Snappy เครื่องมือตรวจจับจุดเชื่อมต่อ WIFI ที่เป็นอันตรายบนเครือข่ายแบบ open networks

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดตัวเครื่องมือใหม่ชื่อว่า 'Snappy' ที่สามารถช่วยตรวจจับจุดเชื่อมต่อ WiFi ปลอม หรือหลอกลวงที่พยายามขโมยข้อมูลที่ถูกติดตั้งจากผู้ไม่หวังดี

โดยผู้โจมตีสามารถสร้างจุดเชื่อมต่อปลอมในซูเปอร์มาร์เก็ต, ร้านกาแฟ และห้างสรรพสินค้า เพื่อหลอกว่าเป็น access points จริงที่ติดตั้งไว้แล้วในสถานที่นั้น ซึ่งเป็นการทำขึ้นเพื่อหลอกให้ผู้ใช้เชื่อมต่อกับจุดเชื่อมต่อที่เป็นอันตราย และส่งต่อข้อมูลที่มีความสำคัญผ่านอุปกรณ์ของผู้โจมตี

ในขณะที่ผู้โจมตีควบคุมเราเตอร์ไว้ ทำให้สามารถดักจับภาพหน้าจอ ทำการวิเคราะห์ข้อมูล และส่งข้อมูลออกไปได้ ผ่านการโจมตีแบบ MiTM (Man-in-the-middle attacks.

แฮ็กเกอร์จีนเริ่มใช้ช่องโหว่ของ Fortinet ในการโจมตีทางไซเบอร์

นักวิจัยรายงานการพบกลุ่มแฮ็กเกอร์จีนกำลังใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ Fortinet FortiOS ที่มีความรุนแรงระดับกลาง ซึ่งปัจจุบันมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปเรียบร้อยแล้ว

Mandiant บริษัทผู้เชี่ยวชาญทางด้าน Threat intelligence ระบุว่า การโจมตีดังกล่าวเป็นส่วนหนึ่งของแคมเปญการโจมตีขนาดใหญ่ที่ออกแบบมาเพื่อติดตั้ง backdoor ลงบนอุปกรณ์ Fortinet และ VMware เพื่อสร้างช่องทางสำหรับการแฝงตัวอยู่ภายในระบบของเหยื่อ

โดย Mandiant กำลังติดตามการดำเนินการของกลุ่มดังกล่าวภายใต้ชื่อ UNC3886 ซึ่งคาดว่ามีความเกี่ยวข้องกับประเทศจีน

นักวิจัยของ Mandiant ระบุในรายงานการวิเคราะห์ทางเทคนิคว่า "UNC3886 เป็นกลุ่มแฮ็กเกอร์ที่มีความสามารถเฉพาะตัวในการดำเนินการโจมตีอุปกรณ์บนเครือข่าย สังเกตได้จากเครื่องมือที่ใช้ในแคมเปญการโจมตี"

โดย Mandiant พบว่า UNC3886 มุ่งเป้าหมายไปที่อุปกรณ์ไฟร์วอลล์ และเทคโนโลยี virtualization ที่ยังไม่รองรับจากอุปกรณ์ EDR โดยมีความสามารถในการจัดการเฟิร์มแวร์ของไฟล์วอลล์ และใช้ประโยชน์จากช่องโหว่ที่ถูกพบ แสดงให้เห็นว่ากลุ่มผู้โจมตีมีความเชี่ยวชาญในเทคโนโลยีดังกล่าว

ก่อนหน้านี้กลุ่มแฮ็กเกอร์กลุ่มนี้ เกี่ยวข้องกับการโจมตีที่มุ่งเป้าหมายเป็นเซิร์ฟเวอร์ VMware ESXi และ เซิร์ฟเวอร์ Linux vCenter ซึ่งเป็นส่วนหนึ่งของแคมเปญ hyperjacking ที่ออกแบบมาเพื่อฝัง backdoor เช่น VIRTUALPITA และ VIRTUALPIE

