โรงพยาบาล Lurie Children's ปิดระบบชั่วคราวหลังถูกโจมตีทางไซเบอร์
Lurie Children's เป็นหนึ่งในโรงพยาบาลเด็กชั้นนำของประเทศสหรัฐอเมริกาที่ให้บริการด้านการดูแลเด็กในชิคาโก โดยมีเตียง 360 เตียง แพทย์ 1,665 ราย ครอบคลุมสาขาเฉพาะทาง 70 แห่ง และมีบุคลากรทางการแพทย์ และพนักงาน 4,000 ราย ที่ให้การดูแลเด็กกว่า 200,000 รายต่อปี (more…)
นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Huntress ได้ออกมาแจ้งเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังถูกพบเพิ่มมากขึ้นเมื่อเร็ว ๆ นี้ โดยการใช้เทคนิคใหม่จากผู้ไม่หวังดีที่ใช้ TeamViewer เพื่อนำ LockBit ransomware มาติดตั้งบนระบบ
TeamViewer มีประวัติการถูกโจมตีในวงกว้างมาก่อนหน้านี้ โดยเมื่อล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า มีการโจมตีโดยผู้ไม่หวังดีเพิ่มขึ้นจากการใช้ TeamViewer ซึ่งเป็นเครื่องมือในการเข้าถึงจากระยะไกล เพื่อนำ LockBit ransomware มาใช้ในการโจมตี ซึ่งอาจทำให้ผู้ใช้งานตกเป็นเป้าหมายของการเข้ารหัสข้อมูล และการเรียกค่าไถ่ (more…)
นักวิจัยพบกลุ่ม LockBit ransomware ใช้ช่องโหว่ Citrix Bleed (CVE-2023-4966) เพื่อโจมตีไปยัง Citrix servers ขององค์กรขนาดใหญ่ เพื่อขโมยข้อมูล และเข้ารหัสไฟล์
แม้ว่าทาง Citrix จะทำการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ CVE-2023-4966 มามากกว่าหนึ่งเดือนแล้ว แต่ยังพบว่าอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตหลายพันเครื่องยังคงมีช่องโหว่ดังกล่าวอยู่ ซึ่งหลายแห่งอยู่ในสหรัฐอเมริกา
การโจมตีของ LockBit ransomware
โดยนักวิจัยด้านภัยคุกคามทางไซเบอร์ Kevin Beaumont ได้ติดตามเหตุการณ์การโจมตีทางไซเบอร์ของบริษัทต่าง ๆ รวมถึง Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy และ Boeing (more…)
เมื่อเร็ว ๆ นี้ PaperCut ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์การจัดการการพิมพ์ NG/MF ซึ่งช่วยให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ Windows ที่ยังไม่ได้อัปเดตแพตช์
โดยช่องโหว่มีหมายเลข CVE-2023-39143 ช่องโหว่นี้เป็นผลมาจากช่องโหว่ path traversal 2 รายการ ที่ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Horizon3 ซึ่งทำให้ผู้โจมตีสามารถอ่าน ลบ (more…)
นักวิจัยจาก VulnCheck ได้เผยแพร่ proof-of-concept (PoC) ซึ่งเป็นชุดสาธิตการโจมตีช่องโหว่ใน PaperCut รูปแบบใหม่ ที่สามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยได้
CVE-2023-27350 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) หรือช่องโหว่ใน PaperCut ซึ่งเป็นช่องโหว่ระดับ critical ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ใน PaperCut MF หรือ NG เวอร์ชัน 8.0 และใหม่กว่า ซึ่งกำลังถูกนำมาใช้ในการโจมตีด้วยแรนซัมแวร์ (more…)
MalwareHunterTeam ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยเฉพาะ ซึ่งเป็นครั้งแรกที่พบปฏิบัติการของกลุ่ม Ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยตรง
