Mandiant พบช่องโหว่ใหม่ใน Fortinet ซึ่งกำลังถูกใช้ในการโจมตีมาตั้งแต่เดือนมิถุนายน

รายงานจาก Mandiant ระบุว่า ช่องโหว่ใหม่ใน Fortinet FortiManager ที่เรียกว่า FortiJump และมีหมายเลข CVE-2024-47575 กำลังถูกใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน 2024 โดยใช้โจมตีเป้าหมายที่เป็นเซิร์ฟเวอร์กว่า 50 เครื่อง

ในช่วง 10 วันที่ผ่านมา มีข่าวลือเกี่ยวกับการโจมตีแบบ zero-day ของ FortiManager ที่กำลังถูกโจมตีอย่างต่อเนื่อง ซึ่งเกิดขึ้นหลังจากที่ Fortinet ได้แจ้งเตือนไปยังลูกค้าแบบส่วนตัว โดยเป็นการแจ้งเตือนด้านความปลอดภัยล่วงหน้า

วันนี้ Fortinet ได้เปิดเผยช่องโหว่ของ FortiManager โดยระบุว่าเป็นช่องโหว่ missing authentication flaw ใน API ของ "FortiGate to FortiManager Protocol" (FGFM) ที่ Fortinet สร้างขึ้น ซึ่งจะทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถใช้คำสั่งตามที่ต้องการบนเซิร์ฟเวอร์ และสามารถควบคุมอุปกรณ์ FortiGate ได้

กลุ่มผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการใช้ FortiManager และ FortiGate ที่ถูกควบคุมโดยผู้โจมตี และมี certificates ที่ถูกต้อง เพื่อใช้ในการลงทะเบียนกับเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผยได้

เมื่ออุปกรณ์ของพวกเขาเชื่อมต่อแล้ว แม้ว่าจะอยู่ในสถานะที่ไม่ได้รับอนุญาต พวกเขาก็สามารถใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่ง API บน FortiManager และขโมยข้อมูลการตั้งค่าของอุปกรณ์ได้

Fortinet ได้ออกแพตช์สำหรับ CVE-2024-47575 และเสนอวิธีการลดความเสี่ยง เช่น อนุญาตเฉพาะบาง IP address ที่มีความจำเป็นเท่านั้นให้สามารถเชื่อมต่อได้ หรือการป้องกันไม่ให้อุปกรณ์ FortiGate ที่ไม่รู้จักลงทะเบียนโดยใช้คำสั่ง fgfm-deny-unknown enable

ช่องโหว่ถูกใช้โจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน

Mandiant ระบุว่า กลุ่มผู้โจมตีชื่อว่า UNC5820 ได้เริ่มโจมตีอุปกรณ์ FortiManager ตั้งแต่วันที่ 27 มิถุนายน 2024

ตามรายงานจาก Mandiant ระบุว่ากลุ่ม UNC5820 ได้จัดเก็บ และขโมยข้อมูลการตั้งค่าของอุปกรณ์ FortiGate ที่มีการควบคุมโดย FortiManager ที่ถูกโจมตี

ข้อมูลนี้ประกอบด้วยรายละเอียดการตั้งค่าของอุปกรณ์ที่ถูกควบคุมโดย FortiManager รวมถึงผู้ใช้ และรหัสผ่านที่ถูกแฮชด้วย FortiOS256

ข้อมูลเหล่านี้อาจถูกใช้โดยกลุ่ม UNC5820 เพื่อใช้โจมตี FortiManager เพิ่มเติม และแพร่กระจายมัลแวร์ไปยังอุปกรณ์ Fortinet ที่อยู่ในการควบคุม และสุดท้ายก็โจมตีเข้าไปยัง environment ขององค์กร

การโจมตีครั้งแรกที่ถูกตรวจพบมาจาก IP 45[.]32[.]41[.]202 ซึ่งผู้โจมตีได้ลงทะเบียนไว้ใน FortiManager-VM ที่ไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผย

อุปกรณ์นี้ถูกระบุชื่อว่า "localhost" และใช้ Serial Number "FMG-VMTM23017412" ดังที่แสดงด้านล่าง

จากการโจมตีครั้งนี้ Mandiant ระบุว่ามีการสร้างไฟล์ 4 ไฟล์ ได้แก่

/tmp/.tm เป็นไฟล์เก็บข้อมูลที่ถูกบีบอัดด้วย gzip ซึ่งประกอบด้วยข้อมูลที่ถูกขโมยเกี่ยวกับอุปกรณ์ FortiGate ที่ถูกควบคุม และข้อมูลเกี่ยวกับเซิร์ฟเวอร์ FortiManager รวมถึงฐานข้อมูลทั่วโลก
/fds/data/unreg_devices.

