FBI และ CISA เปิดเผยข้อมูลของกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่าน ในเหตุการณ์การโจมตีองค์กร Federal Civilian Executive Branch (FCEB) เพื่อติดตั้งมัลแวร์ XMRig cryptomining ซึ่งในครั้งนี้ผู้โจมตีเข้าสู่เครือข่ายผ่านเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์ ผ่านช่องโหว่ Log4Shell (CVE-2021-44228)
ลักษณะการโจมตี
ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Log 4Shell ในการเข้าไปยังเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์
เมื่อเข้าสู่ VMware Horizon ได้แล้ว มันจะทำการติดตั้ง XMRig cryptomining
หลังจากติดตั้ง Cryptocurrency แล้ว ผู้โจมตีได้ใช้เทคนิค lateral Movement ไปยัง Domain Controller (DC) เพื่อทำการขโมย Credential
เมื่อได้ Credential ที่ต้องการแล้ว ผู้โจมตีจะทำการตั้งค่า Reverse Proxy บนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อให้มัลแวร์สามารถแฝงตัวอยู่ภายในเครือข่าย
จากเหตุการณ์ทั้งหมด หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทั้งสองแห่งระบุว่าองค์กรใดที่ยังไม่ได้อัปเดตแพตช์ Log4Shell บนระบบ VMware ให้คาดหมายว่าองค์กรนั้นถูกโจมตีไปเรียบร้อยแล้ว ปละแนะนำให้เริ่มตรวจสอบพฤติกรรมที่ผิดปกติภายในเครือข่ายทันที
Log4Shell สามารถถูกใช้ในการโจมตีจากระยะไกลเพื่อเข้าถึงเซิร์ฟเวอร์ที่มีช่องโหว่ จากนั้นมันจะทำการ lateral Movement เพื่อเข้าถึงระบบอื่น ๆ ในองค์กรเพื่อขโมยข้อมูลที่สำคัญ ซึ่งหลังจากที่มีการเปิดเผยข้อมูลของช่องโหว่ดังกล่าวออกมาในเดือนธันวาคม 2021 ผู้โจมตีหลายรายก็เริ่มมีการสแกนหา และใช้ประโยชน์จากช่องโหว่นี้ในทันที โดยตั้งแต่เดือนมกราคมที่ผ่านมา มีผู้ที่ใช้ช่องโหว่นี้โจมตีเป็นจำนวนมาก เช่น กลุ่มแฮ็กเกอร์ชาวจีนใช้สำหรับNight Sky ransomware, กลุ่ม Lazarus จากเกาหลีเหนือสำหรับการติดตั้ง information stealers, กลุ่มแฮ็กเกอร์ TunnelVision ใช้ช่องโหว่เพื่อติดตั้ง Backdoors เป็นต้น
แนวทางการป้องกัน
อัปเดตระบบ VMware Horizon และ Unified access gateway (UAG) ที่ได้รับผลกระทบเป็นเวอร์ชันล่าสุด
ลดจำนวนระบบที่เป็น Internet-facing ให้เหลือน้อยที่สุด
ดำเนินการทดสอบและตรวจสอบ Security Program ขององค์กรให้สามารถตรวจจับภัยคุกคามได้โดยอ้างอิงกับ MITER ATT&CK for Enterprise framework
ดำเนินการทดสอบความปลอดภัยที่มีอยู่ขององค์กรโดยใช้เทคนิค ATT&CK โดยทดสอบดังนี้ hxxps://www[.]cisa[.]gov/uscert/ncas/alerts/aa22-320a#:~:text=fbi[.]gov[.]-,Mitigations,-CISA%20and%20FBI
ที่มา : bleepingcomputer