MSI บริษัทผู้จัดจำหน่ายคอมพิวเตอร์สัญชาติไต้หวัน (ย่อมาจาก Micro-Star International) ออกมาประกาศว่าได้ถูกโจมตีทางไซเบอร์ โดยบริษัทตรวจพบการโจมตี และเริ่มตอบสนองต่อเหตุการณ์ทันที ภายหลังจากพบการทำงานที่ผิดปกติบนระบบ Network นอกจากนี้ยังได้แจ้งไปยังหน่วยงานทางด้านกฎหมายที่เกี่ยวข้อง ซึ่งทางบริษัท MSI ยังไม่ได้ให้ข้อมูลเกี่ยวกับรายละเอียดของวันที่ และเวลาที่ถูกโจมตี หรือข้อมูลเกี่ยวกับรูปแบบการโจมตี รวมถึงมีข้อมูล หรือ source code ที่อาจจะถูกขโมยออกไปด้วยหรือไม่ (more…)

นักวิจัยของ SentinelOne บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยเทคนิคการหลบหลีกการตรวจับจากอุปกรณ์ป้องกันด้านความปลอดภัย และสามารถเรียกใช้งานเพย์โหลดที่เป็นอันตรายของกลุ่ม CatB Ransomware โดยใช้เทคนิคที่มีชื่อว่า DLL search order hijacking

CatB Ransomware หรือ CatB99 และ Baxtoy ถูกพบครั้งแรกเมื่อปลายปี 2022 ซึ่งคาดว่าเป็นการพัฒนาต่อยอดมาจากกลุ่ม Pandora Ransomware โดยจากการวิเคราะห์ code-level พบว่ามีความคล้ายกัน ซึ่งพบว่า Pandora นั้นมีที่มาจาก ronze Starlight (หรือ DEV-0401 หรือ Emperor Dragonfly) โดยเป็นกลุ่ม Hacker ชาวจีนที่ใช้ Ransomware สายพันธุ์ที่มีช่วงเวลาที่ถูกใช้ในการโจมตีต่ำ เพื่ออำพรางเป้าหมายที่แท้จริงของการโจมตี

การโจมตีของ CatB Ransomware

CatB Ransomware จะโจมตีด้วยวิธีการ DLL hijacking ผ่าน Microsoft Distributed Transaction Coordinator (MSDTC) ที่เป็น service จริง ๆ ของ Microsoft เพื่อติดตั้ง และเรียกใช้งานเพย์โหลดของแรนซัมแวร์ เช่น versions.

กลุ่ม ransomware ชื่อ BianLian ได้เปลี่ยนเป้าหมายการโจมตีจากการเข้ารหัสไฟล์ของเหยื่อ ไปเป็นการขโมยข้อมูลสำคัญที่พบบนเครือข่ายที่ถูกโจมตี และใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่

บริษัทด้านความปลอดภัยทางไซเบอร์ Redacted ได้รายงานเกี่ยวกับการพัฒนาของกลุ่ม BianLian โดยพบว่ากลุ่มดังกล่าวกำลังพยายามเปลี่ยนรูปแบบในการเรียกค่าไถ่ และการเพิ่มแรงกดดันต่อเหยื่อ

BianLian เป็นกลุ่ม ransomware ที่ถูกพบครั้งแรกในเดือนกรกฎาคม 2022 และได้โจมตีองค์กรชื่อดังหลายแห่งได้สำเร็จ

โดยในเดือนมกราคม 2023 บริษัท Avast พึ่งปล่อยตัวถอดรหัสฟรีเพื่อช่วยเหลือเหยื่อที่ถูกเข้ารหัสไฟล์จาก BianLian ransomware ให้สามารถกู้คืนไฟล์ได้

การโจมตีล่าสุดของกลุ่ม BianLian

รายงานล่าสุดระบุว่ากลุ่ม BianLian ยังคงใช้เทคนิคการโจมตีในขั้นตอนแรก และการโจมตีไปยังระบบต่าง ๆ บนเครือข่ายของเหยื่อเช่นเดิม และยังคงใช้ backdoor ที่พัฒนาด้วยภาษา Go เพื่อให้สามารถเข้าถึงเครื่องที่ถูกโจมตีจาก C2 Server แม้ว่าจะเป็นเวอร์ชันที่ได้รับการปรับปรุงเล็กน้อยก็ตาม