Ars Technica ถูกใช้ในแคมเปญมัลแวร์ด้วยเทคนิคการหลีกเลี่ยงการตรวจจับที่ไม่เคยถูกพบมาก่อน

 

นักวิจัยความปลอดภัยทางไซเบอร์จาก Mandiant ได้รายงานในวันอังคารที่ผ่านมาว่า Ars Technica ได้ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์ใน Stage ที่สอง ในแคมเปญการโจมตีที่ยังไม่เคยถูกพบมาก่อน เพื่อหลีกเลี่ยงการตรวจจับได้อย่างชาญฉลาด (more…)

บัญชีของบริษัท Mandiant บนแพลตฟอร์ม X ถูกแฮ็ก เพื่อโปรโมทการหลอกลวงทางด้านคริปโตเคอร์เรนซี

บัญชี Twitter ของบริษัท Mandiant ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน และเป็นบริษัทในเครือของ Google ถูกแฮ็กในวันนี้ (3 มกราคม 2024) และถูกใช้ในการแอบอ้างว่าเป็น Phantom crypto wallet เพื่อหลอกลวงผู้ใช้งานคริปโตเคอร์เรนซี
(more…)

UNC2970 กลุ่ม Hacker ชาวเกาหลีเหนือ โจมตีด้วยมัลแวร์ตัวใหม่ผ่านทาง LinkedIn [EndUser]

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการค้นพบกลุ่ม Hacker ชาวเกาหลีเหนือที่ชื่อ UNC2970 ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมที่เกี่ยวข้องทางด้านกลาโหม, องค์กรสื่อ และเทคโนโลยีของสหรัฐฯ และยุโรปตั้งแต่เดือนมิถุนายน 2565 ที่ผ่านมา โดยปัจจุบันพบว่าได้มุ่งเป้าหมายไปยังนักวิจัยด้านความปลอดภัยโดยการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนผ่านทาง LinkedIn

UNC2970 เป็นชื่อของกลุ่ม Hacker ชาวเกาหลีเหนือที่มีการทำงานร่วมกับ UNC577 (หรือที่รู้จักกันในชื่อ Temp.

แฮ็กเกอร์ชาวเกาหลีเหนือใช้ PuTTY ปลอมเพื่อแอบติดตั้งแบ็คดอร์บนเครื่องเป้าหมาย

ผู้เชี่ยวชาญจาก Mandiant ตรวจพบกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือใช้งาน PuTTY SSH ในการติดตั้งแบ็คเดอร์ที่มีชื่อว่า AIRDRY.V2 บนเครื่องเป้าหมาย ผ่านการส่งอีเมลสมัครงานที่แอบอ้างว่ามาจาก Amazon

เหตุการณ์ในครั้งนี้เกิดจากกลุ่มที่มีชื่อว่า "UNC4034" (หรือที่รู้จักกันในชื่อว่า "Temp.

Mandiant ยืนยัน ยังไม่พบหลักฐานว่าบริษัทถูกโจมตีจาก LockBit ransomware

เมื่อวันที่ 6 มิถุนายนที่ผ่านมา กลุ่ม LockBit ransomware ได้เผยแพร่ข้อมูลลงบนเว็บไซต์รายงานข้อมูลรั่วไหล ในเนื้อหากล่าวว่าจะมีการเผยแพร่ข้อมูลกว่า 356,841 ไฟล์ ของบริษัท Mandiant ที่เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาในอีก 3 ชั่วโมงข้างหน้า

ซึ่งทาง LockBit ยังไม่ได้เปิดเผยว่าเป็นไฟล์ชนิดใด พบเพียงตัวอย่างเป็นไฟล์ชื่อ 'mandiantyellowpress.

อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

บทสรุปจาก FireEye M-Trends 2020: จงทำดียิ่งๆ ขึ้นไป

หากถามความเห็นของทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) ของบริษัท ไอ-ซีเคียว จำกัด ว่าการรับมือและตอบสนองภัยคุกคามในลักษณะไหนที่เราอยากทำให้ได้ หรือทีมในการรับมือและตอบสนองภัยคุกคามทีมใดที่เราอยากเป็นและเอามาเป็นแบบอย่าง ทีมจาก FireEye Mandiant มักเป็นตัวเลือกอันดับต้นๆ ที่เรานึกถึงเสมอ

นอกเหนือจาก Threat Research Blog ที่เราเป็นแฟนตัวยงแล้ว ในทุกๆ ปี FireEye Mandiant จะมีการเผยแพร่รายงาน M-Trends ซึ่งอธิบายภาพรวมของการรับมือและตอบสนองภัยคุกคามที่ด่านหน้า รายงาน M-Trends มีประโยชน์อย่างมากในมุมของการให้ข้อมูลทางสถิติที่มีผลโดยตรงต่องานด้าน Incident response รวมไปถึงการบทวิเคราะห์และการทำนายเพื่อการเตรียมพร้อมรับมือ

ดังนั้นในโพสต์นี้ ทีม Intelligent Response จะมาสรุปประเด็นที่น่าสนใจจากรายงาน M-Trends 2020 ว่าเราผ่านอะไรมาแล้วบ้าง เราจะเจออะไรต่อและเราต้องเตรียมพร้อมเพื่อเจอกกับสิ่งเหล่านั้นอย่างไรครับ

