Microsoft ออกมาแจ้งเตือนเรื่องการพบผู้ไม่หวังดีได้หันมาใช้ Malicious IIS Extension สำหรับสร้าง Backdoor บน Exchange Server มากขึ้นเรื่อย ๆ เนื่องจากมีโอกาสในการถูกตรวจจับได้น้อยกว่าแบบ Web Shells สาเหตุหลัก ๆ คือ IIS เป็นฟีเจอร์ที่มีอยู่บน Server อยู่แล้ว ทำให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบได้อย่างสมบูรณ์แบบ

ลักษณะการทำงาน

หลังจาก IIS Extension ถูกติดตั้งลงไปแล้ว ผู้โจมตีจะใช้มันเป็นช่องทางสำหรับการหาช่องโหว่ด้านความปลอดภัยต่าง ๆ บนระบบเครือข่ายของเหยื่อ
IIS Extension จะทำงานหลังจาก web shell ถูกใช้งานเป็นเพย์โหลดแรกในการโจมตี โมดูล IIS จะถูกปรับค่าให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ถูกแฮ็กได้มากขึ้น และแฝงตัวอยู่บนระบบให้ผู้โจมตีสามารถกลับมาควบคุมเครื่องเหยื่อได้อย่างต่อเนื่อง
หลังจากโมดูล IIS ถูกปรับค่าใหม่ มันจะช่วยให้ผู้โจมตีสามารถเก็บรวบรวมข้อมูลสำคัญจากหน่วยความจำของระบบ รวบรวมข้อมูลจากเครือข่ายของเป้าหมาย และเซิร์ฟเวอร์ที่ถูกโจมตี
หลังจากรวบรวมข้อมูลส่วนตัว และเปิดช่องทางการเข้าถึงจากภายนอกแล้ว ผู้โจมตีจะทำการติดตั้ง Backdoor IIS ที่ชื่อว่า FinanceSvcModel.

ผู้โจมตีจากประเทศจีนได้เจาะระบบจัดการอัตโนมัติของอาคาร (โดยส่วนใหญ่ใช้เพื่อควบคุม HVAC, ระบบดับเพลิง และฟังก์ชั่นความปลอดภัยของอาคาร) ขององค์กรในเอเชียหลายแห่งเพื่อเข้าถึงภายในเครือข่าย

กลุ่ม APT ที่เป็นผู้โจมตีถูกพบโดยนักวิจัยจาก Kaspersky ICS CERT โดยเป็นการมุ่งเป้าโจมตีไปที่ช่องโหว่ CVE-2021-26855 ของ Microsoft Exchange ที่เรียกกันว่า ProxyLogon บนระบบที่ยังไม่ได้มีการอัปเดตแพตช์ โดยอาจมีเหยื่อจำนวนมากที่ตกเป็นเป้าหมาย เนื่องจากเคยมีรายงานจากสถาบัน Dutch Institute for Vulnerability Disclosure (DIVD) ว่าหนึ่งสัปดาห์หลังจากที่ Microsoft ได้ปล่อยแพตช์ออกมา ยังคงพบว่าเซิร์ฟเวอร์ Microsoft Exchange กว่า 46,000 แห่ง ไม่ได้มีการอัปเดตแพตช์ช่องโหว่ ProxyLogon ดังกล่าว

(more…)

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

Microsoft พบมัลแวร์ตัวใหม่ซึ่งถูกใช้โดยกลุ่มแฮ็กเกอร์ Hafnium ที่คาดว่าได้รับการสนับสนุนจากจีน โดยตัวมันจะพยายามแฝงตัวอยู่บนเครื่องที่ควบคุมไว้โดยการสร้าง schedule tasks และซ่อนไว้

