กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

Thought you were safe from the Fortinet SSH backdoor? Think again

จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้น และพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 เท่านั้น ล่าสุดพบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัว และได้เปิดเผยถึงผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมดังต่อไปนี้

FortiAnalyzer รุ่น 5.0.5 ถึง 5.0.11 และ 5.2.0 ถึง 5.2.4
FortiSwitch รุ่น 3.3.0 ถึง 3.3.2
FortiCache รุ่น 3.0.0 ถึง 3.0.7 (รุ่น 3.1 ไม่ได้รับผลกระทบ)
อุปกรณ์ที่ใช้ FortiOS รุ่น 4.1.0 ถึง 4.1.10 และ 4.2.0 ถึง 4.2.15 และ 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7

ปัจจุบันนี้เริ่มมีผู้โจมตี Scan หาช่องโหว่นี้ของ Fortinet บน Public IP แล้ว โดยมี IP ต้องสงสัยหลักๆ ที่พยายามทำการ Scan หาช่องโหว่เหล่านี้อย่างต่อเนื่องคือ 124.160.116.194 และ 183.131.19.18 ซึ่งมาจากประเทศจีน ดังนั้นผู้ดูแลระบบควรจะรีบ Patch ระบบทั้งหมดที่ได้รับผลกระทบทันที ในขณะที่อย่างน้อยๆ ถ้าหาก Patch ไม่ได้ ก็ควรกำหนด Firewall Rule หรือ ACL ให้บล็อคการเข้าถึงจาก IP Address สองชุดนี้เสียก่อน

ที่มา : theregister