พบมัลแวร์ตัวใหม่ที่มีชื่อว่า 'ProxyShellMiner' ได้ใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ProxyShell เพื่อติดตั้งเครื่องขุด cryptocurrency ผ่านทาง Windows domain เพื่อขุดเหรียญ cryptocurrency ให้กับ Hacker

ProxyShell เป็นชื่อของช่องโหว่ Exchange สามรายการที่ถูกพบ และได้รับการแก้ไขไปแล้วโดย Microsoft ในปี 2021 โดยเมื่อใช้งานร่วมกันทั้งสามช่องโหว่ จะทำให้สามารถหลบเลี่ยงการตรวจสอบ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) จึงทำให้สามารถเข้าควบคุมเซิร์ฟเวอร์ Exchange ได้อย่างสมบูรณ์และเข้าถึงระบบอื่น ๆ บนเครือข่ายของเป้าหมายได้อีกด้วย

ProxyShellMiner

Morphisec บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เปิดเผยการค้นพบมัลแวร์ตัวใหม่ที่ชื่อว่า 'ProxyShellMiner' ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-34473 และ CVE-2021-34523 ในการเข้าถึงเครือข่ายของเหยื่อ

จากนั้น Hacker จะปล่อยเพย์โหลดมัลแวร์ .NET ลงในโฟลเดอร์ NETLOGON ของ domain controller เพื่อให้แน่ใจว่าอุปกรณ์ทั้งหมดบนเครือข่ายจะเรียกใช้มัลแวร์ อีกทั้งเพื่อให้มัลแวร์สามารถใช้งานได้ จำเป็นต้องมีพารามิเตอร์บรรทัดคำสั่งที่เหมือนกับรหัสผ่านสำหรับส่วนประกอบของ XMRig miner

โดย ProxyShellMiner ใช้ embedded dictionary ซึ่งเป็นอัลกอริธึมแบบ XOR decryption ที่ดาวน์โหลดจากเซิร์ฟเวอร์ภายนอก จากนั้นจะใช้ตัวสั่งการที่ใช้ภาษา C# ในชื่อ CSC.exe และพารามิเตอร์ "InMemory" เพื่อดำเนินการใช้โมดูล embedded code ต่อไป

ต่อมา ProxyShellMiner จะดาวน์โหลดไฟล์ชื่อ "DC_DLL" และสั่ง .NET reflection เพื่อแยกอาร์กิวเมนต์สำหรับตัวกำหนด task scheduler, ค่า XML และ XMRig key ซึ่งไฟล์ DLL จะใช้สำหรับการถอดรหัสไฟล์เพิ่มเติม นอกจากนี้โปรแกรมทั้งสองรายการที่ทำการดาวน์โหลดมาก่อนหน้านี้จะทำการฝังตัวในระบบ (Persistence) ด้วยการสร้าง task scheduler ให้ทำงานเมื่อมีผู้ใช้งานเข้าสู่ระบบ และทำการดาวน์โหลด malware loader มาอีก 2 รายการพร้อมไฟล์อื่น ๆ อีกสี่ไฟล์

หลังจากนั้นจะทำการติดตั้งไปยัง browser ในระบบของเหยื่อเพื่อทำการฝังตัวในพื้นที่หน่วยความจำ ซึ่งเรียกกระบวนการนี้ว่า "process hollowing" จากนั้นจะเลือกกลุ่มการขุดแบบสุ่มจากรายการในฮาร์ดโค้ด และเริ่มการขุดเหรียญ cryptocurrency บนระบบของเหยื่อ

ในขั้นตอนสุดท้ายของกระบวนการโจมตี ProxyShellMiner จะทำการสร้าง firewall rule เพื่อบล็อกการรับส่งข้อมูลขาออกทั้งหมด โดยปรับใช้กับ Windows Firewall profile เพื่อป้องกันไม่ให้เหยื่อรู้ตัว รวมไปการถึงป้องกันการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย โดยมัลแวร์จะรออย่างน้อย 30 วินาทีหลังจากที่ติดตั้งบน browser และก่อนที่จะสร้าง firewall rule เพื่อสร้าง backdoor ในการเรียกออกไปภายนอก

Morphisec ระบุว่า นอกจากผลกระทบที่จะทำให้ระบบเกิดปัญหา ประสิทธิภาพของเซิร์ฟเวอร์ลดลง และเครื่องร้อนเกินไปแล้วนั้น Hacker ยังสามารถโจมตีในรูปแบบอื่น ๆ ได้อีกด้วย เช่น เรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ด้านความปลอดภัยอย่างสม่ำเสมอ รวมไปถึงจัดหาระบบตรวจจับ และป้องกันภัยคุกคามที่ครอบคลุม และหลากหลายเพื่อป้องกันระบบ