รายงานล่าสุดจาก Mandiant เกิดขึ้นภายหลังจากที่ Fortinet เปิดเผยว่าหน่วยงานของภาครัฐ และองค์กรขนาดใหญ่ ได้รับผลกระทบจากการถูกโจมตีโดยการใช้ช่องโหว่บน Fortinet FortiOS ซึ่งอาจส่งผลให้ข้อมูลสูญหาย และเกิดความเสียหายในระบบปฏิบัติการได้

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-41328 (CVSS score: 6.5) เป็นช่องโหว่ path traversal บน FortiOS ซึ่งมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 7 มีนาคม 2023 ที่ผ่านมา

ตามรายงานจาก Mandiant ระบุว่าการโจมตีที่ UNC3886 ได้มุ่งเป้าไปที่อุปกรณ์ FortiGaet, FortiManager, และ FortiAnalyzer ของ Fortinert เพื่อติดตั้ง backdoor THINCRUST และ CASTLETAP ซึ่งจะสามารถทำได้หากอุปกรณ์ FortiManager ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

โดย THINCRUST เป็น backdoor ที่เขียนด้วยภาษา Python และสามารถรันคำสั่ง รวมถึงอ่าน และเขียนไฟล์บนดิสก์ได้

รวมถึงเพย์โหลดที่เพิ่มเข้ามาใหม่ เรียกว่า "/bin/fgfm" (หรือเรียกว่า CASTLETAP) ซึ่งจะทำการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกที่ถูกควบคุมโดยผู้โจมตี เพื่อรับคำสั่ง, ติดตั้งเพย์โหลด และส่งข้อมูลที่ขโมยออกมาไปที่ C2 Server

นักวิจัยระบุว่า "เมื่อ CASTLETAP ถูกติดตั้งบนไฟร์วอลล์ FortiGate แล้ว ผู้โจมตีจะเชื่อมต่อกับเครื่อง ESXi และ vCenter เพื่อสร้างช่องทางการแฝงตัวบนระบบ ซึ่งทำให้สามารถเข้าถึง hypervisors และเครื่อง guest อื่น ๆ"

ในกรณีที่อุปกรณ์ FortiManager มีการจำกัดการเข้าถึงจากอินเทอร์เน็ต ผู้ไม่หวังดีจะใช้เทคนิค Pivoting โดยการเชื่อมต่อจาก FortiGate Firewall ที่โจมตีด้วย CASTLETAP เพื่อฝัง reverse shell backdoor ชื่อ REPTILE ("/bin/klogd") บนระบบจัดการเครือข่ายเพื่อให้สามารถกลับเข้าถึงระบบได้อีกครั้ง

UNC3886 ใช้เครื่องมือชื่อ TABLEFLIP เพื่อเชื่อมต่อโดยตรงกับอุปกรณ์ FortiManager โดยไม่สนใจ ACL (access-control list) ที่กำหนดไว้ในอุปกรณ์ FortiGate

การโจมตีนี้ไม่ใช่ครั้งแรกที่กลุ่มผู้ไม่หวังดีจากจีน มุ่งเป้าหมายไปยังอุปกรณ์เครือข่ายเพื่อแพร่กระจายมัลแวร์ โดยก่อนหน้านี้ก็พบการโจมตีโดยการใช้ช่องโหว่อื่น ๆ ในอุปกรณ์ Fortinet และ SonicWall

รายงานจาก Rapid7 พบว่าผู้ไม่หวังดีกำลังพัฒนา และเผยแพร่เครื่องมือที่ใช้ในการโจมตีได้รวดเร็วขึ้นกว่าที่ผ่านมา โดยมีช่องโหว่มากถึง 28 รายการ ที่ถูกนำมาใช้ในการโจมตีเพียง 7 วัน ภายหลังจากมีการเปิดเผยข้อมูลออกสู่สาธารณะ ซึ่งเพิ่มขึ้น 12% จากปี 2021 และเพิ่มขึ้น 87% จากปี 2020

กลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับประเทศจีนได้กลายเป็นผู้เชี่ยวชาญเฉพาะด้านในการใช้ช่องโหว่ zero-day และการแพร่กระจายมัลแวร์ที่ปรับแต่งให้เหมาะสม เพื่อขโมยข้อมูลประจำตัวผู้ใช้งาน และแฝงตัวบนระบบเครือข่ายของเป้าหมาย

