กลุ่ม Lazarus แฮ็กเกอร์ มุ่งเป้าโจมตี VMware servers ด้วยช่องโหว่ Log4Shell

กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers

โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน

นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์

รายละเอียดการโจมตี

กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped

ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้

หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย

ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย

ข้อมูลเพิ่มเติม

นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย

ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน

เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer.

แพตช์เร่งด่วนของ Amazon สำหรับแก้ไขช่องโหว่ Log4j กลับพบว่ามีช่องโหว่ Privilege Escalation

"Hotpatch" ที่เผยแพร่โดย Amazon Web Services (AWS) เพื่อแก้ไขปัญหาช่องโหว่ของ Log4Shell กลับทำให้ผู้โจมตีสามารถใช้ในการเพิ่มระดับสิทธิ์ และ container escape ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้

นอกเหนือจาก Container แล้ว กระบวนการที่ไม่ได้รับสิทธินี้ยังสามารถใช้ประโยชน์จากแพตช์เพื่อยกระดับสิทธิ์ และใช้ root code execution ได้” Yuval Avrahami นักวิจัยจาก Palo Alto Networks Unit 42 กล่าวในรายงานที่เผยแพร่ในสัปดาห์นี้

ปัญหาของช่องโหว่ CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 และ CVE-2022-0071 (คะแนน CVSS: 8.8) ซึ่งเป็นผลกระทบมาจากแพตช์แก้ไขเร่งด่วนจาก AWS โดยเกิดมาจากการที่แพตซ์ถูกออกแบบมาเพื่อค้นหา process ของ Java และแก้ไขช่องโหว่ของ Log4j แต่ไม่ได้มีการตรวจสอบ process ของ Java ใหม่ ที่จะทำงานภายในข้อจำกัดที่กำหนดไว้ใน Container

process ใดๆที่มีการรันในไบนารีชื่อว่า 'java' ไม่ว่าภายใน หรือภายนอก Container จะถูกแก้ไขจากแพตช์เร่งด่วนที่ออกมานี้" Avrahami อธิบายอย่างละเอียดว่า "ซึ่งทำให้ Malicious container อาจใช้ Malicious binary ที่มีชื่อว่า 'java' เพื่อหลอกให้แพตช์แก้ไขเร่งด่วนที่ติดตั้งไว้ เรียกใช้ด้วยสิทธิ์ระดับสูง"

ในขั้นตอนต่อมา สิทธิ์ที่ยกระดับขึ้นอาจถูกนำไปใช้ประโยชน์โดย malicious 'java' process เพื่อหลีกเลี่ยงการตรวจจับของ Container และเข้าควบคุมเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์

"Container มักถูกใช้เป็นขอบเขตความปลอดภัยระหว่างแอปพลิเคชันที่ทำงานบนเครื่องเดียวกัน" Avrahami กล่าว "การหลีกเลี่ยงการตรวจจับของ Container ทำให้ผู้โจมตีสามารถขยายแคมเปญได้มากกว่าแอปพลิเคชันเดียว"

ขอแนะนำให้ผู้ใช้อัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews.

กลุ่มแฮกเกอร์จีน ใช้ Rookit บน Windows ตัวใหม่ที่ชื่อว่า Fire Chili

Deep Panda กลุ่มแฮ็กเกอร์ชาวจีน ใช้ช่องโหว่ log4shell โจมตีไปยัง VMware Horizon Server เพื่อติดตั้ง rootkit ตัวใหม่ที่มีชื่อเรียกว่า Fire Chili

Rootkit ดังกล่าว มี Digital signed certificate จาก Frostburn Studios (ผู้พัฒนาเกม) หรือจาก Comodo (ซอฟต์แวร์ด้านความปลอดภัย) ทำให้มันสามารถที่จะหลบเลี่ยงการตรวจจับของซอฟแวร์ป้องกันไวรัสได้ ซึ่งล่าสุดทาง Fortinet พบว่ากลุ่มแฮ็กเกอร์ Deep Panda ได้ทำการขโมย certificates ที่ถูกต้องดังกล่าวมาจากบริษัทข้างต้น

