Microsoft Exchange เซิร์ฟเวอร์ถูกแฮ็กเพื่อติดตั้ง BlackCat ransomware

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

Microsoft warns of new highly evasive web skimming campaigns

Microsoft แจ้งเตือนแคมเปญ web skimming ใหม่ ที่มีความสามารถในการหลีกเลี่ยงการตรวจสอบ

ผู้โจมตีที่อยู่เบื้องหลังแคมเปญ web skimming ได้ใช้โค้ด JavaScript เพื่อเลียนแบบสคริปต์ Google Analytics และ Meta Pixel เพื่อหลีกเลี่ยงการตรวจจับ

โดยนักวิจัยด้านความปลอดภัยของ Microsoft พบว่ามีแคมเปญ web skimming ที่ใช้เทคนิค obfuscation หลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ โดยผู้โจมตีจะใช้วิธีการ obfuscation กับ skimming script ด้วยการเข้ารหัส PHP Code ซึ่งถูกฝังอยู่ในไฟล์รูปภาพ โดย code นี้จะทำงานก็ต่อเมื่อถูกโหลดเข้าสู่หน้าเว็บไซต์

ผู้เชี่ยวชาญยังสังเกตเห็นเว็บแอปพลิเคชันที่ถูกโจมตี และฝัง JavaScript ที่ปลอมแปลงเป็นสคริปต์ของ Google Analytics และ Meta Pixel (เดิมคือ Facebook Pixel) รวมถึง skimming script บางตัวที่ป้องกันการถูกดีบักด้วย

"web skimming" คือการโจมตีรูปแบบหนึ่งที่ผู้โจมตีใช้ในการขโมยข้อมูลการชำระเงินของผู้เข้าใช้งานเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน โดยผุ้โจมตีจะใช้ประโยชน์จากช่องโหว่ในแพลตฟอร์ม e-commerce และ CMS เพื่อแทรกสคริปต์ skimming ลงในหน้าเพจของแพลตฟอร์มนั้นๆ หรือในบางกรณีผู้โจมตีก็จะใช้ประโยชน์จากช่องโหว่ของ third party plugins ที่ถูกติดตั้งบนแพลตฟอร์ม

“พบไฟล์รูปภาพที่เป็นอันตราย 2 ไฟล์ ที่ถูกอัปโหลดไปยังเซิร์ฟเวอร์ Magento โดยรูปภาพทั้งสองมีสคริปต์ PHP ที่มี JavaScript ที่เข้ารหัสด้วย Base64”

Microsoft ยังสังเกตเห็นการปลอมแปลงเป็นสคริปต์ Google Analytics และ Meta Pixel (เดิมคือ Facebook Pixel) เพื่อหลีกเลี่ยงการตรวจจับ โดยผู้โจมตีจะใช้ Base64-encoded string ไว้ในโค้ด Google Tag Manager ปลอม ซึ่งหาก decode string นี้ออกมาจะได้ URL trafficapps[.]business/data[.]php?p=form

“ด้วยทริคการหลบหลีกที่มากขึ้นที่ถูกใช้ในแคมเปญ skimming องค์กรควรตรวจสอบให้แน่ใจว่าแพลตฟอร์ม e-commerce, CMS และปลั๊กอินที่ติดตั้งได้รับการอัปเดตแพตช์ด้านความปลอดภัยเป็นเวอร์ชันล่าสุด และแนะนำให้ดาวน์โหลดปลั๊กอินจากThird Party จากแหล่งที่น่าเชื่อเถือเท่านั้น” Microsoft สรุป

ที่มา : securityaffairs.

อัปเดตเร่งด่วนบน Windows 10 เพื่อแก้ไขปัญหาบน Microsoft Store app

 

Microsoft ได้ออกอัปเดตแพตซ์แบบ out-of-band ในช่วงเย็นวันพฤหัสบดีที่ผ่านมา เพื่อแก้ไขปัญหาใหม่ที่พบซึ่งส่งผลต่อแอปบน Microsoft Store

โดยในระบบที่ได้รับผลกระทบ ผู้ใช้งานอาจประสบปัญหาในการเปิด หรือติดตั้งแอปจาก Microsoft Store โดยในบางกรณีอาจยังพบ error code : 0xC002001B

ปัญหาที่นี้ส่งผลต่ออุปกรณ์ที่ใช้ Windows 10 (เวอร์ชัน 21H2, 21H1 และ 20H2) ซึ่งผู้ใช้งานที่ได้ติดตั้ง KB5011831 ที่เผยแพร่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา

"หลังจากติดตั้ง KB5011831 หรือแพตซ์หลังจากนั้น ผู้ใช้งานอาจพบข้อความ error code:0xC002001B เมื่อพยายามติดตั้งแอปจาก Microsoft Store" Microsoft อธิบาย

"แอปบน Microsoft Store บางแอปอาจเปิดไม่ได้เช่นกัน โดย Windows ที่ได้รับผลกระทบ จะพบว่ามีการใช้งาน CPU ซึ่งรองรับ Control-flow Enforcement Technology (CET) เช่น CPU Intel Gen.

