นักวิจัยจาก Elastic Security Labs บริษัทด้านความปลอดภัยทางไซเบอร์ เผยแพร่รายงานการค้นพบพบมัลแวร์ตัวใหม่ในชื่อ NAPLISTENER ที่ถูกเขียนขึ้นด้วยภาษา C# มีความสามารถในการดักจับข้อมูลผ่าน HTTP รวมถึงสามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัยบนเครือข่าย ซึ่งถูกใช้โดยกลุ่ม REF2924 ในการโจมตี โดยมุ่งเป้าไปที่หน่วยงานในเอเชียใต้ และเอเชียตะวันออกเฉียงใต้
REF2924 เป็นกลุ่ม Hacker ที่มีความเชื่อมโยงกับเหตุการณ์การโจมตีหน่วยงานในอัฟกานิสถาน และสำนักงานกิจการต่างประเทศของสมาชิกอาเซียนในปี 2565 ซึ่งวิธีในการโจมตีของ REF2924 มีความคล้ายคลึงกับ ChamelGang ที่ถูกค้นพบโดย Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย ในเดือนตุลาคม 2021

การโจมตีของกลุ่ม REF2924
การโจมตีจะเริ่มขึ้นจากการโจมตีช่องโหว่ของ Microsoft Exchange servers เพื่อติดตั้ง backdoor malware ได้แก่ DOORME, SIESTAGRAPH และ ShadowPad
DOORME เป็นแบ็คดอร์ของ Internet Information Services ( IIS ) ที่สามารถเรียกใช้คำสั่งจากระยะไกล และดาวน์โหลดเครื่องมือ และมัลแวร์เพิ่มเติม
SIESTAGRAPH เป็นแบ็คดอร์ที่ใช้ Graph API ของ Microsoft สำหรับเรียกใช้คำสั่งควบคุมผ่าน Outlook และ OneDrive, การเรียกใช้คำสั่งที่กำหนดเองผ่าน Command Prompt รวมถึงอัปโหลด และดาวน์โหลดไฟล์ไปยัง OneDrive และบันทึกภาพหน้าจอ
ShadowPad เป็นแบ็คดอร์ที่เป็นรุ่นพัฒนาต่อจาก PlugX ทำให้ Hacker สามารถแฝงตัวอยู่ในเครื่องเป้าหมายอย่างต่อเนื่อง และเรียกใช้คำสั่ง shell command รวมถึงเพย์โหลดอันตรายในเครื่องเป้าหมาย โดย ShadowPad มีความเกี่ยวข้องกับกลุ่ม Hacker สัญชาติจีน

การโจมตีของ NAPLISTENER
NAPLISTENER ("wmdtc.

Prodaft ทีมข่าวกรองด้านภัยคุกคามได้ค้นพบ “Checkmarks” แพลตฟอร์มที่ถูกสร้างมาสำหรับใช้โจมตีช่องโหว่ของ Microsoft Exchange และ SQL Injection โดยอัตโนมัติ เพื่อใช้เจาะเครือข่ายองค์กร ขโมยข้อมูล และสามารถเลือกเป้าหมายสำหรับการโจมตีด้วยแรนซัมแวร์ตามขนาดฐานะทางการเงินของบริษัท โดยเป็นการค้นพบในระหว่างที่ติดตามเหตุการณ์ข้อมูลรั่วไหลที่มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ FIN7

FIN7 คือกลุ่ม Hacker ชาวรัสเซีย ที่มีเป้าหมายในการเรียกค่าไถ่จากเหยื่อที่ถูกโจมตี โดยเริ่มพบการโจมตีตั้งแต่ปี 2012 ซึ่งเกี่ยวข้องกับเหตุการณ์โจมตีต่างๆ เช่น การโจมตีตู้ ATM, การส่ง USB ที่มีมัลแวร์ไปยังกลุ่มเป้าหมาย และการตั้งบริษัทรักษาความปลอดภัยทางไซเบอร์ปลอมขึ้น เพื่อจ้างผู้ทดสอบสำหรับการโจมตีด้วยแรนซัมแวร์ (ความจริงคือกำลังโจมตีเหยื่ออยู่จริง ๆ) และเหตุการณ์อื่น ๆ ที่พบความเกี่ยวข้องกับกลุ่ม รวมไปถึงกลุ่ม FIN7 ยังมีความเกี่ยวข้องกับกลุ่มแรนซัมแวร์อื่น ๆ เช่น Black Basta, Darkside, REvil และ LockBit Ransomware

