เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

Cisco ปล่อยแพทช์ความปลอดภัยสำหรับ Webex เพื่อแก้ปัญหาที่ผู้ไม่หวังดีสามารถเข้าร่วมการประชุมแบบไม่เห็นตัวตนได้ (Ghost User)

นักวิจัยจาก IBM พบปัญหาด้านความปลอดภัยบน Cisco Webex เมื่อต้นปีที่ผ่านมา ปัญหาดังกล่าวส่งผลให้ผู้ไม่หวังดีสามารถ

เข้าร่วมการประชุมแบบไม่เห็นตัวตน และสามารถเข้าถึงได้ทั้งเสียง, วิดีโอ, แชท และแชร์สกรีน (CVE-2020-3419)
แม้จะถูกไล่ออกจากห้องแล้ว แต่ก็ยังสามารถได้ยินเสียงในห้องประชุมแบบไม่เห็นตัวตนได้ (CVE-2020-3471)
เข้าถึงข้อมูลของสมาชิกที่เข้าร่วมประชุม อาทิเช่น ชื่อและนามสกุล, อีเมล และ IP Address โดยสามารถเข้าถึงข้อมูลเหล่านี้ได้แม้จะอยู่แค่ใน Lobby room ยังไม่ได้รับอนุญาตให้เข้าห้องก็ตาม (CVE-2020-3441)
ข้อมูลระบุว่าปัญหาดังกล่าวเกิดขึ้นในขั้นตอนการ Handshake ของการติดต่อกันระหว่างสมาชิกในห้องประชุม (Participants) ดังนั้นการโจมตีดังกล่าวนี้จะเกิดขึ้นได้เมื่อผู้ไม่หวังดีรู้ URL ของ Meeting เท่านั้น ปัญหานี้มีผลกระทบต่อ Webex บนระบบปฏิบัติการทั้ง macOS, iOS และ Windows รวมทั้ง Webex Meetings แอพพลิเคชั่น และ Webex Room Kit

ล่าสุด Cisco มีการอัพเดตแพทช์บน Cloud ของ Cisco Webex Meeting แล้ว และปล่อยอัพเดตสำหรับ Cisco Webex Meetings แอพพลิเคชั่นบนอุปกรณ์พกพา และซอฟต์แวร์ของ Cisco Webex Meetings Server แล้ว ผู้ใช้งานควรทำการอัพเดตทันที

ที่มา: bleepingcomputer

North Korean Hackers Used ‘Torisma’ Spyware in Job Offers-based Attacks

กลุ่มแฮกเกอร์เกาหลีเหนือใช้ Spyware ชนิดใหม่ Torisma ทำการโจมตีผู้ใช้โดยการแนบไปกับอีเมลรับสมัครงาน

นักวิจัยด้านความปลอดภัย Christiaan Beek และ Ryan Sherstibitoff จาก McAfee ได้เปิดเผยถึงแคมเปญการปฏิบัติการทางไซเบอร์ใหม่และมีการเชื่อมโยงกับกลุ่ม Hidden Cobra ซึ่งเป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือและใช้โค้ดเนมการปฏิบัติการว่า "Operation North Star”

แคมเปญ Operation North Star เป็นแคมเปญการโจมตีและการสอดแนมเหยื่อที่เป็นเป้าหมาย โดยการโจมตีนี้ถูกกำหนดเป้าหมายเป็น IP address ของผู้ให้บริการ Internet service providers (ISP) ในประเทศออสเตรเลีย, อิสราเอล, รัสเซียและผู้ให้บริการการป้องกันประเทศที่อยู่ในรัสเซียและอินเดีย โดยเครื่องมือที่ถูกใช้นั้นเป็น Spyware ที่ยังไม่เคยตรวจพบมาก่อนซึ่งมีชื่อว่า “Torisma”

จากการวิเคราะห์เบื้องต้นของ McAfee ชี้ให้เห็นว่ากลุ่มเฮกเกอร์ได้ใช้ประโยชน์จากเว็บไซต์ job recruitment ที่เป็นที่ยอดนิยมในสหรัฐฯ และอิตาลีทำการโจมตีในลักษณะ spear phishing โดยส่งอีเมลเพื่อล่อลวงเหยื่อให้เปิดไฟล์แนบภายในอีเมล ภายในไฟล์จะมีโค้ดที่ใช้ดำเนินการต่อเพื่อประเมินข้อมูลระบบของเหยื่อเช่น วันที่, ที่อยู่ IP, User-Agent เป็นต้น จากนั้นจะทำการตรวจเช็ค IP ที่เป็นเป้าหมายกลับ IP ผู้ที่ตกเป็นเป้าหมาย ถ้าหากตรงกัน กลุ่มเฮกเกอร์จะทำการติดตั้งมัลแวร์ Torisma เพื่อใช้ในการสอดแนมเหยื่อ

ทั้งนี้กลุ่มเเฮกเกอร์ยังใช้โดเมนของเว็บไซต์การประมูล, เว็บไซต์บริษัทการพิมพ์ และ เว็บไซต์บริษัทฝึกอบรมด้านไอทีในการส่งอีเมล spear-phishing เพื่อหลีกเลี่ยงการตรวจจับมาตรการรักษาความปลอดภัยของบางองค์กรได้อีกด้วย

ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์และเปิดไฟล์แนบในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: thehackernews