ก่อนหน้านี้กลุ่ม Hafnium ได้มุ่งเป้าการโจมตีไปที่บริษัทที่ทำธุรกิจด้านการป้องกันประเทศ ของสหรัฐฯ สถาบันที่มีการรวมกลุ่มผู้เชี่ยวชาญจากสาขาวิชาต่างๆทั้งภาครัฐ และเอกชน นักวิจัยผู้เชี่ยวชาญด้านการโจมตีทางไซเบอร์ นอกจากนี้ยังเป็นกลุ่มเดียวกับที่ Microsoft กล่าวหาว่าเกี่ยวข้องกับการโจมตีช่องโหว่ ProxyLogon ซึ่งส่งผลกระทบต่อ Microsoft Exchange ทุกเวอร์ชัน

พยายามแฝงตัวอยู่บนเครื่องที่ควบคุมด้วยการลบค่า Registry ของ Windows

Microsoft Detection and Response Team (DART) กล่าวว่า Microsoft ยังคงติดตามความเคลื่อนไหวกลุ่ม HAFNIUM ที่มักโจมตีโดยการใช้ช่องโหว่ Zero-day

จากข้อมูลล่าสุดพบการพยายามเชื่อมต่อไปยังเครื่องอื่นๆภายในเครือข่ายของเหยื่อ และหลีกเลี่ยงการตรวจจับโดยการซ่อน schedule tasks ที่ถูกสร้างขึ้นด้วยเครื่องมือที่เรียกว่า Tarrask

เครื่องมือที่ชื่อว่า Tarrask นี้จะใช้ช่องโหว่ของ Windows เพื่อซ่อน schedule tasks จาก "schtasks /query" และ Task Scheduler โดยการลบค่า Registry ของ Security Descriptor

กลุ่ม Hafnium จะใช้ schedule tasks ที่ถูกซ่อนเหล่านี้เพื่อเข้าถึงอุปกรณ์ที่ถูกแฮ็ก แม้ว่าจะทำการรีบูตแล้วก็ตาม มันจะทำการเชื่อมต่อใหม่ด้วยคำสั่ง cmd อีกครั้ง

วิธีป้องกันการโจมตีจาก Tarrask

schedule tasks "ที่ซ่อนอยู่" จะเห็นได้จากการตรวจสอบ Windows Registry โดยดูได้จาก Tasks ที่ไม่มีค่า SD (security descriptor)
ผู้ดูแลระบบสามารถเปิดใช้งาน Security.

Microsoft พบ web shell ที่เชื่อว่าถูกใช้โดยมัลแวร์เรียกค่าไถ่ที่ชื่อว่า "Black Kingdom" อาศัยช่องโหว่ของ Exchange Server ในการโจมตี มีเครื่อง Exchange Server ตกเป็นเหยื่อมากกว่า 1,500 ราย แต่ไม่ใช่ทุกรายที่จะโดนเข้ารหัสไฟล์ หรือโดนกระบวนการ human-operated นอกจากนี้พบว่ามีตัวอย่างไฟล์มัลแวร์มากกว่า 30 รายการที่ถูกส่งไปตรวจสอบกับเว็บไซต์ ID Ransomware ตั้งแต่วันที่ 18 มีนาคมที่ผ่านมา ระบุว่ามีการเรียกค่าไถ่เป็นจำนวนเงินมากกว่า 100,000 เหรียญ และมีการโจรกรรมข้อมูลออกไปด้วย

นอกเหนือจาก Black Kingdom แล้ว ก่อนหน้านี้ก็ยังพบว่ามีมัลแวร์อื่น ๆ อาทิเช่น DearCry Ransomware และ Cryptoming malware ที่อาศัยช่องโหว่ของ Exchange Server ในการโจมตีด้วยเช่นเดียวกัน ผู้ใช้งาน Exchange Server ที่เป็น On-premise หรือ Hybrid หากยังไม่ได้อัปแพตช์ควรดำเนินการโดยเร็วที่สุด