แฮ็กเกอร์แฝงตัวอยู่บนระบบ SQL Server โดยการใช้ Built-in Utility

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.

Microsoft: Sysrv botnet targets Windows, Linux servers with new exploits

Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่

Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring

โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947

CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์

Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ

ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts

หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)

botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots

ที่มา : www.

วิธีป้องกัน ADFS จากการโจมตีแบบ Password Spraying

การโจมตีแบบ Password Spraying เป็นการโจมตีเพื่อเข้าสู่ระบบด้วยรหัสผ่านที่มักจะมีคนใช้ คาดเดาได้ง่าย หรือพบจากข้อมูลที่เคยมีการหลุดออกมา และจะใช้เพียงแค่หนึ่ง หรือสองรหัส โดยจะกระจายโจมตีไปหลายบัญชี หรือหลายบริการ แทนที่จะลองใช้รหัสผ่านที่แตกต่างกันหลายๆรหัสในบัญชีผู้ใช้เดียว ซึ่งช่วยหลีกเลี่ยงการตรวจจับการโจมตีของอุปกรณ์ต่างๆ เนื่องจากรูปแบบการโจมตีจะคล้ายกับพยายามเข้าสู่ระบบไม่สำเร็จของผู้ใช้ตามปกติ

ADFS มีความเสี่ยง

องค์กรที่ใช้บริการ Active Directory Federation Services (ADFS) จะมี Active Directory Domain Services infrastructure ซึ่งโดยทั่วไปจะใช้รหัสผ่าน ADDS และมีนโยบายการล็อกบัญชีที่เข้าสู่ระบบไม่สำเร็จ 3-5 ครั้ง ซึ่งการโจมตีแบบ Password Spraying จะพยายามเข้าสู่ระบบไม่เกินหนึ่ง หรือสองครั้งต่อหนึ่งบัญชี ทำให้เมื่อเข้าสู่ระบบไม่สำเร็จแล้วบัญชีจะไม่โดนล็อก และการโจมตีอาจจะไม่ถูกตรวจพบ ซึ่งองค์กรต่างๆมักใช้ ADFS IAM ระหว่างระบบภายในองค์กร และระบบคลาวด์ และจัดให้มีการลงชื่อเข้าใช้เพียงครั้งเดียวสำหรับเข้าถึงข้อมูลที่สำคัญต่อธุรกิจทั้งหมด ทำให้ผู้โจมตีที่โจมตีสำเร็จอาจจะค้นหาข้อมูล และรายชื่อผู้ใช้เพิ่มเติม หรือส่งลิงก์ฟิชชิ่งไปยังบุคคลอื่นในองค์กร

ป้องกัน ADFS จากการโจมตีแบบ Password Spraying

Microsoft แนะนำวิธีการ 3 ระดับสำหรับรักษาความปลอดภัยระบบ ADFS จากการโจมตีแบบ Password Spraying และการโจมตีด้วยรหัสผ่านประเภทอื่นๆ

(more…)

เซิร์ฟเวอร์ Microsoft Exchange ถูกแฮ็กเพื่อติดตั้ง Hive Ransomware

กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon

โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท

ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile

ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)

ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว

การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่

หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers

Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ

(more…)

CISA เตือนผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ Windows Print Spooler

CISA เตือนผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ Windows Print Spooler

Cybersecurity and Infrastructure Security Agency (CISA) เพิ่ม 3 ช่องโหว่ความปลอดภัยใหม่ รวมถึงช่องโหว่ในการยกระดับสิทธิ์ใน Windows Print Spooler

ช่องโหว่ที่มีความรุนแรงสูงนี้ (CVE-2022-22718) ส่งผลกระทบกับ Windows ทุกรุ่น ซึ่ง Microsoft ออกแพตซ์แก้ไขมาแล้วในช่วงเดือนกุมภาพันธ์ 2022

ข้อมูลที่ Microsoft เผยแพร่เกี่ยวกับช่องโหว่นี้คือ ผู้โจมตีสามารถจะสามารถโจมตีได้ไม่ยากเมื่อเข้าถึงเครื่องเหยื่อได้ และไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆก่อนเพื่อให้การโจมตีสำเร็จ

Microsoft เคยแก้ไขช่องโหว่อื่นๆ ของ Windows Print Spooler ในช่วง 12 เดือนที่ผ่านมา รวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ PrintNightmare

หลังจากรายละเอียด และ POC Exploit สำหรับ PrintNightmare รั่วไหลโดยไม่ตั้งใจ CISA ได้เตือนผู้ดูแลระบบให้ปิดใช้งานบริการ Windows Print Spooler บน Domain Controller และระบบที่ไม่ได้ใช้งาน เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