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยที่ Shadowserver Foundation ออกมาเปิดเผยว่า จากการสำรวจในวันที่ 2 มกราคม 2023 พบ MS Exchange servers ที่มีช่องโหว่ 60,865 เครื่อง ที่ยังไม่ได้รับการอัปเดต โดยในรายงานพบ MS Exchange servers ที่มีช่องโหว่ตั้งอยู่ในประเทศไทยจำนวน 231 เครื่อง ซึ่งเสี่ยงต่อการโจมตีโดย ProxyNotShell โดยที่ปัจจุบันทาง Microsoft ได้ออกอัปเดตด้านความปลอดภัยเพื่อปิดช่องโหว่ดังกล่าวไปก่อนหน้านี้แล้ว

ProxyNotShell เป็นวิธีการโจมตีช่องโหว่ที่มีหมายเลข CVE-2022-41082 และ CVE-2022-41040 ซึ่งส่งผลกระทบต่อ Exchange Server 2013, 2016 และ 2019 หาก Hackers สามารถโจมตีได้สำเร็จจะทำให้สามารถยกระดับสิทธิ์ (Privileges Escalate) และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) บนเครื่องที่ถูกโจมตีได้

การโจมตี ProxyShell และ ProxyLogon ที่เกิดขึ้นอย่างต่อเนื่อง

BleepingComputer พบข้อมูลว่าช่องโหว่ของ MS Exchange servers ได้ถูกกลุ่ม Hackers นำมาใช้โจมตีอยู่เป็นประจำ เช่น

กลุ่ม Play ransomware ที่ใช้ ProxyNotShell ในการหลีกเลี่ยงการตรวจจับ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบน Outlook Web Access (OWA) ของ MS Exchange servers ที่มีช่องโหว่

กลุ่ม FIN7 ที่ได้สร้างแพลตฟอร์ม Checkmarks ที่สร้างขึ้นเพื่อใช้ในการโจมตี MS Exchange servers ที่มีช่องโหว่โดยเฉพาะ ซึ่งจะสแกนหา และใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องที่สามารถโจมตีได้สำเร็จ

รวมถึง Shodan search ยังได้รายงานว่าพบ MS Exchange servers จำนวนมากที่พบว่ายังออนไลน์อยู่ แต่ยังไม่ได้รับการอัปเดตเพื่อปิดช่องโหว่ ProxyShell และ ProxyLogon ซึ่งเป็นช่องโหว่ที่ถูกโจมตีสูงสุดในปี 2021

วิธีแก้ไข

ทำการอัปเดตด้านความปลอดภัยบน MS Exchange servers 2013, 2016 และ 2019 ให้เป็นเวอร์ชันล่าสุด

 

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon

โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท

ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile

ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)

ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว

การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่

หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers

Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ

(more…)

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อติดตั้งแบ็คดอร์สำหรับการเข้าถึง Microsoft Exchange
ProxyShell เป็นชื่อของการโจมตีที่ใช้ช่องโหว่ของ Microsoft Exchange ที่เกี่ยวข้องกันสามช่องโหว่ เพื่อเรียกใช้งานโค้ดที่เป็นอันตราย จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์

ช่องโหว่ทั้งสามตามรายการ ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal ซึ่งเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันเพื่อเข้าควบคุมเซิร์ฟเวอร์ Microsoft Exchange ในการแข่งขันแฮ็ก Pwn2Own 2021 ในเดือนเมษายน

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)

CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

เมื่อสัปดาห์ที่แล้ว Orange Tsai ได้พูดใน Black Hat เกี่ยวกับช่องโหว่ของ Microsoft Exchange ล่าสุดที่เขาค้นพบ โดยพบช่องโหว่นี้ในตอนที่เขากำลังกำหนดเป้าหมายการโจมตีไปที่ Microsoft Exchange Client Access Service (CAS)Tsai เปิดเผยในการพูดคุยในงานว่าการโจมตีที่ใช้ ProxyShell นั้นอาศัยการค้นหาอัตโนมัติของ Microsoft Exchange เพื่อทำการโจมตี SSRF

หลังจากงาน Black Hat แล้ว นักวิจัยด้านความปลอดภัย PeterJson และ Nguyen Jang ได้เผยแพร่ข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการสร้าง Exploits ProxyShell ที่ใช้ในการโจมตีได้สำเร็จ

และ หลังจากนั้นไม่นาน นักวิจัยด้านความปลอดภัย Kevin Beaumont เริ่มสังเกตุเห็นผู้ไม่หวังดีสแกนหาเซิร์ฟเวอร์ Microsoft Exchange ที่เสี่ยงต่อการถูกโจมตีด้วย ProxyShell

Rich Warren นักวิจัยด้านช่องโหว่ของ Beaumont และ NCC Group ก็ได้มีเปิดเผยว่าผู้ไม่หวังดีได้โจมตี Honeypots ของ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell ในการโจมตี

เมื่อมีการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ผู้ไม่หวังดีมักจะใช้ URL นี้ในการเริ่มโจมตี

https://Exchange-server/autodiscover/autodiscover.