ภายหลังการโจมตี จะมีการโพสต์ข้อมูลของเหยื่อในรูปแบบการปิดบังข้อมูลบางส่วน (masked form) ลงบนเว็บไซต์ โดยใช้เวลาหลังจากการโจมตีสำเร็จเพียง 48 ชั่วโมง และให้เวลาในการชำระเงินค่าไถ่ไว้ประมาณ 10 วัน

ตั้งแต่วันที่ 13 มีนาคม 2023 แหล่งข่าวรายงานว่า BianLian ได้ระบุรายชื่อองค์กรของเหยื่อทั้งหมด 118 องค์กร บนเว็บไซต์ที่ใช้สำหรับการเรียกค่าไถ่ โดยมีข้อมูลองค์กรจากสหรัฐอเมริกาเป็นส่วนใหญ่อยู่ที่ 71% ของรายชื่อทั้งหมด

ความแตกต่างที่พบในการโจมตีครั้งล่าสุดคือ BianLian พยายามทำเงินจากการโจมตีระบบโดยไม่เข้ารหัสไฟล์ของเหยื่อ แต่จะใช้วิธีการขโมยข้อมูล และข่มขู่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมาของเหยื่อเป็นหลัก

ในรายงานล่าสุดระบุว่า "กลุ่มผู้โจมตีมีการสัญญาว่าภายหลังจากได้รับเงินค่าไถ่แล้ว พวกเขาจะไม่เผยแพร่ข้อมูลที่ถูกขโมยมา หรือเปิดเผยว่าองค์กรของเหยื่อถูกโจมตี โดยอ้างอิงจากข้อเท็จจริงที่ว่าการดำเนินงานของพวกเขาเป็นไปในลักษณะธุรกิจที่ชื่อเสียงของพวกเขาต้องมีความน่าเชื่อถือ"

"ในหลายกรณี BianLian ได้อ้างอิงถึงความเกี่ยวข้องกับบทลงโทษทางกฎหมาย และกฎระเบียบต่าง ๆ ที่องค์กรของเหยื่อจะต้องเผชิญหน้าหากพบเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้น"

การอ้างอิงถึงกฎหมายจากกลุ่ม BianLian เป็นไปตามกฎหมายที่ใช้บังคับในพื้นที่ของเหยื่ออีกด้วย ซึ่งแสดงให้เห็นว่าผู้โจมตีมีการศึกษาข้อมูลเพื่อขู่เรียกค่าไถ่ได้อย่างมีประสิทธิภาพ โดยวิเคราะห์ความเสี่ยงทางกฎหมายของเหยื่อในแต่ละพื้นที่ เพื่อจัดรูปแบบข้อแนะนำที่แม่นยำมากขึ้น

ปัจจุบันยังไม่มีข้อมูลที่แน่ชัดว่า BianLian ได้ยกเลิกการใช้วิธีการเข้ารหัสเนื่องจากบริษัท Avast สามารถถอดรหัส ransomware ของพวกเขาได้ หรือเพราะเหตุการณ์นี้ช่วยให้พวกเขารับรู้ว่าไม่จำเป็นต้องมีเทคนิคส่วนนี้ในการโจมตีเพื่อขู่เรียกค่าไถ่

การขู่เรียกค่าไถ่โดยไม่มีการเข้ารหัส

การเข้ารหัสไฟล์ การขโมยข้อมูล และการขู่เรียกค่าไถ่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมานั้นถูกเรียกว่า "double extortion" ซึ่งเป็นกลยุทธ์ที่ใช้โดยกลุ่ม ransomware ต่าง ๆ เพื่อเพิ่มแรงกดดันต่อเหยื่อ

อย่างไรก็ตามการต่อรองระหว่างผู้โจมตี และเหยื่อ ทำให้กลุ่ม ransomware ได้ตระหนักว่าในหลายกรณี การรั่วไหลข้อมูลที่เป็นความลับอาจเป็นแรงกดดันสำหรับการขู่เรียกค่าไถ่มากกว่าการเข้ารหัสไฟล์

จึงทำให้เกิดการขู่เรียกค่าไถ่โดยไม่มีการเข้ารหัสไฟล์มากขึ้น เช่น Babuk, และ SnapMC รวมไปถึง RansomHouse, Donut, และ Karakurt

แต่ในความเป็นจริงส่วนใหญ่ของกลุ่ม Ransomware ยังคงใช้วิธีการเข้ารหัสข้อมูลในการโจมตี เนื่องจากการขัดขวางการดำเนินธุรกิจที่เกิดขึ้นจากการเข้ารหัสอุปกรณ์นั้น ยังทำให้เกิดความกดดันต่อผู้เสียหายได้เช่นเดียวกัน

 

ที่มา : bleepingcomputer

ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.

