บทสรุปจาก FireEye M-Trends 2020: จงทำดียิ่งๆ ขึ้นไป

หากถามความเห็นของทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) ของบริษัท ไอ-ซีเคียว จำกัด ว่าการรับมือและตอบสนองภัยคุกคามในลักษณะไหนที่เราอยากทำให้ได้ หรือทีมในการรับมือและตอบสนองภัยคุกคามทีมใดที่เราอยากเป็นและเอามาเป็นแบบอย่าง ทีมจาก FireEye Mandiant มักเป็นตัวเลือกอันดับต้นๆ ที่เรานึกถึงเสมอ

นอกเหนือจาก Threat Research Blog ที่เราเป็นแฟนตัวยงแล้ว ในทุกๆ ปี FireEye Mandiant จะมีการเผยแพร่รายงาน M-Trends ซึ่งอธิบายภาพรวมของการรับมือและตอบสนองภัยคุกคามที่ด่านหน้า รายงาน M-Trends มีประโยชน์อย่างมากในมุมของการให้ข้อมูลทางสถิติที่มีผลโดยตรงต่องานด้าน Incident response รวมไปถึงการบทวิเคราะห์และการทำนายเพื่อการเตรียมพร้อมรับมือ

ดังนั้นในโพสต์นี้ ทีม Intelligent Response จะมาสรุปประเด็นที่น่าสนใจจากรายงาน M-Trends 2020 ว่าเราผ่านอะไรมาแล้วบ้าง เราจะเจออะไรต่อและเราต้องเตรียมพร้อมเพื่อเจอกกับสิ่งเหล่านั้นอย่างไรครับ

รายงาน M-Trends 2020 ฉบับเต็มสามารถดาวโหลดได้ที่นี่
การลดลงของ Dwell Time และการตรวจจับภัยคุกคามที่รวดเร็วขึ้น
ส่วนสำคัญของ M-Trends ในทุกๆ ปีคือข้อมูลทางด้านสถิติซึ่งสะท้อนให้เห็นประสิทธิภาพในการรับมือและตอบสนองภัยคุกคาม โดยในปีนี้นั้นค่า Dwell time ซึ่งหมายถึงระยะเวลาที่ภัยคุกคามอยู่ในระบบจนกว่าจะถูกตรวจจับได้มีการลดลงในทิศทางที่ดี

ในปี 2018 นั้น เราใช้เวลาถึง 50.5 วันในการตรวจจับการมีอยู่ของภัยคุกคามในสภาพแวดล้อมหรือระบบ ในขณะเดียวกันในปี 2019 เราตรวจจับการมีอยู่ของภัยคุกคามเร็วขึ้นจนเหลือเพียง 30 วันเท่านั้น ในอีกมุมหนึ่งก็อาจสามารถพูดได้ว่าการตรวจจับของเราดีขึ้นจนทำให้เวลาที่ภัยคุกคามจะอยู่ในระบบได้ลดน้อยลง

นอกเหนือจากการลดลงในมุมของการตรวจจับภัยคุกคามภายในแล้ว ยังมีประเด็นที่น่าสนใจในเรื่องของ Dwell time ดังนี้

ค่าเฉลี่ยในการตรวจจับกิจกรรมการของสหรัฐอเมริกาอยู่ที่ 14 วัน โดยกิจกรรมการตรวจพบที่มากที่สุดคือการโจมตีด้วย Ransomware ถูกคิดเป็น 43% ของเวลาเฉลี่ย
ค่าเฉลี่ยในการตรวจจับกิจกรรมการของกลุ่ม APAC อยู่ที่ 54 วันจาก 204 วันจากปีก่อนหน้านี้ โดยกิจกรรมการตรวจพบที่มากที่สุดคือ การโจมตีด้วย Ransomware ถูกคิดเป็น 18% ของเวลาเฉลี่ย

กลุ่ม Entertainment/Media ขึ้นจากอันดับ 5 สู่อันดับ 1 ของกลุ่ม Sector ที่ถูกโจมตีมากที่สุด
10 อันดับของกลุ่มธุรกิจที่มักตกเป็นเป้าหมายในการโจมตีมีตามรายการดังนี้