รายงาน M-Trends 2020 ฉบับเต็มสามารถดาวโหลดได้ที่นี่
การลดลงของ Dwell Time และการตรวจจับภัยคุกคามที่รวดเร็วขึ้น
ส่วนสำคัญของ M-Trends ในทุกๆ ปีคือข้อมูลทางด้านสถิติซึ่งสะท้อนให้เห็นประสิทธิภาพในการรับมือและตอบสนองภัยคุกคาม โดยในปีนี้นั้นค่า Dwell time ซึ่งหมายถึงระยะเวลาที่ภัยคุกคามอยู่ในระบบจนกว่าจะถูกตรวจจับได้มีการลดลงในทิศทางที่ดี

ในปี 2018 นั้น เราใช้เวลาถึง 50.5 วันในการตรวจจับการมีอยู่ของภัยคุกคามในสภาพแวดล้อมหรือระบบ ในขณะเดียวกันในปี 2019 เราตรวจจับการมีอยู่ของภัยคุกคามเร็วขึ้นจนเหลือเพียง 30 วันเท่านั้น ในอีกมุมหนึ่งก็อาจสามารถพูดได้ว่าการตรวจจับของเราดีขึ้นจนทำให้เวลาที่ภัยคุกคามจะอยู่ในระบบได้ลดน้อยลง

นอกเหนือจากการลดลงในมุมของการตรวจจับภัยคุกคามภายในแล้ว ยังมีประเด็นที่น่าสนใจในเรื่องของ Dwell time ดังนี้

ค่าเฉลี่ยในการตรวจจับกิจกรรมการของสหรัฐอเมริกาอยู่ที่ 14 วัน โดยกิจกรรมการตรวจพบที่มากที่สุดคือการโจมตีด้วย Ransomware ถูกคิดเป็น 43% ของเวลาเฉลี่ย
ค่าเฉลี่ยในการตรวจจับกิจกรรมการของกลุ่ม APAC อยู่ที่ 54 วันจาก 204 วันจากปีก่อนหน้านี้ โดยกิจกรรมการตรวจพบที่มากที่สุดคือ การโจมตีด้วย Ransomware ถูกคิดเป็น 18% ของเวลาเฉลี่ย

กลุ่ม Entertainment/Media ขึ้นจากอันดับ 5 สู่อันดับ 1 ของกลุ่ม Sector ที่ถูกโจมตีมากที่สุด
10 อันดับของกลุ่มธุรกิจที่มักตกเป็นเป้าหมายในการโจมตีมีตามรายการดังนี้

กลุ่ม Entertainment/Media
กลุ่ม Financial
หน่วยงานรัฐฯ
กลุ่มธุรกิจทั่วไปและกลุ่มซึ่งให้บริการจำพวก Professional service
กลุ่มธุรกิจเกี่ยวกับวิศวกรรมและการก่อสร้าง
กลุ่มบริษัททางด้านเทคโนโลยีและกลุ่มองค์กรด้านการติดต่อสื่อสาร
ไม่มีอันดับ
กลุ่ม Healthcare
กลุ่มพลังงาน
กลุ่มองค์กรไม่แสวงหาผลกำไร กลุ่มเกี่ยวกับการคมนาคมและขนส่ง

ช่องทางการโจมตียอดนิยมคือ Remote Desktop และ Phishing
ช่องทางการโจมตีซึ่งเป็นที่นิยมในปี 2019 ยังคงเป็นช่องทางที่ทำให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลอย่างฟีเจอร์ Remote Desktop เป็นส่วนใหญ่ ในขณะเดียวกันการโจมตีอย่าง Phishing ก็ยังคงได้รับความนิยมและมักถูกใช้โดยกลุ่ม APT อันเนื่องมาจากความยากในการป้องกันและตรวจสอบ
กลุ่ม APT 41 จากจีนคือกลุ่มภัยคุกคามหลักสำหรับประเทศกลุ่ม APAC

กลุ่มผู้โจมตีที่พุ่งเป้ามามาที่ไทยหรือในกลุ่ม APAC คือ APT41 ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโดยทางกลุ่มได้กำหนดเป้าหมายเป็นองค์กรภายใน 14 ประเทศ เช่น ฮ่องกง, ฝรั่งเศส, อินเดีย, อิตาลี, ญี่ปุ่น,พม่า, เนเธอร์แลนด์, สิงคโปร์, เกาหลีใต้, แอฟริกาใต้, , สวิตเซอร์แลนด์, ไทย, ตุรกี, สหราชอาณาจักรและสหรัฐอเมริกากลุ่ม APT41 พุ่งเป้าไปที่การเงินและธนาคาร แต่เป้าหมายหลักคืออุตสาหกรรมวิดีโอเกม

ในการตรวจจับ Advance Persistent Threat (APT) นั้นผู้ดูเเลควรมีระบบตรวจจับ อาทิเช่น Next-Gen Firewall, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Web Application Firewall (WAF), Endpoint Protection เพื่อที่จะสามารถแยกแยะพฤติกรรมการใช้งานปกติออกจากพฤติกรรมที่เป็นการโจมตีและแยกแยะไฟล์ที่เป็นอันตรายกับไฟล์ที่ไม่เป็นอันตรายได้ เพื่อที่จะช่วยให้ผู้ดูแลระบบอย่างมีประสิทธิภาพ