Citrix Systems ออกแพตซ์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งพบในผลิตภัณฑ์ Virtual Apps and Desktops และ Workspace Apps

โดยช่องโหว่ที่ได้รับการอัปเดต เป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงเป้าหมายในแบบ local access เพื่อยกระดับสิทธิ์ และเข้าควบคุมระบบที่ได้รับผลกระทบได้

การยกระดับสิทธิ์เป็นหนึ่งในขั้นตอนที่สำคัญของการโจมตีทางไซเบอร์ เนื่องจากผู้โจมตีจำเป็นต้องได้รับสิทธิ์ที่สูงขึ้นสำหรับการขโมยข้อมูล, การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย หรือแพร่กระจายไปยังระบบอื่น ๆ ของเป้าหมายเพื่อโจมตีด้วยแรนซัมแวร์

ช่องโหว่ที่ Citrix ได้ออกประกาศให้ทำการอัปเดต

CVE-2023-24483 : ช่องโหว่ในการจัดการสิทธิ์ที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ไปยัง NT AUTHORITY\SYSTEM ส่งผลกระทบต่อ Citrix Virtual Apps and Desktops เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24484 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมทำให้สามารถเขียน log files ไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่ควรเข้าถึง ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24485 : ช่องโหว่ในการการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24486 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยึดครองเซสชัน ส่งผลกระทบต่อแอป Citrix Workspace สำหรับ Linux เวอร์ชันก่อน 2302

โดย CVE-2023-24483 ถือได้ว่าเป็นช่องโหว่ที่รุนแรงที่สุดที่ได้รับการแก้ไขในครั้งนี้ โดย NT AUTHORITY\SYSTEM คือสิทธิ์การเข้าถึงระดับสูงสุดบน Windows ทำให้สามารถสั่งรันคำสั่งได้ตามที่ต้องการ สามารถเข้าถึงข้อมูลที่มีความสำคัญ และแก้ไขการกำหนดค่าระบบโดยไม่มีข้อจำกัด รวมไปถึงสามารถโจมตีไปยังระบบอื่น ๆ ที่อยู่ภายในเครือข่ายเดียวกันได้

การป้องกัน

Citrix แนะนำให้เร่งทำการอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ โดยอัปเดตไปยังเวอร์ชันดังต่อไปนี้

Citrix Virtual Apps และ Desktops 2212 และ version ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 1912 LTSR CU6 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 2212 และ version ที่ใหม่กว่า
Citrix Workspace App 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) และ cumulative updates ที่ใหม่กว่า
แอป Citrix Workspace สำหรับ Linux 2302 และ version ที่ใหม่กว่า

ที่มา : bleepingcomputer

การโจมตีด้วยแรนซัมแวร์ ESXiArgs ตัวใหม่กำลังปฏิบัติการเข้ารหัสข้อมูลจำนวนมาก และยังทำให้การกู้คืนเครื่อง VMware ESXi ที่ถูกเข้ารหัสทำได้ยากขึ้นมาก

เมื่อวันศุกร์ที่ผ่านมา พบการโจมตีด้วยแรนซัมแวร์ที่เข้ารหัสเซิร์ฟเวอร์ VMware ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 3,000 เครื่อง โดยการใช้แรนซัมแวร์ ESXiArgs ตัวใหม่

ในรายงานเบื้องต้นระบุว่าอุปกรณ์ถูกโจมตีผ่านทางช่องโหว่เก่าของ VMware SLP อย่างไรก็ตามเหยื่อบางรายระบุว่าถึงแม้มีการปิดการใช้งาน SLP บนอุปกรณ์ไปแล้ว ก็ยังคงถูกโจมตี และเข้ารหัสได้อยู่ดี

เมื่อโจมตีสำเร็จ สคริปต์ encrypt.

