ช่องโหว่ของ Microsoft Exchange ถูกใช้เพื่อโจมตีระบบจัดการอัตโนมัติของอาคาร

ผู้โจมตีจากประเทศจีนได้เจาะระบบจัดการอัตโนมัติของอาคาร (โดยส่วนใหญ่ใช้เพื่อควบคุม HVAC, ระบบดับเพลิง และฟังก์ชั่นความปลอดภัยของอาคาร) ขององค์กรในเอเชียหลายแห่งเพื่อเข้าถึงภายในเครือข่าย

กลุ่ม APT ที่เป็นผู้โจมตีถูกพบโดยนักวิจัยจาก Kaspersky ICS CERT โดยเป็นการมุ่งเป้าโจมตีไปที่ช่องโหว่ CVE-2021-26855 ของ Microsoft Exchange ที่เรียกกันว่า ProxyLogon บนระบบที่ยังไม่ได้มีการอัปเดตแพตช์ โดยอาจมีเหยื่อจำนวนมากที่ตกเป็นเป้าหมาย เนื่องจากเคยมีรายงานจากสถาบัน Dutch Institute for Vulnerability Disclosure (DIVD) ว่าหนึ่งสัปดาห์หลังจากที่ Microsoft ได้ปล่อยแพตช์ออกมา ยังคงพบว่าเซิร์ฟเวอร์ Microsoft Exchange กว่า 46,000 แห่ง ไม่ได้มีการอัปเดตแพตช์ช่องโหว่ ProxyLogon ดังกล่าว

(more…)

พบมัลแวร์เรียกค่าไถ่ Black Kingdom อาศัยช่องโหว่ ProxyLogon ของ Exchange Server ในการโจมตี

Microsoft พบ web shell ที่เชื่อว่าถูกใช้โดยมัลแวร์เรียกค่าไถ่ที่ชื่อว่า "Black Kingdom" อาศัยช่องโหว่ของ Exchange Server ในการโจมตี มีเครื่อง Exchange Server ตกเป็นเหยื่อมากกว่า 1,500 ราย แต่ไม่ใช่ทุกรายที่จะโดนเข้ารหัสไฟล์ หรือโดนกระบวนการ human-operated นอกจากนี้พบว่ามีตัวอย่างไฟล์มัลแวร์มากกว่า 30 รายการที่ถูกส่งไปตรวจสอบกับเว็บไซต์ ID Ransomware ตั้งแต่วันที่ 18 มีนาคมที่ผ่านมา ระบุว่ามีการเรียกค่าไถ่เป็นจำนวนเงินมากกว่า 100,000 เหรียญ และมีการโจรกรรมข้อมูลออกไปด้วย

นอกเหนือจาก Black Kingdom แล้ว ก่อนหน้านี้ก็ยังพบว่ามีมัลแวร์อื่น ๆ อาทิเช่น DearCry Ransomware และ Cryptoming malware ที่อาศัยช่องโหว่ของ Exchange Server ในการโจมตีด้วยเช่นเดียวกัน ผู้ใช้งาน Exchange Server ที่เป็น On-premise หรือ Hybrid หากยังไม่ได้อัปแพตช์ควรดำเนินการโดยเร็วที่สุด

ที่มา: bleepingcomputer

Acer ถูกโจมตีด้วยกลุ่ม REvil Ransomware และถูกเรียกร้องค่าไถ่ที่เป็นจำนวนเงิน 50 ล้านดอลลาร์

Acer บริษัทยักษ์ใหญ่ทางด้านคอมพิวเตอร์ถูกโจมตีด้วย REvil Ransomware ซึ่งกลุ่มผู้ประสงค์ร้ายได้เรียกร้องค่าไถ่ที่เป็นจำนวนเงิน 50 ล้านดอลลาร์

