แฮ็กเกอร์รัสเซียได้พัฒนาวิธีการที่จะทําลายระบบควบคุมอุตสาหกรรมโดยใช้เทคนิค living-off-the-land ซึ่งช่วยให้สามารถเข้าถึงขั้นตอนสุดท้ายของการโจมตีได้รวดเร็วยิ่งขึ้น และใช้ทรัพยากรน้อยลง

นักวิจัยด้านความปลอดภัยเน้นย้ำว่าการเปลี่ยนแปลงนี้เปิดประตูสู่การโจมตีที่ยากต่อการตรวจจับ และไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อนสำหรับระบบควบคุมอุตสาหกรรม (ICS)

Native binary เพื่อส่งคำสั่ง

เมื่อปีที่แล้วกลุ่มผู้โจมตี Sandworm ได้โจมตีระบบโครงสร้างพื้นฐานสำคัญของยูเครน โดยใช้ระยะเวลาในการโจมตีไม่ถึง 4 เดือนทำให้ไฟดับเพิ่มขึ้นเป็นสองเท่าจากการใช้ขีปนาวุธโจมตีสถานที่สำคัญทั่วประเทศ

Sandworm เป็นกลุ่มแฮ็กเกอร์ที่มีบทบาทมาตั้งแต่ปี 2009 และเชื่อมโยงกับ General Staff Main Intelligence Directorate (GRU) ของรัสเซีย โดยมุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) และมีส่วนร่วมในการจารกรรม และการโจมตีทางไซเบอร์แบบทำลายล้างในช่วงปลายปี 2022 โดยทีม Incident Respond จาก Mandiant ซึ่งเป็นบริษัทลูกของ Google ในปัจจุบัน เป็นผู้ตอบสนองต่อเหตุการณ์การโจมตีทางไซเบอร์ที่สร้างความเสียหายในยูเครน ซึ่งพวกเขาระบุว่าเป็นกลุ่ม Sandworm และได้ทำการวิเคราะห์กลยุทธ์ เทคนิค และขั้นตอนต่าง ๆ

(more…)

ผู้เชี่ยวชาญจาก SentinelOne ได้ค้นพบข้อมูลใหม่เกี่ยวกับกลุ่ม ransomware-as-a-service (RaaS) อย่าง LockBit 3.0 ซึ่งพบว่ามีการใช้งาน Command-Line ของ Windows Defender สำหรับการติดตั้ง Cobalt Strike หลังจากที่เข้าถึงเครื่อง VMware Horizon Server ของเป้าหมายโดยผ่านช่องโหว่ Log4Shell

รายละเอียดการโจมตี

เมื่อ LockBit 3.0 เข้าถึงเครื่องเป้าหมายได้แล้ว มันจะทำการรัน Tools ต่างๆ เพิ่มเติม เช่น Meterpreter, PowerShell Empire นอกจากนี้ยังใช้วิธีการใหม่ในการติดตั้ง Cobalt Strike
จริง ๆ แล้วเทคนิคนี้มีชื่อว่า living-off-the-land (LotL) คือการใช้ซอร์ฟแวร์ที่มีอยู่แล้วบนระบบมาใช้ประโยชน์ในการโจมตี ซึ่งก่อนหน้ามีการใช้ VMwareXferlogs.