Cyble บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Medusa DDoS (distributed denial of service) botnet เวอร์ชันใหม่ ที่พัฒนาจาก Mirai code based ซึ่งประกอบไปด้วยความสามารถของ ransomware และ Telnet brute-forcer ซึ่งสามารถกำหนดเป้าหมายบน Linux และสามารถโจมตี DDoS ได้หลากหลายรูปแบบ

และในตอนนี้ Medusa ได้กลายเป็น MaaS (malware-as-a-service) สำหรับการโจมตีในรูปแบบ DDoS หรือการขุดเหรียญคริปโต โดยได้รับประกันความเสถียรของบริการ รวมทั้งการไม่เปิดเผยตัวตนของลูกค้า มี API ที่ใช้งานได้ง่าย และค่าใช้จ่ายที่ปรับได้ตามความต้องการของผู้ใช้บริการ

Medusa เป็นมัลแวร์ที่มีมาอย่างยาวนาน ซึ่งมีการโฆษณาขายในตลาดมืดตั้งแต่ปี 2015 และต่อมาได้เพิ่มความสามารถในการโจมตี DDoS ผ่าน HTTP protocol ในปี 2017

ฟังก์ชันของ Ransomware

สิ่งที่น่าสนใจสำหรับ Medusa รูปแบบใหม่นี้คือฟังก์ชันของ Ransomware ที่ช่วยให้สามารถค้นหาไดเร็กทอรีทั้งหมดสำหรับประเภทไฟล์ที่กำหนดสำหรับการเข้ารหัสข้อมูล โดยรายการประเภทไฟล์เป้าหมายนั้นประกอบด้วยไฟล์เอกสาร และไฟล์ vector design เป็นหลัก

โดยไฟล์ที่เป็นเป้าหมายจะถูกเข้ารหัสด้วย AES 256 บิต และนามสกุล .medusastealer ต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส

ซึ่งพบว่ามันไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังเป็น data wiper ที่มุ่งทำลายข้อมูลบนเครื่องที่ถูกโจมตีอีกด้วย โดยพบว่าหลังจากเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว มัลแวร์จะเข้าสู่โหมดสลีปเป็นเวลา 86,400 วินาที (24 ชั่วโมง) หลังจากนั้นจะทำการลบไฟล์ทั้งหมดในไดรฟ์บนระบบ หลังจากลบไฟล์แล้ว มันจะแสดงข้อความเรียกค่าไถ่ที่ขอให้ชำระเงิน 0.5 BTC ($11,400)

Cyble วิเคราะห์ว่า การที่ Medusa ทำการลบข้อมูลทิ้งหลังจากการเข้ารหัสข้อมูลเป็นข้อผิดพลาดของคำสั่งการ เนื่องจากทำลายข้อมูลบนเครื่องที่ถูกโจมตี จะทำให้เหยื่อไม่สามารถใช้งานระบบของตน รวมถึงการเปิดอ่านข้อความเรียกเหตุค่าไถ่ได้ ซึ่งข้อผิดพลาดนี้แสดงให้เห็นว่า Medusa รูปแบบใหม่ หรืออย่างน้อยฟีเจอร์นี้ยังอยู่ในระหว่างการพัฒนา

รวมไปถึงจุดสังเกตุที่พบว่า ถึงแม้ Medusa รูปแบบใหม่จะมีเครื่องมือในการขโมยข้อมูล แต่มันกลับไม่ขโมยไฟล์ข้อมูลของเหยื่อก่อนทำการเข้ารหัส แต่จะมุ่งเน้นไปที่การรวบรวมข้อมูลระบบพื้นฐานที่ช่วยในการระบุตัวตนของเหยื่อ และประเมินทรัพยากรของเครื่องสำหรับการขุดเหรียญคริปโต และการโจมตี DDoS

การโจมตีด้วย Telnet

Medusa รูปแบบใหม่ยังมีฟังก์ชั่น brute force ในการสุ่มชื่อ และรหัสผ่านที่ใช้ทั่วไป ซึ่งหาก brute force สำเร็จ ก็จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติม

รวมถึงการใช้คำสั่ง "zmap" เพื่อค้นหาอุปกรณ์อื่นที่มีบริการ Telnet ที่ทำงานบน port 23 จากนั้นจะพยายามเชื่อมต่อกับอุปกรณ์เหล่านั้นโดยใช้ที่อยู่ IP, ชื่อผู้ใช้ และรหัสผ่านที่ดึงออกมาจากเครื่องที่ถูกโจมตี

สุดท้ายเมื่อสามารถเชื่อมต่อผ่าน Telnet ได้สำเร็จ ก็จะทำการเรียกใช้งานเพย์โหลด ("infection_medusa_stealer") อีกทั้งพบว่าเพย์โหลดสุดท้ายของ Medusa ยังคงรองรับคำสั่ง "FivemBackdoor" และ "sshlogin" ได้ไม่สมบูรณ์ เนื่องจากยังอยู่ในระหว่างการพัฒนา

IOC

ที่มา :

bleepingcomputer

blog.

French Computer Emergency Response Team (CERT-FR) ผู้ดูแลระบบของผู้ให้บริการโฮสติ้ง ได้ออกมาแจ้งเตือนการพบแคมเปญการโจมตีของแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยใช้ช่องโหว่ CVE-2021-21974 ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เพื่อติดตั้งแรนซัมแวร์ลงยังเครื่องเป้าหมายได้

CVE-2021-21974 เป็นช่องโหว่ที่เกิดจาก heap overflow ใน OpenSLP service ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ซึ่งก่อนหน้านี้มีแพตซ์อัปเดตออกมาแล้วตั้งแต่ 23 กุมภาพันธ์ 2021

ช่องโหว่ CVE-2021-21974 ส่งผลกระทบต่อ ESXi version ดังนี้

ESXi versions x prior to ESXi70U1c-17325551
ESXi versions 7.x prior to ESXi670-202102401-SG
ESXi versions 5.x prior to ESXi650-202102101-SG

รวมถึงจากการค้นหาของ Shodan แหล่งข้อมูลด้านความปลอดภัย พบว่าเซิร์ฟเวอร์ VMware ESXi กว่า 120 เครื่องทั่วโลกอาจถูกโจมตีจากแคมเปญแรนซัมแวร์ตัวนี้แล้ว

การค้นพบ ESXiArgs ransomware

ในระหว่างที่พบแคมเปญแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ทาง BleepingComputer ระบุว่า มีผู้ใช้งานเว็บไซต์ได้ตั้งกระทู้เรื่องของการถูกโจมตีโดย ESXiArgs ransomware ในฟอรัมของ BleepingComputer รวมถึงขอความช่วยเหลือ และข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกู้คืนข้อมูล

จากข้อมูลพบว่า แรนซั่มแวร์จะเข้ารหัสข้อมูลไฟล์ด้วยนามสกุล .vmxf, .vmx, .vmdk, .vmsd และ .nvram บนเซิร์ฟเวอร์ ESXi ที่ถูกโจมตี และสร้างไฟล์ .args สำหรับเอกสารที่เข้ารหัสแต่ละรายการ (ซึ่งอาจเอาไว้ในการถอดรหัส) รวมถึงยังทิ้งบันทึกเรียกค่าไถ่ชื่อ "ransom.

นักวิจัยจาก Trend Micro บริษัทด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ กลุ่ม ransomware ในชื่อ Mimic ที่มีการใช้ API ของ ‘Everything‘ เครื่องมือค้นหาของ Windows เพื่อค้นหาไฟล์ที่กำหนดเป้าหมายสำหรับการเข้ารหัสข้อมูล

Mimic ransomware เป็นกลุ่มแรนซัมแวร์ที่ใช้ command line arguments กำหนดเป้าหมายไฟล์ รวมทั้งยังสามารถใช้ multiple processor threads เพื่อเพิ่มความเร็วของกระบวนการเข้ารหัสข้อมูล (more…)

Prodaft ทีมข่าวกรองด้านภัยคุกคามได้ค้นพบ “Checkmarks” แพลตฟอร์มที่ถูกสร้างมาสำหรับใช้โจมตีช่องโหว่ของ Microsoft Exchange และ SQL Injection โดยอัตโนมัติ เพื่อใช้เจาะเครือข่ายองค์กร ขโมยข้อมูล และสามารถเลือกเป้าหมายสำหรับการโจมตีด้วยแรนซัมแวร์ตามขนาดฐานะทางการเงินของบริษัท โดยเป็นการค้นพบในระหว่างที่ติดตามเหตุการณ์ข้อมูลรั่วไหลที่มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ FIN7