โดย MalwareHunterTeam พบตัวเข้ารหัสดังกล่าวจากไฟล์ ZIP บน VirusTotal ที่ถูกอัพโหลดขึ้นไปในเดือนธันวาคม 2022 ซึ่งพบว่ามีตัวเข้ารหัสของ LockBit ransomware อยู่ด้วย ซึ่งพบว่ามีตัวเข้ารหัสสำหรับระบบที่ไม่เคยถูกพบมาก่อนเช่น macOS, ARM, FreeBSD, MIPS และ SPARC CPUs (more…)
นักวิจัยด้านภัยคุกคามทางไซเบอร์จาก CYFIRMA ได้ออกมาเปิดเผยข้อมูลของ Exfiltrator-22 ซึ่งเป็นเครื่องมือที่ใช้สำหรับ post-exploitation framework โดยมีความสามารถในการแพร่กระจาย ransomware ในเครือข่ายของเป้าหมาย และสามารถหลีกเลี่ยงการตรวจจับได้อีกด้วย
Exfiltrator-22
โดย Exfiltrator-22 ได้ถูกสร้างขึ้นจาก อดีต Hacker ในเครือข่ายของ Lockbit 3.0 ที่มีความเชี่ยวชาญในการสร้างวิธีการหลีกเลี่ยงการตรวจจับระหว่างการโจมตี โดยได้สร้างชุดเครื่องมือการโจมตีนี้ขึ้นเพื่อให้กลุ่ม Hacker อื่น ๆ นำไปใช้โดยต้องจ่ายค่าธรรมเนียมการสมัครสมาชิก ซึ่งมีราคาอยู่ที่ระหว่าง $1,000 ต่อเดือนถึง $5,000 สำหรับการเข้าถึงตลอดอายุการใช้งาน ซึ่งมีการอัปเดต และการสนับสนุนอย่างต่อเนื่อง
หลังจาก Hacker ได้ทำการซื้อเครื่องมือนี้จะได้รับ admin panel host บน bulletproof VPS (virtual private server) ที่ไว้ใช้สำหรับควบคุม และสั่งการมัลแวร์ รวมถึงส่งการโจมตีไปยังระบบของเป้าหมาย
การพัฒนา Exfiltrator-22
โดยเวอร์ชันแรกของ Exfiltrator-22 (EX-22) เปิดตัวในวันที่ 27 พฤศจิกายน 2022 และได้ทิ้งช่องทางการติดต่อผ่าน Telegram channel ไว้โฆษณา รวมถึงในช่วงสิ้นปีได้เปิดตัวคุณสมบัติใหม่ที่ช่วยปกปิดการเชื่อมต่อบนอุปกรณ์ของเป้าหมาย ซึ่งแสดงให้ห็นถึงการพัฒนาเครื่องมืออย่างต่อเนื่อง
ในเดือนมกราคม 2023 Exfiltrator-22 ได้ประกาศว่าขณะนี้ระบบได้ถูกพัฒนาไปแล้วกว่า 87% ซึ่งใกล้จะพร้อมใช้งานแล้ว รวมถึงได้มีการประกาศราคาการสมัครสมาชิก พร้อมทั้งเชิญชวนให้กลุ่ม Hacker ต่าง ๆ มาใช้งาน
เมื่อวันที่ 10 กุมภาพันธ์ 2023 Exfiltrator-22 ได้โพสต์วิดีโอสาธิตสองรายการบน YouTube เพื่อแสดงวิธีการโจมตีต่อไปยังระบบอื่น ๆ ของ EX-22 และความสามารถในการแพร่กระจายแรนซัมแวร์ ซึ่งแสดงให้เห็นถึงความพร้อมในการให้บริการ
คุณสมบัติของ Exfiltrator-22
Exfiltrator-22 มีคุณสมบัติทั่วไปเหมือนกับ post-exploitation toolkit อื่น ๆ ยังรวมถึงคุณสมบัติเพิ่มเติมที่มุ่งเน้นไปที่การติดตั้งแรนซัมแวร์ และการขโมยข้อมูล
คุณสมบัติเด่นที่อยู่ในเฟรมเวิร์ก :
การสร้าง reverse shell ด้วยสิทธิ์ระดับสูง
การอัปโหลดไฟล์ไปยังระบบของเป้าหมาย หรือดาวน์โหลดไฟล์จากเครื่องเป้าหมายไปยัง C2 Server (Command & Control)
การเปิดใช้งาน keylogger เพื่อบันทึกข้อมูลจากแป้นพิมพ์
การเปิดใช้งาน ransomware module เพื่อเข้ารหัสไฟล์บนอุปกรณ์
การจับภาพหน้าจอจากคอมพิวเตอร์ของเหยื่อ
เริ่มเซสชัน live VNC (Virtual Network Computing) สำหรับการเข้าถึงแบบเรียลไทม์บนอุปกรณ์
การยกระดับเป็นสิทธิสูงบนอุปกรณ์ของเหยื่อ
การฝังตัวระหว่างการรีบูตระบบ (persistence)
การแพร่กระจายตัวไปยังอุปกรณ์อื่น ๆ ในเครือข่ายเดียวกัน หรืออินเทอร์เน็ตสาธารณะ
