Citrix Systems ออกแพตซ์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งพบในผลิตภัณฑ์ Virtual Apps and Desktops และ Workspace Apps

โดยช่องโหว่ที่ได้รับการอัปเดต เป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงเป้าหมายในแบบ local access เพื่อยกระดับสิทธิ์ และเข้าควบคุมระบบที่ได้รับผลกระทบได้

การยกระดับสิทธิ์เป็นหนึ่งในขั้นตอนที่สำคัญของการโจมตีทางไซเบอร์ เนื่องจากผู้โจมตีจำเป็นต้องได้รับสิทธิ์ที่สูงขึ้นสำหรับการขโมยข้อมูล, การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย หรือแพร่กระจายไปยังระบบอื่น ๆ ของเป้าหมายเพื่อโจมตีด้วยแรนซัมแวร์

ช่องโหว่ที่ Citrix ได้ออกประกาศให้ทำการอัปเดต

CVE-2023-24483 : ช่องโหว่ในการจัดการสิทธิ์ที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ไปยัง NT AUTHORITY\SYSTEM ส่งผลกระทบต่อ Citrix Virtual Apps and Desktops เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24484 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมทำให้สามารถเขียน log files ไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่ควรเข้าถึง ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24485 : ช่องโหว่ในการการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24486 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยึดครองเซสชัน ส่งผลกระทบต่อแอป Citrix Workspace สำหรับ Linux เวอร์ชันก่อน 2302

โดย CVE-2023-24483 ถือได้ว่าเป็นช่องโหว่ที่รุนแรงที่สุดที่ได้รับการแก้ไขในครั้งนี้ โดย NT AUTHORITY\SYSTEM คือสิทธิ์การเข้าถึงระดับสูงสุดบน Windows ทำให้สามารถสั่งรันคำสั่งได้ตามที่ต้องการ สามารถเข้าถึงข้อมูลที่มีความสำคัญ และแก้ไขการกำหนดค่าระบบโดยไม่มีข้อจำกัด รวมไปถึงสามารถโจมตีไปยังระบบอื่น ๆ ที่อยู่ภายในเครือข่ายเดียวกันได้

การป้องกัน

Citrix แนะนำให้เร่งทำการอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ โดยอัปเดตไปยังเวอร์ชันดังต่อไปนี้

Citrix Virtual Apps และ Desktops 2212 และ version ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 1912 LTSR CU6 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 2212 และ version ที่ใหม่กว่า
Citrix Workspace App 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) และ cumulative updates ที่ใหม่กว่า
แอป Citrix Workspace สำหรับ Linux 2302 และ version ที่ใหม่กว่า

ที่มา : bleepingcomputer

Royal Ransomware เป็น Ransomware ตัวล่าสุดที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้ โดยมีการกำหนดเป้าหมายไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจากแรนซัมแวร์บน Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่น ๆ เช่น Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX และ Hive (more…)

มัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า Titan Stealer กำลังถูกโฆษณาโดยผู้โจมตีผ่านช่องทาง Telegram

Karthickkumar Kathiresan และ Shilpesh Trivedi นักวิจัยด้านความปลอดภัยของ Uptycs ระบุในรายงานว่า “ผู้โจมตีสามารถขโมยข้อมูลที่หลากหลายจากเครื่อง Windows ที่ถูกโจมตี เช่น ข้อมูล credential บนเบราว์เซอร์, กระเป๋าเงินคริปโต, ข้อมูล FTP client, ข้อมูลบันทึกภาพหน้าจอ และรายละเอียดข้อมูลบนระบบของเหยื่อ”

ไททันถูกพัฒนามาในลักษณะการเป็น builder เพื่อช่วยให้ผู้โจมตีที่นำไปใช้สามารถปรับแต่งไบนารีของมัลแวร์เพื่อปรับเปลี่ยนฟังก์ชันการทำงาน รวมถึงข้อมูลที่ต้องการจะขโมยออกไปจากเครื่องของเหยื่อ

เมื่อเริ่มดำเนินการมัลแวร์จะใช้เทคนิคที่เรียกว่า process hollowing เพื่อ inject เพย์โหลดที่เป็นอันตรายลงในหน่วยความจำของ process ที่ทำงานอยู่ตามปกติเรียกว่า AppLaunch.