BleepingComputer และ Valery Marchive จาก LegMagIT ได้พบตัวอย่างไฟล์จากกลุ่ม REvil ransomware และทำให้สามารถยืนยันการโจมตีได้จากบันทึกค่าไถ่และการสนทนาของตัวเเทน Acer กับผู้โจมตี โดยการโจมตีถูกเริ่มตั้งแต่วันที่ 14 มีนาคมที่ผ่านมา ตัวแทน Acer ได้รับการติดต่อจากตัวเเทนของกลุ่ม REvil Ransomware ที่ได้แชร์ลิงก์ไปยังหน้าข้อมูลที่เผยแพร่ตัวอย่างไฟล์และภาพที่ถูกละเมิดจากเครือข่ายของ Acer ซึ่งถูกปิดเป็นความลับในช่วงเวลาดังกล่าว โดยกลุ่ม REvil ได้แสดงความต้องการค่าไถ่เป็นจำนวนมากถึง 50 ล้านดอลลาร์และยังได้ทำการเสนอส่วนลด 20 % ถ้าหากทาง Acer ชำระเงินภายในวันพุธที่ผ่านมา และจะส่งตัวถอดรหัสกับรายงานช่องโหว่และการลบไฟล์ที่ถูกขโมยออกไปด้วย

Vitali Kremez ผู้เชี่ยวชาญด้านความปลอดภัยได้ออกมาแสดงข้อสันนิษฐานกับเหตุการณ์ที่เกิดขึ้นหลังจากแพลตฟอร์ม Andariel cyberintelligence ของ Intel ตรวจพบกลุ่ม Revil ที่ได้กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Microsoft Exchange บนโดเมนของ Acer การโจมตีดังกล่าวได้ใช้ประโยชน์จากช่องโหว่ ProxyLogon เพื่อปรับใช้ ransomware โดยเหตุการณ์การตรวจจับนี้ยังไม่ได้รับการยืนยันจาก Acer ซึ่งหาก REvil ใช้ประโยชน์จากช่องโหว่ล่าสุดของ Microsoft Exchange เพื่อขโมยข้อมูลหรือเข้ารหัสอุปกรณ์ก็จะเป็นครั้งแรกที่การดำเนินการเรียกค่าไถ่จากการใช้เวกเตอร์นี้ในการโจมตี

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เสมอและควรทำการอัปเดตเเพตช์ความปลอดภัยอยู่เป็นประจำและควรพิจาณาการใช้ไฟล์วอลในระบบของท่าน เพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Microsoft กำลังสอบสวนความเป็นไปได้ที่ POC ของช่องโหว่ Exchange จะรั่วไหล

ช่องโหว่ Microsoft Exchange ที่รู้จักในชื่อ ProxyLogon (https://proxylogon.com/) เป็นช่องโหว่ที่ถูกค้นพบโดยบริษัท DEVCORE ที่แจ้งไปยัง Microsoft และ Microsoft แก้ไขในแพตช์ด่วนไปเมื่อ 3 มีนาคม 2021 ที่ผ่านมา แต่จากการตรวจสอบของบริษัทด้านความปลอดภัยต่างๆ เช่น Volexity, Unit 42, Rapid 7 และ CrowdStrike พบว่ามีการโจมตีก่อนที่จะมีการออกแพตช์ในช่วงปลายเดือนกุมภาพันธ์ 2021 ซึ่งเมื่อวิเคราะห์ข้อมูลการโจมตีโดยละเอียดพบว่าการโจมตีมีความผิดปกติ คือใช้ POC ของบริษัท DEVCORE ที่ส่งให้ Microsoft เพื่อทำการออกแพตช์ จึงเป็นไปได้ที่จะมีการรั่วไหลของ POC ของช่องโหว่ Exchange เกิดขึ้นก่อนการแพตช์