กลุ่ม Entertainment/Media
กลุ่ม Financial
หน่วยงานรัฐฯ
กลุ่มธุรกิจทั่วไปและกลุ่มซึ่งให้บริการจำพวก Professional service
กลุ่มธุรกิจเกี่ยวกับวิศวกรรมและการก่อสร้าง
กลุ่มบริษัททางด้านเทคโนโลยีและกลุ่มองค์กรด้านการติดต่อสื่อสาร
ไม่มีอันดับ
กลุ่ม Healthcare
กลุ่มพลังงาน
กลุ่มองค์กรไม่แสวงหาผลกำไร กลุ่มเกี่ยวกับการคมนาคมและขนส่ง

ช่องทางการโจมตียอดนิยมคือ Remote Desktop และ Phishing
ช่องทางการโจมตีซึ่งเป็นที่นิยมในปี 2019 ยังคงเป็นช่องทางที่ทำให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลอย่างฟีเจอร์ Remote Desktop เป็นส่วนใหญ่ ในขณะเดียวกันการโจมตีอย่าง Phishing ก็ยังคงได้รับความนิยมและมักถูกใช้โดยกลุ่ม APT อันเนื่องมาจากความยากในการป้องกันและตรวจสอบ
กลุ่ม APT 41 จากจีนคือกลุ่มภัยคุกคามหลักสำหรับประเทศกลุ่ม APAC

กลุ่มผู้โจมตีที่พุ่งเป้ามามาที่ไทยหรือในกลุ่ม APAC คือ APT41 ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโดยทางกลุ่มได้กำหนดเป้าหมายเป็นองค์กรภายใน 14 ประเทศ เช่น ฮ่องกง, ฝรั่งเศส, อินเดีย, อิตาลี, ญี่ปุ่น,พม่า, เนเธอร์แลนด์, สิงคโปร์, เกาหลีใต้, แอฟริกาใต้, , สวิตเซอร์แลนด์, ไทย, ตุรกี, สหราชอาณาจักรและสหรัฐอเมริกากลุ่ม APT41 พุ่งเป้าไปที่การเงินและธนาคาร แต่เป้าหมายหลักคืออุตสาหกรรมวิดีโอเกม

ในการตรวจจับ Advance Persistent Threat (APT) นั้นผู้ดูเเลควรมีระบบตรวจจับ อาทิเช่น Next-Gen Firewall, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Web Application Firewall (WAF), Endpoint Protection เพื่อที่จะสามารถแยกแยะพฤติกรรมการใช้งานปกติออกจากพฤติกรรมที่เป็นการโจมตีและแยกแยะไฟล์ที่เป็นอันตรายกับไฟล์ที่ไม่เป็นอันตรายได้ เพื่อที่จะช่วยให้ผู้ดูแลระบบอย่างมีประสิทธิภาพ

APT5 ที่เคยมีประวัติโจมตีในไทยกำลังโจมตีช่องโหว่ Pulse Secure VPN และ Fortinet VPN

ZDNet อ้างจากแหล่งข่าวว่า APT5 (Manganese) กำลังใช้ช่องโหว่ของ Pulse Secure VPN และ Fortinet VPN ในการโจมตี โดย APT5 มีประวัติความเคลื่อนไหวมาตั้งแต่ปี 2007

จากรายงาน Southeast Asia: An Evolving Cyber Threat Landscape ของ FireEye ในช่วงปี 2015 ระบุว่า APT5 เน้นโจมตีในเอเชียตะวันออกเฉียงใต้ และมีประวัติตรวจพบมัลแวร์จากกลุ่มดังกล่าวในประเทศไทย APT5 มีเป้าหมายการโจมตีเป็นรัฐบาล ธุรกิจพลังงาน ธุรกิจโทรคมนาคม บริษัท High-Tech ธุรกิจการขนส่ง และด้านการเงิน

ช่องโหว่ CVE-2018-13379 ของ Fortinet VPN และช่องโหว่ CVE-2019-11510 ของ Pulse Secure VPN เป็นช่องโหว่ที่โจมตีได้โดยไม่ต้องยืนยันตัวตน ผู้โจมตีสามารถอ่านข้อมูลไฟล์ได้ซึ่งรวมไปถึงไฟล์ system password

