ที่ได้ทำการโจมตีบริษัท Colonial Pipeline ผู้ให้บริการเครือข่ายท่อส่งน้ำมันรายใหญ่ของสหรัฐ ซึ่งส่งผลให้เกิดการขาดแคลนน้ำมันเป็นวงกว้างในบริเวณชายฝั่งทางตะวันออกของสหรัฐอเมริกา

ทางการสหรัฐกล่าวว่าการโจมตีบริษัท Colonial Pipeline นั้นใช้ซอฟต์แวร์เข้ารหัสที่ชื่อว่า DarkSide ซึ่งถูกสร้างโดยผู้ที่เกี่ยวข้องกับ REvil

กลุ่มมัลแวร์เรียกค่าไถ่ REvil ปิดเซิร์ฟเวอร์ไปครั้งแรก เมื่อเดือนกรกฎาคม ซึ่งเป็นช่วงเดียวกันกับที่มีการกดดันให้รัสเซียดำเนินการจัดการกับกลุ่มมัลแวร์เรียกค่าไถ่ ภายในประเทศ และเซิร์ฟเวอร์ของกลุ่มได้กลับมาออนไลน์อีกครั้งในเดือนกันยายนจนถึงปัจจุบัน ก่อนจะถูกปิดไปอีกครั้งโดยหน่วยงานของสหรัฐฯ

ผู้ที่ถูกกล่าวหาว่าเป็นตัวแทนของกลุ่ม REvil กล่าวว่ามีบุคคลที่ไม่ทราบตัวตน ได้เข้าถึงระบบภายในของเว็บไซต์บางส่วนของกลุ่ม REvil ได้แก่ Landing page และ Blog ทำให้เขาคาดว่า ข้อมูลสำรอง (Backups) ของเว็บไซต์ และ Key สำหรับจัดการกับ Onion service นั้นถูกบุคคลที่สามเข้าถึงได้แล้ว

แหล่งข่าวไม่เปิดเผยตัวรายหนึ่งบอกกับสำนักข่าว Reuters ว่าบุคคลที่ไม่ทราบตัวตน และเป็นคนลงมือแฮ็กเซิร์ฟเวอร์ของ REvil นั้นเป็นชาวต่างชาติที่ร่วมมือกับสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) กองบัญชาการไซเบอร์ (U.S. Cyber Command) หน่วยสืบราชการลับ (Secret Service) และรัฐบาลของอีกหลายประเทศที่ไม่ได้เปิดเผยชื่อ “เอฟบีไอ ร่วมมือกับ กองบัญชาการไซเบอร์ หน่วยสืบราชการลับ และประเทศอื่น ๆ ที่มีความตั้งใจแบบเดียวกัน ได้มีส่วนร่วมสำคัญในการช่วยกันจัดการกับกลุ่มแฮ็กเกอร์ลักษณะนี้ โดย REvil นั้นอยู่ในอันดับต้น ๆ ของลิสต์เลย” กล่าวโดย Kellermann ที่ปรึกษาของหน่วยสืบราชการลับ

รายงานยังกล่าวว่า ทางสหรัฐฯ ได้ทำการแฮ็กเข้าไปยังระบบ Network infrastructure ของกลุ่ม REvil ได้สำเร็จ และสามารถเข้าควบคุมเครื่องเซิร์ฟเวอร์บางส่วนได้ตั้งแต่เดือนกรกฎาคม ช่วงเดียวกับที่ทางกลุ่ม REvil ประกาศยุติการดำเนินการ และเมื่อช่วงเดือนกันยายน ทางกลุ่ม REvil ได้ทำการ Restore เซิร์ฟเวอร์เว็บไซต์ให้กลับมาใช้งานได้ด้วยข้อมูลสำรอง (Backups) ซึ่งทางกลุ่มไม่รู้เลยว่าได้ไป Restart ระบบภายในบางอย่างซึ่งอยู่บน Server ที่ถูกเข้าควบคุมโดยแฮ็กเกอร์ที่ร่วมมือกับสหรัฐแล้ว ทำให้ทางการตรวจพบและได้สั่งปิด Service ของกลุ่ม REvil ไปในต้นสัปดาห์นี้ ทางการยังกล่าวอีกว่าขณะนี้ก็ยังทำการเจาะระบบของ REvil อยู่อย่างต่อเนื่อง

ทาง FBI และรัฐบาลสหรัฐฯ ปฏิเสธที่จะให้ความเห็นเกี่ยวกับเรื่องนี้ เพี่ยงแต่ระบุว่าตั้งใจจะจัดการกับปัญหามัลแวร์เรียกค่าไถ่กลุ่มนี้ และมัลแวร์เรียกค่าไถ่อื่น ๆ ที่โจมตีระบบโครงสร้างพื้นฐานสำคัญของประเทศ โดยจัดอยู่ลำดับเดียวกันกับภัยความมั่นคงแห่งชาติ เช่นเดียวกับการก่อการร้าย

 

ที่มา: siliconangle.

กลุ่มรวมยอดมนุษย์ของรัฐบาลสหรัฐฯ Cyber Unified Coordination Group ยืนยันว่าอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลังการโจมตี SolarWinds เชื่อเป้าหมายคือการรวบรวมข่าวกรอง

กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.

FBI และ NSA ร่วมออกรายงานแจ้งเตือนมัลแวร์ตัวใหม่ใน Linux “Drovorub” คาดถูกใช้โดยแฮกเกอร์ที่รัฐบาลรัสเซียหนุนหลัง

เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ได้ออกประกาศ Private Industry Notification (PIN) เพื่อเเจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากข้อบกพร่องในช่องโหว่ CVE-2020-5902 ที่มีคะเเนนความรุนเเรงของช่องโหว่ CVSS: 10/10 โดยช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลโดยไม่ผ่านการตรวจสอบความถูกต้องและช่องโหว่จะส่งผลต่ออุปกรณ์ F5 Big-IP Application Delivery Controller (ADC)

FBI กล่าวว่ากลุ่มแฮกเกอร์ชาวอิหร่านถูกตรวจพบว่ามีการพยายามโจมตีภาคเอกชนและรัฐบาลของสหรัฐฯ โดยใช้ประโยชน์จากช่องโหว่ที่ถูกพบตั้งแต่ต้นเดือนกรกฎาคม 2563 ทำการโจมตีอุปกรณ์ Big-IP ADC ที่ไม่ได้รับการอัปเดตเเพตซ์การติดตั้ง

FBI ยังกล่าวอีกว่าหลังจากกลุ่มแฮกเกอร์ทำการบุกรุกสำเร็จพวกเขาจะใช้ Webshell, Mimikatz, NMAP และเครื่องมืออื่นๆ เพื่อทำการหาประโยชน์และทำการบุกรุกภายในเครือข่ายรวมถึงการปรับใช้ช่องโหว่ร่วมกับ Ransomware ในการโจมตีภายในเครือข่าย

FBI ได้ขอแนะนำผู้ดูแลระบบรีบทำการเเพตซ์ช่องโหว่ดังกล่าวให้เร็วที่สุดเพื่อป้องกันการโจมตีโดยใช้ประโยชน์จากช่องโหว่ ทั้งนี้ F5 มีสคริปชื่อ CVE-2020-5902 Detection Tool สำหรับแสกนหา IoCs ในระบบ ว่าถูกโจมตีแล้วหรือยัง ซึ่งสามารถเข้าไปดาวน์โหลดได้ที่: https://github.