ทางบริษัท DEVCORE ออกแถลงการณ์ระบุว่าทางบริษัทได้ทำการตรวจสอบแล้วและไม่พบว่ามีการรั่วไหลของ POC จากฝั่ง DEVCORE ในขณะที่ทาง Microsoft อยู่ระหว่างการทำการสืบสวน ซึ่งจะมุ่งไปที่โปรแกรม Microsoft Active Protections Program (Mapp) ที่ทาง Microsoft จะให้ข้อมูลบริษัทด้านความปลอดภัยต่างๆ อย่างบริษัทผลิตภัณฑ์ป้องกันมัลแวร์ทราบข้อมูลเกี่ยวกับภัยคุกคามก่อนล่วงหน้า โดยในกรณีช่องโหว่ ProxyLogon นี้ ทาง Microsoft ได้ส่ง POC ให้กับบริษัทในโครงการ Mapp เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา

ที่มา : wsj | zdnet

Microsoft ออกสคริปช่วยบรรเทาผลกระทบจากช่องโหว่ใน Exchange

Microsoft ออก Exchange On-premises Mitigation Tool (EOMT) ซึ่งเป็นสคริป PowerShell เพื่อช่วยองค์กรขนาดเล็กในการบรรเทาผลกระทบจากช่องโหว่ ProxyLogon ใน Exchange โดยสคริปดังกล่าวรองรับ Exchange 2013, 2016 และ 2019 โดยสคริปดังกล่าวจะ

ตรวจสอบว่ามีช่องโหว่หรือไม่
บรรเทาผลกระทบจากช่องโหว่ CVE-2021-26855 ด้วย URL Rewrite configuration
ดาวน์โหลดและรัน Microsoft Safety Scanner เพื่อค้นหา webshell ที่อาจมีฝังไว้
ลบไฟล์อันตรายที่ Microsoft Safety Scanner พบ

Microsoft ระบุว่าสคริปดังกล่าวเป็นเพียงการบรรเทาผลกระทบชั่วคราวเท่านั้น ผู้ดูแลระบบควรอัปเดตแพตช์จะเป็นการดีที่สุด สามารถอ่านรายละเอียดของสคริปดังกล่าวได้ที่ microsoft

ที่มา msrc-blog

พบ DearCry ransomware โจมตีผ่านช่องโหว่ล่าสุดบน Microsoft Exchange

นักวิจัยพบ ransomware ตัวใหม่ DearCry บนบริการ ยืนยันสายพันธุ์ ransomware malwarehunterteam เมื่อวันที่ 9 มีนาคม 2021 ที่ผ่านมา โดยเหยื่อได้มีการตั้งกระทู้ให้ข้อมูลเกี่ยวข้องกับการติด DearCry ว่าเขาคิดว่าเครื่อง Microsoft Exchange ของเขาที่ถูกเข้ารหัสถูกโจมตีโดยกลุ่มช่องโหว่ ProxyLogon บน Microsoft Exchange ก่อนที่จะมีการวาง DearCry เพื่อเข้ารหัส

ทีม Microsoft Security Intelligence ยืนยันการค้นพบ DearCry ดังกล่าวโดยระบุว่า DearCry เป็นการโจมตีแบบ human operated ransomware ซึ่งเป็นการโจมตีที่มีผู้โจมตีลงมือเจาะระบบเพื่อเข้าไปรันมัลแวร์ และยืนยันว่าผู้โจมตีที่อยู่เบื้องหลัง DearCry มีการใช้ช่องโหว่บน Microsoft Exchange

ผู้ดูแลระบบควรทำการอัปเดตแพตช์และควรทำการตรวจสอบระบบโดยละเอียดเพื่อหา IOC ว่าถูกโจมตีแล้วหรือไม่ เนื่องจากในกรณีที่อัปเดตแพตช์แต่ถูกโจมตีไปแล้ว จะมีโอกาสที่ผู้โจมตีฝัง web shell สามารถรันคำสั่งอันตรายบนเครื่องต่อได้

ที่มา : bleepingcomputer

กลุ่มช่องโหว่ล่าสุดใน Microsoft Exchange ถูกปล่อย POC แล้ว

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.