ขั้นตอนโจมตีของ Checkmarks

Prodaft ได้อธิบายว่า Checkmarks เป็นแพลตฟอร์มสแกน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE ) โดยอัตโนมัติ สำหรับช่องโหว่ Microsoft Exchange servers บนเครื่องเป้าหมาย รวมถึงมีการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) เช่น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31207

Checkmarks จะทำการดึงข้อมูลอีเมลจาก Active Directory และรวบรวมข้อมูล Microsoft Exchange servers หลังจากทำการโจมตีเครื่องที่มีช่องโหว่ได้สำเร็จ

จากนั้นจะนำข้อมูลของเหยื่อที่ทำการรวบรวมจาก Active Directory และ Microsoft Exchange servers เพิ่มไปยัง Panel ของระบบที่ใช้สำหรับควบคุมเครื่องเหยื่อโดยอัตโนมัติ เพื่อให้กลุ่ม FIN7 สามารถดูรายละเอียดของข้อมูลได้

นักวิเคราะห์ของ FIN7 จะตรวจสอบรายการข้อมูลของเหยื่อใหม่ รวมถึงแสดงคิดเห็นบนแพลตฟอร์ม Checkmarks เพื่อแสดงข้อมูลรายได้ปัจจุบันของเหยื่อ จำนวนพนักงาน โดเมน รายละเอียดสำนักงานใหญ่และข้อมูลอื่น ๆ รวมถึงการใช้ข้อมูลจากแหล่งข้อมูลที่หลากหลาย เช่น Owler, Crunchbase, DNB, Zoominfo และ Mustat ที่ช่วยให้ Hackers ประเมินได้ว่าบริษัทนั้นคุ้มค่า และมีโอกาสสำเร็จมากเพียงใดในการโจมตีด้วย Ransomware เพื่อเรียกค่าไถ่

หากเหยื่อรายนั้นได้รับการพิจารณาว่าคุ้มค่าและมีโอกาสสำเร็จ ฝ่ายโจมตีระบบของ FIN7 จะทำการออกแบบแผนการโจมตี ว่าสามารถใช้การเชื่อมต่อเซิร์ฟเวอร์ได้อย่างไร การโจมตีจะอยู่ได้นานแค่ไหนและไปได้ไกลแค่ไหน

อีกทั้ง Checkmarks ยังมี SQL injection module เพื่อใช้ SQLMap สแกนหาช่องโหว่บนเว็บไซต์ของเป้าหมาย รวมไปถึงการฝัง SSH backdoors เอาไว้ในเครื่องของเหยื่อ ทำให้สามารถขโมยไฟล์จากอุปกรณ์ที่ถูกโจมตี ใช้การเชื่อมต่อ reverse SSH (SFTP) ผ่านโดเมนบน Tor Network ถึงแม้เหยื่อจะจ่ายค่าไถ่แล้วก็ตาม เพื่อการกลับมาโจมตีซ้ำ รวมไปถึงการขายช่องโหว่นี้แก่ Hackers กลุ่มอื่น ๆ

Prodaft พบว่า แพลตฟอร์ม Checkmarks ของ FIN7 ได้ถูกนำไปใช้ในการแทรกซึมเข้าไปในบริษัทต่าง ๆ กว่า 8,147 แห่ง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา (16.7%) หลังจากสแกนเป้าหมายไปแล้วกว่า 1.8 ล้านเป้าหมาย

โดย แพลตฟอร์ม Checkmarks ได้แสดงให้เห็นถึงผลกระทบ และความรุนแรงของการเกิดขึ้นของกลุ่มผู้โจมตีทางไซเบอร์ ที่มีจุดประสงค์ในการเรียกค่าไถ่จากเหยื่อว่าได้ส่งผลกระทบทั่วโลกแล้วในขณะนี้

การป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี
เพิ่ม FIN7 IOCไปยังอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ที่ท่านใช้งานอยู่ prodaft.