ทั้งนี้มีการออกแพตช์ของช่องโหว่ในสองผลิตภัณฑ์รวมถึงการแจ้งเตือนการโจมตีแล้ว แต่ยังพบว่ามีผู้ใช้งานบางส่วนยังไม่อัปเดตแพตช์

ที่มา zdnet และ fireeye

Indian Healthcare Website Hacked, stolen data for sale

FireEye บริษัทความมั่งคงทางไซเบอร์ในสหรัฐฯ พบการแฮกบนเว็บไซต์ด้านสุขภาพจากประเทศอินเดีย โดยทำการขโมยข้อมูลไปมากกว่า 6.8 ล้านข้อมูลของทั้งแพทย์และคนไข้
FireEye ไม่ได้ระบุชื่อเว็บไซต์ แต่ได้กล่าวว่านี่เป็นอาชญากรไซเบอร์ที่ส่วนใหญ่มาจากจีน โดยจะขายข้อมูลที่ขโมยมาจากเว็บไซต์ทั่วโลก

“ในเดือนกุมภาพันธ์ ผู้ไม่หวังดีนามแฝงว่า “fallensky519” ได้ขโมย 6.8 ล้านข้อมูลที่เกี่ยวกับข้อมูลด้านสุขภาพชาวอินเดียบนเว็บไซต์ ที่มีข้อมูลทั้งคนไข้และแพทย์ที่สามารถระบุตัวตนได้ รวมถึงรหัสผ่าน” FireEye แถลงรายงานร่วมกับ IANS
ตามที่ FireEye กล่าวในระหว่างวันที่ 1 ตุลาคม 2018 ถึง 31 มีนาคม 2019 ทีมข่าวกรองพบข้อมูลหลายตัวที่มีประวัติสุขภาพได้ถูกขายในราคา $2,000 ซึ่งข้อมูลที่ขายเกี่ยวข้องกับงานวิจัยเกี่ยวกับมะเร็ง ซึ่งสะท้อนให้เห็นถึงความกังวลของจีนต่อการเพิ่มอัตราการเกิดโรคมะเร็งและการเสียชีวิต รวมถึงค่าใช้จ่ายด้านการดูแลสุขภาพระดับชาติ

ที่มา : ehackingnews

Commando VM: The First of Its Kind Windows Offensive Distribution

FireEye เปิดตัวชุดสคริปต์ปรับแต่ง Windows สำหรับงาน Offensive Security "Commando VM" โหลดฟรี!

FireEye ซึ่งเคยฝากผลงานไว้กับ Flare VM ซึ่งเป็นชุดสคริปต์สำหรับปรับแต่ง VM ให้เหมาะสมกับการตรวจสอบและวิเคราะห์ได้ทำการเปิดตัวชุดสคริปต์ที่สองภายใต้ชื่อ Commando VM โดยเป็นชุดสคริปต์ PowerShell ที่สามารถใช้เพื่อปรับแต่งระบบปฏิบัติการ Windows ให้เหมาะสมกับการทดสอบเจาะระบบหรืองานทางด้าน Offensive Security ได้

เมื่อติดตั้งสคริปต์ของ Commando VM ตัวสคริปต์จะทำการดาวโหลดและติดตั้งโปรแกรมกว่า 150 โปรแกรม ซึ่งรวมไปถึงชุดโปรแกรมทดสอบเจาะระบบที่มีเฉพาะระบบปฏิบัติการ Windows เช่น ชุดโปรแกรมที่เกี่ยวข้องกับการทำ Post Exploitation ในสภาพแวดล้อม Active Directory หรือชุด PowerShell สคริปต์รูปแบบต่างๆ

สคริปต์ Commando VM สามารถดาวโหลดได้ฟรีวันนี้ที่ https://github.