ที่มา: bleepingcomputer

Acer บริษัทยักษ์ใหญ่ทางด้านคอมพิวเตอร์ถูกโจมตีด้วย REvil Ransomware ซึ่งกลุ่มผู้ประสงค์ร้ายได้เรียกร้องค่าไถ่ที่เป็นจำนวนเงิน 50 ล้านดอลลาร์

BleepingComputer และ Valery Marchive จาก LegMagIT ได้พบตัวอย่างไฟล์จากกลุ่ม REvil ransomware และทำให้สามารถยืนยันการโจมตีได้จากบันทึกค่าไถ่และการสนทนาของตัวเเทน Acer กับผู้โจมตี โดยการโจมตีถูกเริ่มตั้งแต่วันที่ 14 มีนาคมที่ผ่านมา ตัวแทน Acer ได้รับการติดต่อจากตัวเเทนของกลุ่ม REvil Ransomware ที่ได้แชร์ลิงก์ไปยังหน้าข้อมูลที่เผยแพร่ตัวอย่างไฟล์และภาพที่ถูกละเมิดจากเครือข่ายของ Acer ซึ่งถูกปิดเป็นความลับในช่วงเวลาดังกล่าว โดยกลุ่ม REvil ได้แสดงความต้องการค่าไถ่เป็นจำนวนมากถึง 50 ล้านดอลลาร์และยังได้ทำการเสนอส่วนลด 20 % ถ้าหากทาง Acer ชำระเงินภายในวันพุธที่ผ่านมา และจะส่งตัวถอดรหัสกับรายงานช่องโหว่และการลบไฟล์ที่ถูกขโมยออกไปด้วย

Vitali Kremez ผู้เชี่ยวชาญด้านความปลอดภัยได้ออกมาแสดงข้อสันนิษฐานกับเหตุการณ์ที่เกิดขึ้นหลังจากแพลตฟอร์ม Andariel cyberintelligence ของ Intel ตรวจพบกลุ่ม Revil ที่ได้กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Microsoft Exchange บนโดเมนของ Acer การโจมตีดังกล่าวได้ใช้ประโยชน์จากช่องโหว่ ProxyLogon เพื่อปรับใช้ ransomware โดยเหตุการณ์การตรวจจับนี้ยังไม่ได้รับการยืนยันจาก Acer ซึ่งหาก REvil ใช้ประโยชน์จากช่องโหว่ล่าสุดของ Microsoft Exchange เพื่อขโมยข้อมูลหรือเข้ารหัสอุปกรณ์ก็จะเป็นครั้งแรกที่การดำเนินการเรียกค่าไถ่จากการใช้เวกเตอร์นี้ในการโจมตี

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เสมอและควรทำการอัปเดตเเพตช์ความปลอดภัยอยู่เป็นประจำและควรพิจาณาการใช้ไฟล์วอลในระบบของท่าน เพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ช่องโหว่ Microsoft Exchange ที่รู้จักในชื่อ ProxyLogon (https://proxylogon.com/) เป็นช่องโหว่ที่ถูกค้นพบโดยบริษัท DEVCORE ที่แจ้งไปยัง Microsoft และ Microsoft แก้ไขในแพตช์ด่วนไปเมื่อ 3 มีนาคม 2021 ที่ผ่านมา แต่จากการตรวจสอบของบริษัทด้านความปลอดภัยต่างๆ เช่น Volexity, Unit 42, Rapid 7 และ CrowdStrike พบว่ามีการโจมตีก่อนที่จะมีการออกแพตช์ในช่วงปลายเดือนกุมภาพันธ์ 2021 ซึ่งเมื่อวิเคราะห์ข้อมูลการโจมตีโดยละเอียดพบว่าการโจมตีมีความผิดปกติ คือใช้ POC ของบริษัท DEVCORE ที่ส่งให้ Microsoft เพื่อทำการออกแพตช์ จึงเป็นไปได้ที่จะมีการรั่วไหลของ POC ของช่องโหว่ Exchange เกิดขึ้นก่อนการแพตช์