การคัดแยกข้อมูล (รหัสผ่าน และ token) จาก LSAAS (Local Security Authority Subsystem Service)
สร้าง cryptographic hash บนเครื่องเป้าหมาย เพื่อช่วยตรวจสอบตำแหน่งไฟล์ และเหตุการณ์การเปลี่ยนแปลงเนื้อหาอย่างสม่ำเสมอ
ตรวจสอบ running processes บนเครื่องเป้าหมาย
แยก token การตรวจสอบสิทธิ์ออกจากระบบเป้าหมาย
คำสั่งต่าง ๆ เหล่านี้ จะถูกส่งไปยังอุปกรณ์ที่ถูกบุกรุกผ่านโปรแกรมคอนโซล 'EX22 Command & Control' ของ Windows โดยข้อมูลจะถูกส่งกลับไปยัง C2 Server และแสดงผลในคอนโซลกลางของ Exfiltrator-22 รวมถึง Hacker ยังสามารถกำหนดงานตามกำหนดเวลา, อัปเดต Agent เป็นเวอร์ชันใหม่, เปลี่ยนแปลงการกำหนดค่าของแคมเปญ หรือสร้างแคมเปญใหม่ผ่าน web panel
การเชื่อมโยงกับสมาชิก LockBit ransomware
นักวิจัยยังพบว่า Exfiltrator-22 มีความเกี่ยวข้องกับ LockBit ransomware ไม่ว่าจะเป็นการใช้เทคนิค framework "domain fronting" เช่นเดียวกันกับ LockBit และ TOR plugin Meek ซึ่งช่วยซ่อนการรับส่งข้อมูลที่เป็นอันตรายภายในการเชื่อมต่อ HTTPS ไปยังแพลตฟอร์มสาธารณะ รวมถึงยังใช้ C2 infrastructure แบบเดียวกันกับ LockBit 3.0 อีกด้วย
IOC
ที่มา : bleepingcomputer, cyfirma
กลุ่ม LockBit ransomware ออกมาอ้างความรับผิดชอบว่าตนอยู่เบื้องหลังการโจมตี Royal Mail หนึ่งในผู้ให้บริการไปรษณีย์ และจัดส่งของรายใหญ่ของสหราชอาณาจักร ส่งผลให้บริการทั้งหมดต้องหยุดชะงัก ซึ่งก่อนหน้านี้ LockBit เคยให้ข้อมูลกับทีมงาน BleepingComputer ว่าทางกลุ่มไม่ได้โจมตี Royal Mail แต่เหตุการณ์ทั้งหมดเกิดจากมีผู้ไม่หวังดีนำ LockBit 3.0 builder ที่เคยถูกเผยแพร่ในเดือนกันยายน 2565 ไปใช้งาน แต่กลับไม่สามารถอธิบายได้ว่าทำไมบันทึกค่าไถ่ของ Royal Mail มีลิงก์ไปยังเว็บไซต์เจรจาค่าไถ่บน Tor ของ LockBit แทนที่จะเป็นเว็บไซต์ของผู้โจมตีรายอื่น
ต่อมา LockBitSupp จึงออกมายอมรับว่ากลุ่ม LockBit อยู่เบื้องหลังการโจมตีดังกล่าวจริง โดยจะให้ตัวถอดรหัส และลบข้อมูลที่ขโมยออกมาหาก Royal Mail ยอมจ่ายค่าไถ่ พร้อมกับระบุว่าข้อมูลที่ถูกขโมยออกมาจะถูกเผยแพร่ทางออนไลน์ในวันพฤหัสบดีที่ 9 กุมภาพันธ์ เวลา 03:42 น. ตามเวลา UTC หากไม่มีการจ่ายค่าไถ่
เหตุการณ์การโจมตี
หลังจากตรวจพบเหตุการณ์การโจมตี ทาง Royal Mail ได้ออกมาชี้แจงว่าการขนส่งในประเทศไม่ได้รับผลกระทบ แต่พบปัญหากับบริการระหว่างประเทศ ทำให้ไม่สามารถส่งสินค้าไปยังจุดหมายปลายทางในต่างประเทศได้ชั่วคราว มีการกำชับไม่ให้ผู้ใช้งานโพสต์รายการส่งออกใด ๆ ในขณะที่กำลังดำเนินการแก้ไขปัญหานี้ พร้อมกับขออภัยในความไม่สะดวกที่เกิดขึ้น
ต่อมา บริษัทยังได้รายงานเหตุการณ์ดังกล่าวไปยังหน่วยงานรักษาความปลอดภัยของสหราชอาณาจักร และกำลังดำเนินการตรวจสอบเหตุการณ์นี้ควบคู่ไปกับสำนักงานอาชญากรรมแห่งชาติ และศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC)
จากนั้น Royal Mail ได้ระบุเหตุการณ์ในครั้งนี้เป็น cyber incident และกล่าวว่าได้กู้คืนบริการบางส่วนที่ได้รับผลกระทบจากการโจมตีแล้ว