นักวิจัยจาก Juniper Networks ค้นพบ Python Malware ที่มุ่งเป้าไปยังช่องโหว่บน VMware ESXi servers เพื่อใช้ในการติดตั้งแบ็คดอร์ ซึ่งจะทำให้ Hacker สามารถเข้าถึง หรือรันคำสั่งที่เป็นอันตรายจากระยะไกลบนระบบที่ถูกโจมตีได้

แต่จนถึงปัจจุบันนักวิจัยยังไม่สามารถระบุวิธีการที่แน่ชัดที่ถูกใช้ในการโจมตีได้ เนื่องจากข้อมูล log ที่หลงเหลือหลังจากการโจมตีมีจำกัด แต่คาดการว่าเซิร์ฟเวอร์อาจถูกโจมตีโดยใช้ช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ใน OpenSLP service ของ ESXi โดย Python Malware ยังสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Linux และ Unix

VMware ESXi คือ แพลตฟอร์ม Virtual Machine (VM) ที่ใช้ทั่วไปในองค์กรเพื่อสร้างเซิร์ฟเวอร์จำลอง (VM) จำนวนมากบนอุปกรณ์เครื่องเดียว โดยใช้ทรัพยากร CPU และหน่วยความจำได้อย่างมีประสิทธิภาพ

การโจมตี

จากข้อมูล log ที่หลงเหลือหลังจากการโจมตี พบว่า Python Malware ได้เพิ่มคำสั่ง 7 บรรทัดใน "/etc/rc.

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ

ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน

ที่มา : thehackernews

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS

เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก

Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน

นักวิจัยของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้

วิธีการสร้างการโจมตี

Alchimist ช่วยให้ผู้โจมตีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่าเพย์โหลดที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้

เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT

 

เพย์โหลดของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)

 

C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง

Insekt RAT

เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี

พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:

รับข้อมูลขนาดไฟล์
รับข้อมูลระบบปฏิบัติการ
เรียกใช้คำสั่งโดยผ่าน cmd.

นักวิเคราะห์ด้านความปลอดภัยได้พบช่องโหว่ใน Microsoft Teams Application ที่ใช้งานกับ Desktop ทำให้ผู้โจมตีสามารถเข้าถึง Authentication Token และบัญชีที่เปิดใช้งาน Multi-Factor (MFA) ได้

Microsoft Teams เป็นแพลตฟอร์มการสื่อสารที่อยู่ในตระกูลผลิตภัณฑ์ 365 ซึ่งมีผู้ใช้งานมากกว่า 270 ล้านคนในการประชุมทางวิดีโอ และการจัดเก็บไฟล์

ปัญหานี้มีผลกระทบต่อ Application version ที่ใช้บน Windows, Linux และ Mac เนื่องจาก Authentication Token ของผู้ใช้งานใน Microsoft Teams จะถูกจัดเก็บเป็น clear text โดยไม่มีการป้องกันการเข้าถึง เพราะเหตุนี้จึงทำให้ผู้โจมตีสามารถขโมย Tokens แล้วใช้เพื่อเข้าสู่ระบบของเหยื่อได้

นักวิจัยระบุว่า "การเข้าควบคุมบัญชีที่สำคัญขององค์กร เช่น หัวหน้าฝ่ายวิศวกรรม CEO หรือ CFO" อาจส่งผลให้เกิดความเสียหายต่อองค์กรได้

นักวิจัยของ Vectra พบปัญหานี้ในเดือนสิงหาคม 2022 และรายงานไปยัง Microsoft แต่ Microsoft ไม่เห็นด้วย และยังระบุว่าไม่ตรงตามเกณฑ์ที่จำเป็นต้องทำการแก้ไข

รายละเอียดปัญหา

Microsoft Teams เป็นแอปในลักษณะ Electron ที่ทำงานในเบราว์เซอร์ พร้อมด้วยองค์ประกอบที่จำเป็นสำหรับหน้าเว็บปกติ (cookies, session strings, logs อื่นๆ)

ซึ่ง Electron ไม่รองรับการเข้ารหัส หรือการป้องกันการเข้าถึงไฟล์ ดังนั้นแม้ว่าเฟรมเวิร์กซอฟต์แวร์จะใช้งานได้หลากหลาย และใช้งานได้ง่าย แต่ก็ถือว่าความปลอดภัยไม่เพียงพอสำหรับการพัฒนาผลิตภัณฑ์ที่มีความสำคัญ เว้นแต่จะมีการปรับแต่งให้ครอบคลุมมากยิ่งขึ้น