ทำความรู้จัก APT38 กลุ่มแฮกเกอร์ผู้โจมตี SWIFT จากเกาหลีเหนือ

บทนำ
ถ้าพูดถึงกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อแรกที่ทุกคนนึกถึงคงจะเป็นกลุ่ม Lazarus Group หรือที่เป็นที่รู้จักในชื่อ HIDDEN COBRA และ Guardians of Peace ที่เพิ่งมีประกาศแจ้งเตือนจาก US-CERT ให้ระวังแคมเปญการโจมตีไปเมื่อไม่นานมานี้ รวมทั้งเชื่อว่าเป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 การโจมตีธนาคารต่างๆ และการโจมตีบริษัท Sony Pictures ในปี 2014 แต่เมื่อวันที่ 3 ตุลาคม 2018 ที่ผ่านมา FireEye ได้ออกรายงานชิ้นใหม่เปิดเผยข้อมูลว่าแท้จริงแล้วผลงานของกลุ่มก่อการร้ายที่ถูกสื่อเรียกรวมกันว่าเป็นผลงานของ Lazarus Group เพียงกลุ่มเดียวนั้น แท้จริงแล้วเป็นผลงานของกลุ่มก่อการร้ายถึงสามกลุ่ม แบ่งออกเป็นกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38 โดยรายงานฉบับดังกล่าวมีชื่อว่า APT38: Un-usual Suspects เน้นให้รายละเอียดของกลุ่ม APT 38 ที่แตกต่างจากกลุ่ม TEMP.Hermit และ Lazarus Group

รายละเอียด
ตั้งแต่มีการโจมตีบริษัท Sony Pictures ในปี 2014 ทั่วโลกต่างรับรู้ว่ามีกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากเกาหลีเหนือ โดยเหตุการณ์โจมตีต่างๆ ที่น่าจะเกี่ยวข้องกับเกาหลีเหนือต่างถูกเรียกรวมกันว่าเป็นฝีมือของ Lazarus Group แต่ FireEye ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยทางไซเบอร์ไม่เชื่อเช่นนั้น จากการวิเคราะห์เหตุการณ์การโจมตีต่างๆ ที่เกิดขึ้นโดยวิเคราะห์จากทั้งเป้าหมายในการโจมตี เครื่องมือที่ใช้ในการโจมตี ไปจนถึงมัลแวร์ที่ถูกใช้ในการโจมตี FireEye เชื่อว่าเหตุการณ์ทั้งหมดเกิดจากกลุ่มก่อการร้ายสามกลุ่ม ประกอบไปด้วยกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38

เนื่องจากมีการจับตาและการให้ข้อมูลเกี่ยวกับกลุ่ม TEMP.Hermit และ Lazarus Group แล้ว FireEye จึงออกรายงาน APT38: Un-usual Suspects เพื่อให้รายละเอียดโดยเฉพาะเกี่ยวกับกลุ่ม APT38

FireEye ระบุว่ากลุ่ม APT38 เริ่มดำเนินการมาตั้งแต่ปี 2014 โดยมีเป้าหมายเพียงอย่างเดียวคือการโจรกรรมโดยโจมตีสถาบันทางการเงินต่างๆ ทั่วโลก ซึ่งกลุ่ม APT38 ได้มีความพยายามในการโจรกรรมรวมมูลค่าแล้วกว่า 1.1 พันล้านดอลลาร์สหรัฐฯ และได้เงินไปแล้วกว่า 100 ล้านดอลลาร์สหรัฐฯ

FireEye ระบุ timeline ของ APT38 ไว้ดังนี้

เดือนธันวาคม ปี 2015 โจมตี TPBank ในเวียดนาม
เดือนมกราคม ปี 2016 โจมตี Bangladesh Bank โดยเป็นการโจมตีระบบ SWIFT ภายใน
เดือนตุลาคม ปี 2017 โจมตี Far Eastern International Bank ในไต้หวัน โดยเป็นการโจมตีเพื่อถอนเงินจำนวนมากออกจาก ATM (ATM cash-out scheme)
เดือนมกราคม ปี 2018 โจมตี Bancomext ในเม็กซิโก
เดือนพฤษภาคม ปี 2018 โจมตี Banco de Chile ในชิลี

ซึ่ง FireEye เชื่อว่ากลุ่ม APT38 เริ่มต้นโจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้ในช่วงแรกของการก่อตั้ง (2014) และค่อยๆ ขยายการดำเนินการไปทั่วโลกในปัจจุบัน
เทคนิคการโจมตีของ APT38
FireEye ระบุว่าการโจมตีของ APT38 ประกอบด้วยแบบแผนที่มีลักษณะดังนี้