Deep Panda เป็นหนึ่งใน APT สัญชาติจีนที่มีชื่อเสียงอย่างมากในปฏิบัติการจารกรรมทางไซเบอร์มาเป็นระยะเวลานาน โดย FBI สามารถจับกุมสมาชิกของกลุ่มได้รายหนึ่งเมื่อปี 2560 หลังจากมีหลักฐานว่าเจ้าตัวเกี่ยวข้องกับการโจมตีโดยใช้ช่องโหว่ Zero-day 3 ช่องโหว่

Fire Chili rootkit

Rootkit เป็นมัลแวร์ที่มักจะแอบติดตั้งในรูปแบบเหมือนเป็น driver ของ Windows API ต่างๆ เพื่อแอบซ่อนไฟล์ หรือ Process ต่างๆของมันในระบบปฏิบัติการ เช่น ด้วยการเชื่อมต่อกับฟังก์ชัน programming บน Windows ตัว rootkit สามารถซ่อนชื่อไฟล์ process และ registry keys ไม่ให้ถูกตรวจพบได้ และเนื่องจากตัวมันมี digital certificates ที่ถูกต้องอีกด้วย จึงทำให้สามารถหลีกเลี่ยงการตรวจจับของซอฟแวร์ด้านความปลอดภัยและติดตั้งลงบนเครื่องได้อย่างง่ายดาย

หลังจากเริ่มทำงาน Fire Chili จะทำการตรวจสอบด้วยว่าตัวมันกำลังทำงานอยู่บนระบบที่ไม่ใช่ระบบที่ถูกสร้างขึ้นเพื่อดักจับการทำงานของมันอย่างเช่นพวก honeypot ได้อีกด้วย

Rootkit จะใช้ฟังก์ชันในการซ่อนตัวที่เรียกว่า IOCTLs (input/output control system calls) ตัวอย่างเช่น ในการซ่อนการเชื่อมต่อด้วย TCP Protocol จาก Netstat rootkit จะดักจับการเรียกใช้งาน IOCTL ตามปกติ หลังจากนั้นจะ Filter connection ของตัวมันออก แล้วค่อยแสดงผลเพื่อหลีกเลี่ยงการตรวจจับพฤติกรรมของมัน

นอกจากนี้ทาง Fortinet ยังพบว่าเคมเปญดังกล่าวมีความเกี่ยวข้องกับ Winnti ซึ่งก็เป็นอีกกลุ่มแฮ็กเกอร์ชาวจีนที่เป็นที่รู้จักในการโจมตีโดยใช้ Digital signed certificate ที่ถูกต้องเช่นเดียวกัน โดยกลุ่ม Winnti นั้นจะโจมตีไปยังบริษัทเกมเพื่อแอบขโมยข้อมูล digital certificates ออกมา ข้อมูลการเชื่อมโยงระหว่างสองกลุ่มนี้อาจยังไม่ชัดเจน แต่มีความเป็นไปได้ว่านักพัฒนาทั้งสองกลุ่มจะแบ่งปันข้อมูลกัน เช่น Digital signed certificate และ C2 Server เป็นต้น

ที่มา : bleepingcomputer

กลุ่ม Night Sky Ransomware ใช้ช่องโหว่ของ Log4j เพื่อโจมตี VMware Horizon servers

กลุ่ม Night Sky เริ่มใช้ประโยชน์จากช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell เพื่อเข้าถึงระบบ VMware Horizon

การโจมตีเริ่มขึ้นเมื่อต้นเดือนมกราคม

Night Sky Ransomware ถูกตรวจพบเมื่อปลายเดือนธันวาคม 2564 โดยทีมนักวิจัยด้านความปลอดภัยของ MalwareHunter ซึ่งกล่าวถึงกลุ่ม Night Sky Ransomware ว่ามีการมุ่งเป้าไปที่เครือข่าย Network ขององค์กรต่างๆ และมีเหยื่อหลายรายที่โดน Ransomware เรียกค่าไถ่ และพบว่ามีเหยื่อจากหนึ่งในนั้นถูกเรียกค่าไถ่เป็นจำนวน 800,000 ดอลลาร์

เมื่อวันจันทร์ที่ผ่านมา Microsoft ได้เผยแพร่คำเตือนเกี่ยวกับแคมเปญใหม่จากแฮ็กเกอร์ชาวจีนที่ถูกเรียกชื่อว่า DEV-0401 ซึ่งใช้ประโยชน์จากช่องโหว่ของ Log4Shell บนระบบ VMware Horizon เพื่อติดตั้ง Night Sky ransomware.