Mandiant ระบุว่า "การโจมตีนี้เป็นหลักฐานที่ชี้ให้เห็นว่าผู้โจมตีที่มีความเชี่ยวชาญ กำลังใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึง และค้นหาข้อมูลของเป้าหมาย โดยเฉพาะเทคโนโลยีที่ไม่รองรับการป้องกันจากอุปกรณ์ EDR"

 

ที่มา : thehackernews

Python Malware แอบติดตั้งแบ็คดอร์จากช่องโหว่บน VMware ESXi servers

นักวิจัยจาก Juniper Networks ค้นพบ Python Malware ที่มุ่งเป้าไปยังช่องโหว่บน VMware ESXi servers เพื่อใช้ในการติดตั้งแบ็คดอร์ ซึ่งจะทำให้ Hacker สามารถเข้าถึง หรือรันคำสั่งที่เป็นอันตรายจากระยะไกลบนระบบที่ถูกโจมตีได้

แต่จนถึงปัจจุบันนักวิจัยยังไม่สามารถระบุวิธีการที่แน่ชัดที่ถูกใช้ในการโจมตีได้ เนื่องจากข้อมูล log ที่หลงเหลือหลังจากการโจมตีมีจำกัด แต่คาดการว่าเซิร์ฟเวอร์อาจถูกโจมตีโดยใช้ช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ใน OpenSLP service ของ ESXi โดย Python Malware ยังสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Linux และ Unix

VMware ESXi คือ แพลตฟอร์ม Virtual Machine (VM) ที่ใช้ทั่วไปในองค์กรเพื่อสร้างเซิร์ฟเวอร์จำลอง (VM) จำนวนมากบนอุปกรณ์เครื่องเดียว โดยใช้ทรัพยากร CPU และหน่วยความจำได้อย่างมีประสิทธิภาพ

การโจมตี

จากข้อมูล log ที่หลงเหลือหลังจากการโจมตี พบว่า Python Malware ได้เพิ่มคำสั่ง 7 บรรทัดใน "/etc/rc.

พบเพ็คเกจที่เป็นอันตรายกว่า 29 ชนิดบน PyPI มีการฝังสคริปสำหรับติดตั้งมัลแวร์

ผู้เชี่ยวชาญจาก Phylum ค้นพบแพ็คเกจที่เป็นอันตรายจำนวน 29 รายการบน Python Package Index (PyPI) ที่เป็นแหล่งรวมโปรแกรม และไลบรารีเสริมของ Python โดยแพ็คเกจทั้งหมดเป็นส่วนหนึ่งของมัลแวร์ที่มีชื่อว่า W4SP Stealer

รายละเอียดการโจมตี

การโจมตีเริ่มตั้งแต่วันที่ 12 ตุลาคมที่ผ่านมา และดำเนินการมาจนถึงวันที่ 22 ตุลาคม มียอดการดาวน์โหลดแพ็คเกจทั้งหมดรวมกว่า 5,700 ครั้ง
ผู้โจมตีจะทำการฝังสคริปที่เป็นอันตรายลงในไฟล์ setup.

แพ็คเกจปลอมบน Python Package Index (PyPI) แอบติดตั้ง Fileless Cryptominer บน Linux

นักวิจัยด้านความปลอดภัยค้นพบแพ็คเกจ PyPI ปลอมตัวใหม่ที่ชื่อว่า 'secretslib' ที่ถูกออกแบบมาเพื่อวาง fileless cryptominer บนระบบปฏิบัติการ Linux โดย "secretslib" ถูกดาวน์โหลดไปแล้ว 93 ครั้งก่อนที่จะถูกลบ ถูกเผยแพร่ใน Python Package Index (PyPI) ตั้งแต่เมื่อวันที่ 6 สิงหาคม พ.ศ. 2565 Axe Sharma นักวิจัยจาก Sonatype ได้ระบุในรายงานการตรวจสอบว่า แพ็คเกจดังกล่าวจะแอบเรียกใช้ cryptominers บนหน่วยความจำบนเครื่องของเหยื่อโดยตรง ซึ่งเป็นเทคนิคที่มักถูกใช้จากพวก Fileless มัลแวร์ โดยมันจะเรียกใช้ Linux executable file ที่ถูกดาวน์โหลดมาจากเซิร์ฟเวอร์ภายนอกที่ชื่อว่า "memfd" ซึ่งจริงๆแล้วคือ Monero cryptominer