ล่าสุด Royal Mail ได้กลับมาให้บริการ International Standard & International Economy อีกครั้งสำหรับลูกค้าที่ใช้บริการไปรษณีย์ออนไลน์ พร้อมกับเปิดระบบบางส่วนให้กับลูกค้าที่เป็น business account ให้ใช้งาน
ที่มา : bleepingcomputer
LockBit 3.0 ใช้วิธีการเข้ารหัสแบบใหม่ในชื่อ LockBit Green
ผู้เชี่ยวชาญจาก VX-Underground ได้รายงานว่าผู้พัฒนา LockBit Ransomware มีการเปลี่ยนแปลงตัวเข้ารหัสอีกครั้ง ซึ่งในครั้งนี้หันมาใช้ชนิดเดียวกับ Conti Ransomware ที่เพิ่งปิดตัวลงไป และมีการใช้ชื่อใหม่ว่า LockBit Green
ตั้งแต่ LockBit Ransomware เปิดตัวก็มีการปรับเปลี่ยนวิธีการโจมตีรวมถึงวิธีการเข้ารหัสมาตลอด เวอร์ชันล่าสุดที่มีการประกาศอย่างเป็นทางการคือ LockBit 3.0 (หรือที่เรียกว่า LockBit Black) ซึ่งใช้วิธีการเข้ารหัสแบบเดียวกับ BlackMatter Ransomware
ในปัจจุบันมีการค้นพบว่า LockBit มีการใช้ตัวเข้ารหัสชนิดเดียวกับ Conti ซึ่งคาดว่าได้มาจาก Source Code ที่หลุดออกมาหลังจาก Conti ปิดตัวลง โดยหลังจากที่ Source Code ของ Conti หลุดได้ไม่นาน ก็มีกลุ่มแฮ็กเกอร์กลุ่มอื่น ๆ เริ่มใช้มันเพื่อสร้างตัวเข้ารหัสให้เป็นของตนเช่นเดียวกัน
ลักษณะการทำงาน
ตั้งแต่ข่าวของ LockBit Green เผยแพร่สู่สาธารณะ นักวิจัยก็ได้ตัวอย่างของ LockBit Green จากไฟล์บน VirusTotal และเว็บไซต์แชร์มัลแวร์อื่น ๆ
ต่อมาผู้เชี่ยวชาญจาก CyberGeeksTech ได้ใช้วิธีการ reverse-engineered กับตัวอย่างของ LockBit Green และระบุในรายงานกับ BleepingComputer ว่า ตัวเข้ารหัสที่ใช้เป็นตัวเข้ารหัสเดียวกับ Conti ที่พวกเขาเคยวิเคราะห์ไว้ก่อนหน้านี้อย่างแน่นอน โดยอัลกอริธึมการถอดรหัสก็เป็นชนิดเดียวกัน
จากนั้นบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง PRODAFT มีการแชร์ข้อมูล IOC ของ LockBit Green พร้อมกับส่งไฟล์ตัวอย่าง และระบุในรายงานกับ BleepingComputer ว่ามีเป้าหมายมากกว่า 5 รายที่ถูกโจมตีโดย LockBit Green แล้ว
หลังจากได้รับไฟล์ตัวอย่างจาก PRODAFT ทีมงาน BleepingComputer ได้ทดสอบไฟล์ดังกล่าว พบว่าไฟล์เรียกค่าไถ่ได้ถูกแก้ไขรายละเอียดจาก Conti ให้มาเป็นของ LockBit 3.0 แล้ว
อย่างไรก็ตาม การเปลี่ยนแปลงที่เห็นได้ชัดสุดคือ LockBit Green จะใช้ extension แบบสุ่ม แทนที่จะใช้ .lockbit แบบเวอร์ชั่นเก่า
IOC
ที่มา : bleepingcomputer
ผู้เชี่ยวชาญจาก SentinelOne ได้ค้นพบข้อมูลใหม่เกี่ยวกับกลุ่ม ransomware-as-a-service (RaaS) อย่าง LockBit 3.0 ซึ่งพบว่ามีการใช้งาน Command-Line ของ Windows Defender สำหรับการติดตั้ง Cobalt Strike หลังจากที่เข้าถึงเครื่อง VMware Horizon Server ของเป้าหมายโดยผ่านช่องโหว่ Log4Shell
รายละเอียดการโจมตี
เมื่อ LockBit 3.0 เข้าถึงเครื่องเป้าหมายได้แล้ว มันจะทำการรัน Tools ต่างๆ เพิ่มเติม เช่น Meterpreter, PowerShell Empire นอกจากนี้ยังใช้วิธีการใหม่ในการติดตั้ง Cobalt Strike
จริง ๆ แล้วเทคนิคนี้มีชื่อว่า living-off-the-land (LotL) คือการใช้ซอร์ฟแวร์ที่มีอยู่แล้วบนระบบมาใช้ประโยชน์ในการโจมตี ซึ่งก่อนหน้ามีการใช้ VMwareXferlogs.