Kaspersky บริษัทด้านความปลอดภัยจากรัสเซียได้เปิดเผยการค้นพบเทคนิคใหม่ในการโจมตีของกลุ่ม BlueNoroff ที่ใช้ในการ bypass การตรวจจับจาก Windows MotW (Mark of the Web) ซึ่งรวมถึงการใช้ไฟล์ .ISO และ .VHD ในการโจมตีเหยื่อ

การโจมตี

โดยกลุ่ม BlueNoroff จะโจมตีเป้าหมายด้วยการส่งไฟล์ .ISO ที่แนบมากับ Phishing Email ซึ่งภายในมีไฟล์ Microsoft PowerPoint (.PPSX) ที่ถูกฝัง Visual Basic Script (VBScript) เอาไว้ที่จะทำงานเมื่อเป้าหมายเปิดไฟล์ PowerPoint

อีกวิธีการหนึ่งคือการใช้ Windows batch file โดยการใช้ประโยชน์จากเทคนิค living-off-the-land binary (LOLBin) เพื่อทำการดาวน์โหลดเพย์โหลดสำหรับการโจมตีขั้นต่อไป

นอกจากนี้ Kaspersky ยังพบไฟล์ .VHD ซึ่งภายในมีไฟล์ PDF ใบสมัครงานปลอม เมื่อเป้าหมายเปิดไฟล์ PDF จะทำการดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรม Anti-Virus เพื่อทำการปิดระบบ User-Mode Hooks/ NTDLL.dll hooking ของ Anti-Virus หรือ EDR (Endpoint Detection and Response ) ที่ติดตั้งอยู่บนเครื่อง ทำให้ไม่สามารถตรวจจับการโจมตีได้

กลุ่ม BlueNoroff

BlueNoroff ** ซึ่งมีชื่อเรียกอีกอย่างว่า APT38 เป็นส่วนหนึ่งของกลุ่ม Lazarus threat group ซึ่งเป็นกลุ่ม Hackers ขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (Nation-State Threat Actor) มีเป้าหมายในการโจมตีคือ การเรียกค่าไถ่จากเหยื่อ โดยได้แทรกซึม และเกี่ยวข้องกับเหตุการณ์โจมตีในหลายภูมิภาคทั้งอเมริกาเหนือและใต้ ยุโรป แอฟริกา และเอเชีย

กลุ่ม BlueNoroff ได้เริ่มต้นโจมตีเป้าหมายในอุตสาหกรรมการเงิน ไม่ว่าจะเป็นเหตุการณ์โจมตีเครือข่ายธนาคาร SWIFT ในปี 2015 และการโจมตีธนาคารในบังคลาเทศ ซึ่งมีมูลค่าความเสียหายถึง 81 ล้านดอลลาร์ ต่อมากลุ่ม BlueNoroff ได้เปลี่ยนเป้ามายการโจมตีมายังอุตสาหกรรม Cryptocurrency ในปี 2018

โดยทาง Kaspersky ได้ค้นพบแคมเปญการโจมตีที่ชื่อ SnatchCrypto เพื่อขโมยเงินจาก cryptocurrency wallets ของเหยื่อ รวมถึงการการสร้างแอป Cryptocurrency ปลอม เพื่อให้เหยื่อดาวน์โหลดแอปพลิเคชั่นซึ่งได้ฝังแบ็คดอร์ในชื่อ “AppleJeus” ที่สามารถขโมย Cryptocurrency ของเหยื่อได้

ในปี 2022 นี้ พบว่ากลุ่ม BlueNoroff ได้สร้างโดเมนปลอมจำนวนมากโดยแอบอ้างเป็นบริษัทร่วมทุน และธนาคารของญี่ปุ่นที่ถูกต้องตามกฎหมาย แสดงให้เห็นว่าบริษัทการเงินในประเทศญี่ปุ่น กำลังตกเป็นเป้าหมายในการโจมตีของกลุ่ม BlueNoroff

จากรายงานของ National Intelligence Service (NIS) ของเกาหลีใต้ กลุ่ม BlueNoroff หรือ APT38 ซึ่งเป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้สร้างความเสียหาย และขโมยเงินดิจิทัล และสินทรัพย์ดิจิทัลอื่น ๆ มูลค่ากว่า 1.2 พันล้านดอลลาร์จากเป้าหมายทั่วโลกในช่วงห้าปีที่ผ่านมา

ที่มา : thehackernews

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.