Information Gathering รวบรวมข้อมูล: โดยทำการค้นคว้าข้อมูลของเป้าหมาย เช่น บุคลากรภายใน และค้นคว้าข้อมูลของผู้รับเหมาที่เกี่ยวข้องกับเป้าหมายเพื่อหาทางแทรกซึมเข้าไปในระบบ SWIFT
Initial Compromise เริ่มต้นการโจมตี: โจมตีแบบซุ่มดักเหยื่อตามแหล่งน้ำ (Watering Hole Attack) และโจมตีช่องโหว่ที่ไม่ได้รับการอัปเดตของ Apache Struts2 เพื่อส่งคำสั่งไปยังระบบ
Internal Reconnaissance สำรวจระบบ: ปล่อยมัลแวร์เพื่อรวบรวม credentials, สำรวจระบบเน็ตเวิร์ค และใช้เครื่องมือที่มีอยู่ในระบบของเป้าหมายในการแสกนระบบ เช่น ใช้ Sysmon เพื่อดูข้อมูล
Pivot to Victim Servers Used for SWIFT Transactions  ค้นหาเซิร์ฟเวอร์สำหรับระบบ SWIFT: ปล่อยมัลแวร์เพิ่ม โดยเป็นมัลแวร์สำหรับค้นหาและติดตั้ง backdoor บนเซิร์ฟเวอร์สำหรับระบบ SWIFT เพื่อให้สามารถส่งคำสั่งได้โดยไม่โดนตรวจจับ
Transfer funds ขโมยเงินออกไป: ปล่อยมัลแวร์สำหรับส่งคำสั่ง SWIFT ปลอมเพื่อโอนเงินออกและแก้ไขประวัติการทำธุรกรรม โดยมักจะเป็นการโอนเงินไปยังหลายๆ บัญชีเพื่อฟอกเงิน
Destroy Evidence ทำลายหลักฐาน: ลบ log, ปล่อยมัลแวร์เพื่อลบข้อมูลในฮาร์ดดิส และอาจปล่อย ransomware ที่เป็นที่รู้จักเพื่อขัดขวางกระบวนการสอบสวนและทำลายหลักฐาน

 

โดยผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมของกลุ่ม APT38 ซึ่งรวมไปถึงมัลแวร์ต่างๆ ที่ใช้ได้จาก APT38: Un-usual Suspects
ที่มา

https://content.

Introducing GoCrack: A Managed Password Cracking Tool

FireEye's Innovation and Custom Engineering (ICE) หรือทีมวิศวกรของทาง FireEye ได้พัฒนาเครื่องมือชื่อ GoCrack ซึ่งช่วยให้ทีมที่ทดสอบเจาะระบบสามารถทำการถอดรหัสหรือค่าแฮชได้หลายร้อยค่าได้พร้อมกัน และยังมาพร้อมกับหน้าตา UI ที่มีการใช้งานที่ง่าย เพียงแค่ทำการลงโปรแกรมกับตัว Worker ของเครื่อง จากนั้นระบบจะทำการกระจายงานไปให้กับตัว Worker ต่างๆ เครื่องมือที่ใช้เจาะรหัสผ่านนั้นเป็นสิ่งที่สำคัญมากสำหรับผู้เชี่ยวชาญด้านความปลอดภัย ใช้ในการทดสอบประสิทธิภาพของรหัสผ่าน พัฒนามาตรการในการตั้งรหัส และการ Audit เงื่อนไขของรหัสผ่านของเครื่องมือภายในองค์กร
GoCrack ประกอบไปด้วยสิทธิ์ตามระบบ หรือระบบที่จะควบคุมในส่วนของสิทธิ์การเข้าถึง ซึ่งจะห้ามไม่ให้ผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูลยกเว้นจะเป็นเจ้าของงานนั้น หรือได้รับอนุญาติให้เข้าถึงได้จากเจ้าของงาน การแก้ไขงาน เข้าถึงรหัสผ่านที่เจาะมาได้ หรือการโหลดไฟล์งาน จะถูกจำกัดสิทธิ์โดย Administrator Engine files หรือไฟล์ที่ถูกใช้โดยตัว Cracking engine เช่น Dictionaries สามารถถูกอัพโหลดเป็น shared file ได้ แต่ผู้ใช้อื่นจะไม่สามารถดาวน์โหลด หรือแก้ไขไฟล์ได้ ทำให้ข้อมูลที่มีความละเอียดอ่อนมีความปลอดภัย GoCrack สามารถลงได้บน Linux server ใดก็ได้ที่มีการลง Docker ไว้แล้ว ในอนาคตมีการวางแผนไว้ว่าจะรองรับ MySQL และ Postgres database engine สำหรับการใช้งานที่จะเพิ่มมากขึ้น