Vectra ระบุว่า ขณะที่พยายามหาวิธีลบบัญชีที่ไม่มีการใช้งานออกจากแอปบนไคลเอ็นต์ เค้าพบไฟล์ ldb ที่มี access tokens เป็น clear text "เมื่อตรวจสอบก็พบว่า access tokens เหล่านี้ยังสามารถใช้งานได้ และไม่ใช่การ Dump error โดยไม่ได้ตั้งใจ และ Tokens เหล่านี้จะสามารถใช้เพื่อเข้าถึง Outlook และ Skype APIs" - Vectra

นอกจากนี้ นักวิเคราะห์พบว่าโฟลเดอร์ "Cookie" ยังมี Authentication Tokens ที่ใช้งานได้ พร้อมด้วยข้อมูลบัญชี ข้อมูลเซสชัน และข้อมูลการใช้งานต่าง ๆ

สุดท้าย Vectra ได้พัฒนาเครื่องมือที่ใช้สำหรับทดสอบช่องโหว่ผ่านทางการเรียกใช้ API ซึ่งอนุญาตให้ส่งข้อความถึงตัวเองได้ โดยการใช้ engine SQLite เพื่ออ่านฐานข้อมูลใน Cookies ซึ่งปรากฏว่าได้รับ Authentication Tokens เป็นข้อความใน chat window ตามภาพ

ช่องโหว่นี้สามารถถูกโจมตีด้วยมัลแวร์สำหรับขโมยข้อมูลซึ่งเป็นหนึ่งใน Paylods ที่นิยมมากที่สุดในแคมเปญฟิชชิ่ง

การใช้มัลแวร์ประเภทนี้ ผู้โจมตีจะสามารถขโมย Authentication Tokens ของ Microsoft Teams และเข้าสู่ระบบจากระยะไกลในฐานะผู้ใช้ bypass MFA และเข้าถึงบัญชีได้อย่างสมบูรณ์

ซึ่งผู้โจมตีมีการโจมตีลักษณะนี้กับแอปพลิเคชันอื่น ๆ อยู่แล้ว เช่น Google Chrome, Microsoft Edge, Mozilla Firefox, Discord และอื่น ๆ อีกมากมาย

การลดความเสี่ยง

ด้วยเหตุที่ยังไม่มีแพตช์สำหรับแก้ไข คำแนะนำของ Vectra คือให้ผู้ใช้สลับไปใช้ Microsoft Teams ที่เป็น Browser version แทน ผ่านทาง Microsoft Edge ซึ่งผู้ใช้จะได้รับการป้องกันเพิ่มเติมเพื่อป้องกันการรั่วไหลของ Tokens

นักวิจัยแนะนำผู้ใช้งาน Linux ให้ย้ายไปใช้โปรแกรมสำหรับ Online meeting อื่น ๆ โดยเฉพาะอย่างยิ่งเมื่อ Microsoft ประกาศแผนการที่จะหยุดสนับสนุนแอปสำหรับแพลตฟอร์ม Linux ภายในเดือนธันวาคม

สำหรับผู้ที่ไม่สามารถย้ายไปยังโซลูชันอื่นได้ในทันที สามารถเฝ้าระวังการที่เข้าถึงไดเร็กทอรีต่อไปนี้:

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

BleepingComputer ได้ติดต่อ Microsoft เกี่ยวกับแผนที่จะแก้ไขปัญหาดังกล่าว โดยเมื่อวันที่ 14 กันยายน 2565 โฆษกของ Microsoft ระบุว่า

"เทคนิคที่ใช้ ยังไม่ตรงกับมาตรฐานที่ต้องรีบดำเนินการแก้ไข เนื่องจากผู้โจมตีต้องสามารถเข้าถึงเครือข่ายเป้าหมายให้ได้ก่อน

ขอขอบคุณ Vectra Protect ในการระบุ และเปิดเผยปัญหานี้อย่างมีความรับผิดชอบ และจะพิจารณาแก้ไขดังกล่าวต่อไปในอนาคต"

ที่มา : bleepingcomputer

ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อการดำเนินงาน และบริการออนไลน์ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส

อย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

IOC

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยค้นพบแพ็คเกจ PyPI ปลอมตัวใหม่ที่ชื่อว่า 'secretslib' ที่ถูกออกแบบมาเพื่อวาง fileless cryptominer บนระบบปฏิบัติการ Linux โดย "secretslib" ถูกดาวน์โหลดไปแล้ว 93 ครั้งก่อนที่จะถูกลบ ถูกเผยแพร่ใน Python Package Index (PyPI) ตั้งแต่เมื่อวันที่ 6 สิงหาคม พ.ศ. 2565 Axe Sharma นักวิจัยจาก Sonatype ได้ระบุในรายงานการตรวจสอบว่า แพ็คเกจดังกล่าวจะแอบเรียกใช้ cryptominers บนหน่วยความจำบนเครื่องของเหยื่อโดยตรง ซึ่งเป็นเทคนิคที่มักถูกใช้จากพวก Fileless มัลแวร์ โดยมันจะเรียกใช้ Linux executable file ที่ถูกดาวน์โหลดมาจากเซิร์ฟเวอร์ภายนอกที่ชื่อว่า "memfd" ซึ่งจริงๆแล้วคือ Monero cryptominer

โดยผู้ที่อยู่เบื้องหลังแพ็คเกจดังกล่าวมีการใช้ข้อมูลระบุตัวตน และข้อมูลติดต่อของวิศวกรซอฟต์แวร์ที่น่าเชื่อถือที่ทำงานให้กับ Argonne National Laboratory ซึ่งเป็นห้องปฏิบัติการที่ได้รับทุนสนับสนุนจากกระทรวงพลังงานของสหรัฐฯ เพื่อให้แพ็คเกจดังกล่าวมีความน่าเชื่อถือ เมื่อไม่กี่วันก่อน นักวิจัย Check Point พึ่งค้นพบแพ็คเกจที่เป็นอันตรายอีก 10 แพ็คเกจใน Python Package Index (PyPI) โดยแพ็คเกจจะทำให้ผู้โจมตีสามารถขโมยข้อมูลส่วนตัวของนักพัฒนาได้

ที่มา : thehackernews.

Ryan Robinson ผู้เชี่ยวชาญจาก Intezer ค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ในรูปแบบที่ไม่เคยถูกพบมาก่อน โดยครั้งนี้ใช้ชื่อว่า Lightning Framework ความพิเศษคือมันสามารถแก้ไข architecture และติดตั้ง Rootkit บนเครื่องเป้าหมายได้อีกด้วย นอกจากนี้ยังมีความสามารถอื่นๆอีกมาย เช่น มีการติดต่อกับผู้โจมตีทั้งแบบ Auto และแบบ Active, การเปิด SSH บนเครื่องเป้าหมาย รวมไปถึงการปรับเปลี่ยนคำสั่งที่ใช้ในการควบคุมเครื่องเหยื่อได้อีกด้วย

ลักษณะการโจมตี

มัลแวร์นี้จะใช้ Downloader โหลด Module ที่ชื่อ kbioset และ kkdmflush ซึ่งทำหน้าที่สำหรับดึงปลั๊กอินอื่นๆอย่างน้อย 7 ชนิดจาก Server ภายนอกมาติดตั้ง ซึ่งปลั๊กอินเหล่านี้จะถูกเรียกใช้ใน Component หลักในเวลาต่อมา

นอกจากจะทำหน้าที่ในการดาวโหลด Module ต่างๆแล้ว Downloader จะทำหน้าที่ปกป้องให้ Module ที่โหลดมาคงอยู่บนระบบได้ด้วย
จากนั้น Module หลักของมัลแวร์จะสร้างช่องทางการติดต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อดึงคำสั่งในการรันปลั๊กอิน ซึ่งมีทั้งคำสั่ง Run PowerShell, อัปโหลดไฟล์ไปยัง C2 Server,เขียนข้อมูลลงในไฟล์ หรือแม้แต่อัปเดต และลบตัวเองออกจากเครื่องเป้าหมาย
สุดท้าย มันจะทำการสร้างสคริปต์สำหรับ Autorun ทำให้ตัวมันทำงานทันทีแม้จะมีการ Reboot ระบบ

สิ่งที่น่าสนใจของ Lightning Framework คือเป็น Framework ขนาดใหญ่ที่พัฒนาขึ้นสำหรับโจมตี Linux Server โดยเฉพาะ ผู้ใช้งานจึงต้องหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : thehackernews