แฮ็กเกอร์กลุ่มใหม่ ToddyCat กำหนดเป้าหมายโจมตีไปยัง MS Exchange Servers

กลุ่ม APT ที่มีชื่อว่า ToddyCat ได้ถูกเชื่อมโยงเข้ากับการโจมตีจำนวนมากที่มุ่งเป้าไปที่หน่วยงานที่มีชื่อเสียงในยุโรป และเอเชียตั้งแต่เดือนธันวาคม 2020 ซึ่งดำเนินการโดยกำหนดเป้าหมายไปที่ Microsoft Exchange Servers ** ในไต้หวัน และเวียดนาม โดยการใช้เครื่องมือในการโจมตีที่ไม่เคยถูกพบมาก่อน เพื่อติดตั้ง China Chopper web shell

ประเทศหลักๆที่ตกเป็นเป้าหมายการโจมตี ประกอบไปด้วย อัฟกานิสถาน อินเดีย อินโดนีเซีย อิหร่าน คีร์กีซสถาน มาเลเซีย ปากีสถาน รัสเซีย สโลวาเกีย ไทย สหราชอาณาจักร และอุซเบกิสถาน ซึ่งผู้โจมตีมีการพัฒนาเครื่องมือที่ใช้ในการโจมตีอยู่ตลอด

“ระลอกแรกของการโจมตีมุ่งเป้าไปที่ Microsoft Exchange Server เท่านั้น ซึ่งถูกโจมตีโดย Samurai backdoor ซึ่งจะทำงานบนพอร์ต 80 และ 443” Kaspersky บริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียกล่าวในรายงานที่เผยแพร่ในวันนี้

"มัลแวร์ทำงานด้วยภาษา C# และมีการใช้งานโมดูลต่างๆจำนวนมาก เพื่อให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้ รวมไปถึงสามารถเคลื่อนย้ายไปยังเครื่องอื่นๆที่อยู่บนเครือข่ายได้ด้วยเช่นเดียวกัน"

ToddyCat หรือเป็นที่รู้จักในอีกชื่อว่า Websiic โดย ESET ปรากฏตัวครั้งแรกในเดือนมีนาคม 2564 จากการใช้ประโยชน์จากช่องโหว่ของ ProxyLogon Exchange เพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์อีเมลของบริษัทเอกชนในเอเชีย และหน่วยงานของรัฐในยุโรป

ลำดับการโจมตีหลังการติดตั้ง China Chopper web shell จะนำไปสู่การทำงานของ dropper ที่ถูกใช้เพื่อเปลี่ยนรีจิสทรีบน Windows เพื่อสั่งการทำงานของ second-stage loader ซึ่งได้รับการออกแบบมาเพื่อสั่งการทำงานของ third-stage .NET loader ซึ่งเป็นที่มาของการติดตั้ง Samurai Backdoor

นอกจากแบ็คดอร์จะใช้เทคนิคต่างๆ เช่น การหลบเลี่ยงการตรวจจับ เพื่อป้องกันการถูกวิเคราะห์จากเครื่องมือต่างๆแล้ว มันยังมีความสามารถในการค้นหาข้อมูลที่มีความสำคัญบนเครื่องของเหยื่อได้อีกด้วย

นอกจากนี้ นักวิจัยยังเห็นเครื่องมือที่น่าสนใจอีกตัวที่มีชื่อว่า Ninja ซึ่งถูกติดตั้งตามมาหลังจากการติดตั้ง Samurai และดูเหมือนว่าเครื่องมือดังกล่าวจะทำให้ผู้โจมตีหลายคนสามารถเข้ามาควบคุมเครื่องเหยื่อได้ในเวลาเดียวกัน

ลักษณะของมันจะคล้ายกับ Cobalt Strike ซึ่งทำให้ผู้โจมตีสามารถ "ควบคุมระบบจากระยะไกล หลีกเลี่ยงการตรวจจับ และเจาะต่อเข้าไปยังเครื่องอื่นๆในเครือข่ายของเป้าหมายได้"

นักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่า "ToddyCat เป็นกลุ่ม APT ที่มีความซับซ้อน มีการใช้เทคนิคหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ จึงทำให้มันไม่ถูกพบมากนัก

“แต่จากการที่องค์กรที่ได้รับผลกระทบมีทั้งภาครัฐ และกองทัพ แสดงให้เห็นว่าผู้โจมตีกลุ่มนี้มุ่งเน้นไปที่เป้าหมายในระดับสูง และใช้เพื่อบรรลุเป้าหมายที่สำคัญ ซึ่งน่าจะเกี่ยวข้องกับผลประโยชน์ทางภูมิศาสตร์การเมืองโลก”

ที่มา : thehackernews