ที่มา : Fireeye

Microsoft patches Office zero-day used to spread FinSpy surveillance malware

Microsoft แพตซ์ช่องโหว่ด้านความปลอดภัยบน Office ซึ่งพบว่าถูกใช้ในการโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษารัสเซีย โดยมีจุดมุ่งหมายเพื่อลง spyware สำหรับสอดแนมที่ชื่อว่า "FinSpy"
นักวิจัย FireEye พบช่องโหว่ zero-day ที่ส่งผลให้มัลแวร์แพร่กระจายโดยไฟล์เอกสาร Microsoft Office RTF เมื่อเปิดเอกสาร ทำให้เครื่องคอมพิวเตอร์เป้าหมายโดนติดตั้ง spyware ที่ชื่อว่า "FinSpy" ซึ่งเป็นซอฟต์แวร์สอดแนมของบริษัทในเครือ Gamma Group ซึ่งเป็นบริษัทที่ขายโปรแกรมสอดแนมให้กับรัฐบาลทั่วโลก
ในปี 2014 WikiLeaks เคยเปิดเผยข้อมูลว่ารัฐบาลใหญ่ ๆ หลายแห่งอยู่ในรายชื่อลูกค้าที่ใช้งาน "FinFisher" ซึ่งเป็น spyware เช่นเดียวกับ "FinSpy" โดย FireEye ไม่สามารถระบุได้อย่างชัดเจนว่าใครเป็นผู้โจมตี แต่คาดว่าน่าจะเป็นบุคคลจากรัฐบาลประเทศใดสักแห่ง และเหตุการณ์อาจเริ่มตั้งแต่ช่วงต้นเดือนกรกฎาคม แต่เพิ่งจะถูกตรวจพบ
Microsoft ได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับ "important" โดยล่าสุด Microsoft ได้มีการปล่อยให้อัพเดท เพื่อแก้ไขช่องโหว่ล่าสุดทั้งหมด 81 รายการ ใน Tuesday Patch ประจำเดือนกันยายน ซึ่งรวมช่องโหว่นี้ด้วย

ที่มา : zdnet

Hacker Leaks Data From Mandiant (FireEye) Senior Security Analyst

แฮกเกอร์ไม่ทราบกลุ่มได้มีประกาศการโจมตีผ่านทาง Pastebin วันนี้เกี่ยวกับปฏิบัติการชื่อว่า #LeakTheAnalyst โดยเหยื่อในรายแรกของปฏิบัติการนี้นั้นคือผู้เชี่ยวชาญด้านความปลอดภัยจากบริษัทชื่อดัง Mandiant ภายใต้ FireEye

หนึ่งในข้อมูลที่รั่วไหลออกมานั้นเป็นข้อมูลของ Adi Peretz ซึ่งเป็น ‎Senior Threat Intelligence Analyst ที่ Mandiant ข้อมูลที่รั่วไหลออกมานั้นแสดงให้เห็นว่าแฮกเกอร์สามารถเข้าถึงอีเมลของไมโครซอฟต์ที่เหยื่อใช้อยู่ รายชื่อผู้ติดต่อ เอกสารภายในของบริษัทฯ ไฟล์นำเสนองาน รวมไปถึงหน้า Geolocator ซึ่งระบุรายการของอุปกรณ์ที่ลงชื่อผ่านบัญชีของไมโครซอฟต์ปัจจุบันด้วย แฮกเกอร์ยังมีการแฮกและเปลี่ยนหน้าโปรไฟล์ LinkedIn ของ Adi Peretz อีกด้วย