ทางบริษัท DEVCORE ออกแถลงการณ์ระบุว่าทางบริษัทได้ทำการตรวจสอบแล้วและไม่พบว่ามีการรั่วไหลของ POC จากฝั่ง DEVCORE ในขณะที่ทาง Microsoft อยู่ระหว่างการทำการสืบสวน ซึ่งจะมุ่งไปที่โปรแกรม Microsoft Active Protections Program (Mapp) ที่ทาง Microsoft จะให้ข้อมูลบริษัทด้านความปลอดภัยต่างๆ อย่างบริษัทผลิตภัณฑ์ป้องกันมัลแวร์ทราบข้อมูลเกี่ยวกับภัยคุกคามก่อนล่วงหน้า โดยในกรณีช่องโหว่ ProxyLogon นี้ ทาง Microsoft ได้ส่ง POC ให้กับบริษัทในโครงการ Mapp เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา

ที่มา : wsj | zdnet

Microsoft ออก Exchange On-premises Mitigation Tool (EOMT) ซึ่งเป็นสคริป PowerShell เพื่อช่วยองค์กรขนาดเล็กในการบรรเทาผลกระทบจากช่องโหว่ ProxyLogon ใน Exchange โดยสคริปดังกล่าวรองรับ Exchange 2013, 2016 และ 2019 โดยสคริปดังกล่าวจะ

ตรวจสอบว่ามีช่องโหว่หรือไม่
บรรเทาผลกระทบจากช่องโหว่ CVE-2021-26855 ด้วย URL Rewrite configuration
ดาวน์โหลดและรัน Microsoft Safety Scanner เพื่อค้นหา webshell ที่อาจมีฝังไว้
ลบไฟล์อันตรายที่ Microsoft Safety Scanner พบ

Microsoft ระบุว่าสคริปดังกล่าวเป็นเพียงการบรรเทาผลกระทบชั่วคราวเท่านั้น ผู้ดูแลระบบควรอัปเดตแพตช์จะเป็นการดีที่สุด สามารถอ่านรายละเอียดของสคริปดังกล่าวได้ที่ microsoft

ที่มา msrc-blog

นักวิจัยพบ ransomware ตัวใหม่ DearCry บนบริการ ยืนยันสายพันธุ์ ransomware malwarehunterteam เมื่อวันที่ 9 มีนาคม 2021 ที่ผ่านมา โดยเหยื่อได้มีการตั้งกระทู้ให้ข้อมูลเกี่ยวข้องกับการติด DearCry ว่าเขาคิดว่าเครื่อง Microsoft Exchange ของเขาที่ถูกเข้ารหัสถูกโจมตีโดยกลุ่มช่องโหว่ ProxyLogon บน Microsoft Exchange ก่อนที่จะมีการวาง DearCry เพื่อเข้ารหัส

ทีม Microsoft Security Intelligence ยืนยันการค้นพบ DearCry ดังกล่าวโดยระบุว่า DearCry เป็นการโจมตีแบบ human operated ransomware ซึ่งเป็นการโจมตีที่มีผู้โจมตีลงมือเจาะระบบเพื่อเข้าไปรันมัลแวร์ และยืนยันว่าผู้โจมตีที่อยู่เบื้องหลัง DearCry มีการใช้ช่องโหว่บน Microsoft Exchange

ผู้ดูแลระบบควรทำการอัปเดตแพตช์และควรทำการตรวจสอบระบบโดยละเอียดเพื่อหา IOC ว่าถูกโจมตีแล้วหรือไม่ เนื่องจากในกรณีที่อัปเดตแพตช์แต่ถูกโจมตีไปแล้ว จะมีโอกาสที่ผู้โจมตีฝัง web shell สามารถรันคำสั่งอันตรายบนเครื่องต่อได้

ที่มา : bleepingcomputer

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.