โดยผู้ที่อยู่เบื้องหลังแพ็คเกจดังกล่าวมีการใช้ข้อมูลระบุตัวตน และข้อมูลติดต่อของวิศวกรซอฟต์แวร์ที่น่าเชื่อถือที่ทำงานให้กับ Argonne National Laboratory ซึ่งเป็นห้องปฏิบัติการที่ได้รับทุนสนับสนุนจากกระทรวงพลังงานของสหรัฐฯ เพื่อให้แพ็คเกจดังกล่าวมีความน่าเชื่อถือ เมื่อไม่กี่วันก่อน นักวิจัย Check Point พึ่งค้นพบแพ็คเกจที่เป็นอันตรายอีก 10 แพ็คเกจใน Python Package Index (PyPI) โดยแพ็คเกจจะทำให้ผู้โจมตีสามารถขโมยข้อมูลส่วนตัวของนักพัฒนาได้

ที่มา : thehackernews.

Google เปิดตัว Atheris เครื่องมือทำ Fuzzing สำหรับโปรแกรมในภาษา Python

Google เปิดตัวโครงการ Atheris ซึ่งเป็นโครงสำหรับช่วยหาบั๊กในโค้ด Python ด้วยวิธีการแบบ coverage-gided fuzzing หรือการทดลองใส่อินพุตให้กับโปรแกรมไปเรื่อยๆ จากนั้นคอยมอนิเตอร์พฤติกรรมของโปรแกรมเพื่อหาเงื่อนไขที่อาจเป็นบั๊กหรือช่องโหว่

Atheris รองรับการทำงานกับเป้าหมายที่เป็นทั้ง Python 2.7 และ Python 3.3+ แต่จะทำงานได้ดีที่สุดสำหรับโปรแกรมที่ถูกพัฒนาโดยใช้ Python 3.8 หรือมากกว่า ผู้ใช้งานสามารถติดตั้ง Artheris ได้ผ่าน Pip และใช้เป็นหนึ่งในโมดูลเพื่อทำ fuzzing ได้ทันที

ดูข้อมูลของโครงการเพิ่มเติมได้จาก https://github.

Bug in Facebook Messenger for Windows Could’ve Helped Malware Gain Persistence

บัคใน Facebook Messenger สำหรับ Windows ช่วยในการฝังตัวของมัลแวร์ในระบบได้

Reason Labs มีการเปิดเผยถึงรายละเอียดช่องโหว่ในโปรแกรม Facebook Messenger สำหรับ Windows
ผู้โจมตีสามารถใช้ช่องโหว่ในแอปพลิเคชัน Messenger รุ่น 460.16 บน Windows ในการเอ็กซีคิวต์และช่วยในการฝังตัวของมัลแวร์ในระบบได้

การฝังตัวนี้เกิดขึ้นเมื่อ Facebook Messenger มีการเรียกการทำงาน Windows PowerShell จาก C:\Python27 พาธนี้มักจะถูกสร้างเมื่อมีการติดตั้ง Python เวอร์ชัน 2.7 โดยไม่ได้มีอยู่ในการติดตั้งทั่วไปของ Windows ด้วยพฤติกรรมในลักษณะนี้ผู้โจมตีสามารถแทนที่ไฟล์หรือโปรแกรมที่ Facebook Messenger เรียกและไม่มีอยู่จริงนั้นด้วยไฟล์หรือโปรแกรมที่เป็นอันตรายได้

ช่องโหว่นี้ถูกแก้ไขในเวอร์ชัน 480.5 ผู้ใช้ที่ใช้งานในเวอร์ชันที่มีปัญหาควรทำการอัปเดตทันที

ที่มา:thehackernews