หนึ่งในไฟล์ที่รั่วไหลออกมามีรายการของชื่อผู้ใช้งานและรหัสผ่านของ Adi Peretz ในอีกหลายบริการ ซึ่งแสดงให้เห็นว่าผู้เคราะห์ร้ายในคราวนี้นั้นมีการใช้รหัสผ่านซ้ำในหลายบริการและรหัสผ่านไม่มีความมั่นคงมากพอ

แฮกเกอร์มีการอ้างว่า ระบบของ Mandiant ได้ถูกพวกเขาแฮกและฝังตัวตั้งแต่ปี 2016 อีกทั้งยังกล่าวว่าข้อมูลที่มีการเผยแพร่ออกมาล็อตแรกทั้งหมด 32 เมกะไบต์นั้นเป็นเพียงส่วนเล็กทั้งหมดของข้อมูลทั้งหมด และจะมีการทยอยปล่อยข้อมูลออกมาอีกเป็นระยะๆ

FireEye ซึ่งเป็นบริษัทแม่ของ Mandiant ได้ออกมายืนยันการโจมตีและแถลงว่ากำลังทำการตรวจสอบอยู่ FireEye ออกมาบอกอีกว่าในขณะนี้ทางบริษัทฯ ยังตรวจไม่พบหลักฐานใดๆ ที่แสดงว่าระบบของ FireEye หรือ Mandiant ถูกแฮก

ที่มา : thehackernews

VXE Flaw allowed threats to bypass FireEye detection engine

Moritz Jodeit นักวิจัยด้านความปลอดภัยจาก Blue Frost Security พบช่องโหว่ใน FireEye Virtual Execution Engine (VXE) ทำให้สามารถ bypass การวิเคราะห์มัลแวร์ได้เพียงแค่เปลี่ยนชื่อไฟล์ของมัลแวร์บน Windows ไปเป็นชื่ออื่นซึ่งไม่ได้อยู่ใน whitelist ของชื่อมัลแวร์ที่ทาง FireEye มีอยู่ ซึ่งการทำงานของ VXE คือจะมีการ copy ไฟล์มาไว้ใน Virtual Machine ก่อนที่จะทำการวิเคราะห์ ซึ่งทำให้ bypass โดยการเปลี่ยนชื่อไฟล์ของมัลแวร์ได้โดยใช้คำสั่ง copy ยกตัวอย่าง copy malware.

News and updates from the Project Zero team at Google

นักวิจัยจาก Google ค้นพบช่องโหว่บนซอฟต์แวร์ของอุปกรณ์ FireEye ที่ใช้ป้องกันภัยคุกคามแบบ APT หลายรุ่น โดยแฮกเกอร์สามารถเจาะผ่านช่องโหว่เข้ามา เพื่อเข้าถึงระบบเครือข่ายขององค์กรได้แบบ Full Access ส่งผลให้สามารถดักข้อมูลรวมไปถึงส่งโค้ดมัลแวร์แฝงเข้ามายังระบบเครือข่ายได้ทันที

Google ระบุว่า เคสนี้นับว่าเป็นฝันร้ายโดยแท้จริง เนื่องจากสามารถโจมตีได้ง่ายมาก เพียงแค่ส่งอีเมลไปยังบุคคลภายในเพื่อหลอกล่อให้คลิ๊กลิงค์เท่านั้น แฮกเกอร์ก็จะสามารถเข้าถึงระบบเครือข่ายขององค์กรทั้งหมดได้ทันที หลังจากนั้นยังสามารถแอบมอนิเตอร์ทราฟฟิคของระบบ หรือส่ง Worm เข้าไปกระจายตัวในเครือข่ายได้อย่างง่ายดาย

FireEye ได้ทราบถึงช่องโหว่ดังกล่าว และระบุว่าสาเหตุหลักมาจาก Module ที่ใช้วิเคราะห์ไฟล์บีบอัดของ Java (JAR) ซึ่งก็ได้ให้คำอธิบายและออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ใช้อุปกรณ์ซีรี่ย์ NX, EX, FX และ AC อัพเดทแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา : blogspot