ทีมงาน I-SECURE ขอประมวลเหตุการณ์ช่องโหว่ ที่จัดอยู่ในระดับความรุนแรงสูงมาก พร้อมผลทดสอบการป้องกันการโจมตี ของ Log4j หรืออีกชื่อหนึ่ง Log4Shell โดยมีหมายเลขช่องโหว่เป็น CVE-2021-44228 ที่ผ่านมาตลอด 1 สัปดาห์

เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.

เพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัย ช่องโหว่ Log4shell ด้วย Custom IOA จาก CrowdStrike

จากเหตุการณ์การเกิดช่องโหว่ CVE2011-42288 Log4shell การป้องกันช่องโหว่ด้วยวีธี Update/Patch เป็นการแก้ไขปัญหาที่ดีที่สุด แต่ถ้ายังไม่สามารถทำได้ในทันทีล่ะ
.
ทางทีม MDR มีอีกวิธีที่จะมาช่วยเพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัยหรืออาจจะเข้าข่ายการโจมตีด้วยช่องโหว่ Log4shell ด้วยการทำเงื่อนไขการตรวจจับแบบปรับแต่งเอง หรือ Custom IOA จาก CrowdStrike (Require Falcon Insight Module)
.
โดยหากเราลองใช้สมมติฐานที่ว่า……
การโจมตีด้วยช่องโหว่ Log4shell คือการโจมตี Package Log4j ที่ทำงานบนภาษา Java หรือพูดง่ายๆ คือสามารถสั่งให้ Process Java บนเครื่องของเรา ให้ Run process หรือ คำสั่งใดๆ ก็ได้ (อาจจะด้วยการ JNDI Injection)
.
เราสามารถตั้งเงื่อนไข Custom IOA ได้ว่า ถ้า Process Java มีการเรียกใช้งานหรือไปสร้าง Child Process ต่างๆ เช่น sh , bash , dash , curl , python เป็นต้น และให้ CrowdStrike ทำการ Detect และแจ้งผู้ดูแลระบบเพื่อให้ผู้ดูแลระบบสามารถเข้าตรวจสอบพฤติกรรมดังกล่าวได้อย่างทันท่วงที
.
ซึ่งเป็นการเพิ่ม Visibility ให้แก่ผู้ดูแลระบบเพื่อรับมือการอาจจะถูกโจมตีช่องโหว่ Log4shell ได้ไม่มากก็น้อยเพื่อเป็นตัวช่วยคุณอย่างนึง ในระหว่างรอการ Update/Patch อยู่นั้นเอง
แต่หากคุณเจอ False Positive อย่าเพิ่งตกใจไปนะ เราสามารถทำการ Fine-Tune Customer IOA ของเรา โดยเพิ่ม Exclusion ให้กับ Child Process ที่เป็นการใช้งานปกติได้เพิ่มเติมภายหลังได้

ตัวอย่างการทำ Generic Custom IOA บน Linux environment

 

 

 

 

 

 

 

 

 

ตัวอย่าง Detection เมื่อพบเหตุการณ์ที่ตรงกับเงื่อนไข Custom IOA

 

 

 

 

 

 

พบ Java มีการเรียกใช้ Dash และ Curl

ทั้งนี้เพื่อให้การ Custom IOA เหมาะกับองค์กรของคุณและสามารถ Detect พฤติกรรมที่น่าสงสัยได้อย่างเต็มประสิทธิภาพ สามารถติดต่อไปยังทีมงานผู้เชี่ยวชาญของ I-SECURE กันได้นะคะ
Facebook Page : @isecure.

ตรวจสอบการโจมตี CVE-2021-44228 LOG4SHELL ในรูปแบบ Bypass WAF Signature

จากข่าวช่องโหว่ CVE2011-42288 Log4shell ทีมงาน Application Security ของทาง I-SECURE ได้มีการติดตามในส่วนของ WAF Signature เพิ่มเติม เพื่อตรวจสอบในส่วนของ Bypass WAF อยู่ 7 รูปแบบ ได้แก่
1. ${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.