เมื่อสัปดาห์ที่แล้ว CISA ได้เพิ่มช่องโหว่การยกระดับสิทธิ์ใน Log File System Driver ของ Windows ลงในรายการช่องโหว่ที่เริ่มพบเห็นการโจมตี ซึ่งเป็นช่องโหว่ที่ถูกพบโดย CrowdStrike และสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา (NSA) และถูกแก้ไขโดย Microsoft ในช่วงแพทช์วันอังคารนี้

(more…)

Microsoft: มัลแวร์ใหม่ใช้ช่องโหว่ของ Windows เพื่อซ่อน schedule tasks

Microsoft พบมัลแวร์ตัวใหม่ซึ่งถูกใช้โดยกลุ่มแฮ็กเกอร์ Hafnium ที่คาดว่าได้รับการสนับสนุนจากจีน โดยตัวมันจะพยายามแฝงตัวอยู่บนเครื่องที่ควบคุมไว้โดยการสร้าง schedule tasks และซ่อนไว้

ก่อนหน้านี้กลุ่ม Hafnium ได้มุ่งเป้าการโจมตีไปที่บริษัทที่ทำธุรกิจด้านการป้องกันประเทศ ของสหรัฐฯ สถาบันที่มีการรวมกลุ่มผู้เชี่ยวชาญจากสาขาวิชาต่างๆทั้งภาครัฐ และเอกชน นักวิจัยผู้เชี่ยวชาญด้านการโจมตีทางไซเบอร์ นอกจากนี้ยังเป็นกลุ่มเดียวกับที่ Microsoft กล่าวหาว่าเกี่ยวข้องกับการโจมตีช่องโหว่ ProxyLogon ซึ่งส่งผลกระทบต่อ Microsoft Exchange ทุกเวอร์ชัน

พยายามแฝงตัวอยู่บนเครื่องที่ควบคุมด้วยการลบค่า Registry ของ Windows

Microsoft Detection and Response Team (DART) กล่าวว่า Microsoft ยังคงติดตามความเคลื่อนไหวกลุ่ม HAFNIUM ที่มักโจมตีโดยการใช้ช่องโหว่ Zero-day

จากข้อมูลล่าสุดพบการพยายามเชื่อมต่อไปยังเครื่องอื่นๆภายในเครือข่ายของเหยื่อ และหลีกเลี่ยงการตรวจจับโดยการซ่อน schedule tasks ที่ถูกสร้างขึ้นด้วยเครื่องมือที่เรียกว่า Tarrask

เครื่องมือที่ชื่อว่า Tarrask นี้จะใช้ช่องโหว่ของ Windows เพื่อซ่อน schedule tasks จาก "schtasks /query" และ Task Scheduler โดยการลบค่า Registry ของ Security Descriptor

กลุ่ม Hafnium จะใช้ schedule tasks ที่ถูกซ่อนเหล่านี้เพื่อเข้าถึงอุปกรณ์ที่ถูกแฮ็ก แม้ว่าจะทำการรีบูตแล้วก็ตาม มันจะทำการเชื่อมต่อใหม่ด้วยคำสั่ง cmd อีกครั้ง

วิธีป้องกันการโจมตีจาก Tarrask

schedule tasks "ที่ซ่อนอยู่" จะเห็นได้จากการตรวจสอบ Windows Registry โดยดูได้จาก Tasks ที่ไม่มีค่า SD (security descriptor)
ผู้ดูแลระบบสามารถเปิดใช้งาน Security.

Microsoft แก้ไข Bug บน Windows Active Directory ที่เกิดขึ้นหลังจากการอัพเดทเมื่อเดือนมกราคม

Microsoft ประกาศว่าได้ทำการแก้ไขบั๊ก ซึ่งเกิดจากการอัพเดทวินโดว์เมื่อเดือนมกราคม ทำให้แอพพลิเคชั่นที่ใช้ Microsoft .NET ปิดตัวลง หรือเกิด Error ได้ เมื่อมีการรับ หรือตั้งค่า Active Directory Forest Trust Information โดย Windows Server ที่โดนผลกระทบคือ Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, และ Windows Server 2012.

“หลังมีการอัพเดทใหม่เมื่อวันที่ 11 มกราคม 2565 แอพพลิเคชั่นที่ใช้ Microsoft .NET อาจเกิดปัญหาเมื่อมีการรับ หรือตั้งค่า Active Directory Forest Trust Information แอพอาจปิดตัวลง หรือมีข้อผิดพลาดอื่น ๆ”

Microsoft อธิบายว่า “ผู้ใช้งานอาจเจอปัญหา access violation (0xc0000005) error ทำให้แอพที่ทำงานผ่าน System.