FireEye แจ้งเตือนกลุ่มแฮกเกอร์โจมตีช่องโหว่ Zero day ใน Accellion FTA ขโมยข้อมูลไปเรียกค่าไถ่

FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

เงินดีเลยเอาด้วย FIN11 กระโดดร่วมวงแพร่กระจายมัลแวร์เรียกค่าไถ่แล้ว ใช้ Clop ransomware ช่วยหาเงิน

FireEye เปิดเผยความเคลื่อนไหวล่าสุดหลังจากมีการตรวจพบว่ากลุ่ม FIN11 ร่วมมีการปรับเปลี่ยนกลยุทธ์มาเน้นการแพร่กระจาย ransomware เพื่อหาเงิน รวมไปถึงมีการขู่ปล่อยข้อมูลโดยที่ไม่มีการใช้ ransomware ด้วย

FIN11 เป็นกลุ่มแฮกเกอร์ที่เป้าหมายคือเงินและเริ่มปฏิบัติการมาตั้งแต่ปี 2016 โดยในยุคแรกนั้นกลุ่ม FIN11 พุ่งเป้าโจมตีสถาบันทางการเงิน, กลุ่มร้านค้าและร้านอาหารด้วยการโจมตีระบบ Point of Sale (POS) อย่างไรก็ตามข้อมูลล่าสุดของ FieEye เปิดเผยว่ากลุ่ม FIN11 เริ่มมีเป้าหมายการโจมตีที่กว้างมากขึ้นและยังมีการใช้ ransomware ชื่อดังคือ Clop เข้ามาเป็นส่วนหนึ่งของปฏิบัติการ

Clop ransomware เป็นที่รู้จักกันว่าเป็น ransomware ที่ได้รับมักถูกใช้โดยกลุ่ม TA505 ซึ่งเป็นกลุ่มแฮกเกอร์ชื่อดังอีกกลุ่มหนึ่ง พฤติกรรมของ FIN11 และ TA505 ยังมีบางส่วนที่เหมือนกันเช่นการใช้โปรแกรมในการช่วยดาวโหลดมัลแวร์ตัวเดียวกัน ทั้งนี้ FireEye ยังคงกล่าวว่าความเหมือนของพฤติกรรมยังคงมีน้อยกว่าความแตกต่างและประวัติในการโจมตี ทำให้แฮกเกอร์สองกลุ่มนี้ยังไม่ถูกมองว่ามีความเกี่ยวข้องกับในลักษณะใด

จุดน่าสนใจของพฤติกรรมของ FIN11 อีกลักษณะหนึ่งคือ FIN11 พยายามเป็นอย่างยิ่งในทุกวิถีทางเพื่อให้ได้เงินมาจากเหยื่อ ในบาง incident ที่ FireEye เข้าให้บริการนั้นยังมีการตรวจพบว่า FIN11 มีการโจมตีเหยื่อเดิมซ้ำเพื่อเรียกค่าไถ่ด้วย

อ่านข้อมูลเพิ่มเติมเกี่ยวกับพฤติกรรมใหม่ของ FIN11 ได้จาก https://www.