FIN7 คือกลุ่ม Hacker ชาวรัสเซีย ที่มีเป้าหมายในการเรียกค่าไถ่จากเหยื่อที่ถูกโจมตี โดยเริ่มพบการโจมตีตั้งแต่ปี 2012 ซึ่งเกี่ยวข้องกับเหตุการณ์โจมตีต่างๆ เช่น การโจมตีตู้ ATM, การส่ง USB ที่มีมัลแวร์ไปยังกลุ่มเป้าหมาย และการตั้งบริษัทรักษาความปลอดภัยทางไซเบอร์ปลอมขึ้น เพื่อจ้างผู้ทดสอบสำหรับการโจมตีด้วยแรนซัมแวร์ (ความจริงคือกำลังโจมตีเหยื่ออยู่จริง ๆ) และเหตุการณ์อื่น ๆ ที่พบความเกี่ยวข้องกับกลุ่ม รวมไปถึงกลุ่ม FIN7 ยังมีความเกี่ยวข้องกับกลุ่มแรนซัมแวร์อื่น ๆ เช่น Black Basta, Darkside, REvil และ LockBit Ransomware

ขั้นตอนโจมตีของ Checkmarks

Prodaft ได้อธิบายว่า Checkmarks เป็นแพลตฟอร์มสแกน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE ) โดยอัตโนมัติ สำหรับช่องโหว่ Microsoft Exchange servers บนเครื่องเป้าหมาย รวมถึงมีการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) เช่น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31207

Checkmarks จะทำการดึงข้อมูลอีเมลจาก Active Directory และรวบรวมข้อมูล Microsoft Exchange servers หลังจากทำการโจมตีเครื่องที่มีช่องโหว่ได้สำเร็จ

จากนั้นจะนำข้อมูลของเหยื่อที่ทำการรวบรวมจาก Active Directory และ Microsoft Exchange servers เพิ่มไปยัง Panel ของระบบที่ใช้สำหรับควบคุมเครื่องเหยื่อโดยอัตโนมัติ เพื่อให้กลุ่ม FIN7 สามารถดูรายละเอียดของข้อมูลได้

นักวิเคราะห์ของ FIN7 จะตรวจสอบรายการข้อมูลของเหยื่อใหม่ รวมถึงแสดงคิดเห็นบนแพลตฟอร์ม Checkmarks เพื่อแสดงข้อมูลรายได้ปัจจุบันของเหยื่อ จำนวนพนักงาน โดเมน รายละเอียดสำนักงานใหญ่และข้อมูลอื่น ๆ รวมถึงการใช้ข้อมูลจากแหล่งข้อมูลที่หลากหลาย เช่น Owler, Crunchbase, DNB, Zoominfo และ Mustat ที่ช่วยให้ Hackers ประเมินได้ว่าบริษัทนั้นคุ้มค่า และมีโอกาสสำเร็จมากเพียงใดในการโจมตีด้วย Ransomware เพื่อเรียกค่าไถ่

หากเหยื่อรายนั้นได้รับการพิจารณาว่าคุ้มค่าและมีโอกาสสำเร็จ ฝ่ายโจมตีระบบของ FIN7 จะทำการออกแบบแผนการโจมตี ว่าสามารถใช้การเชื่อมต่อเซิร์ฟเวอร์ได้อย่างไร การโจมตีจะอยู่ได้นานแค่ไหนและไปได้ไกลแค่ไหน

อีกทั้ง Checkmarks ยังมี SQL injection module เพื่อใช้ SQLMap สแกนหาช่องโหว่บนเว็บไซต์ของเป้าหมาย รวมไปถึงการฝัง SSH backdoors เอาไว้ในเครื่องของเหยื่อ ทำให้สามารถขโมยไฟล์จากอุปกรณ์ที่ถูกโจมตี ใช้การเชื่อมต่อ reverse SSH (SFTP) ผ่านโดเมนบน Tor Network ถึงแม้เหยื่อจะจ่ายค่าไถ่แล้วก็ตาม เพื่อการกลับมาโจมตีซ้ำ รวมไปถึงการขายช่องโหว่นี้แก่ Hackers กลุ่มอื่น ๆ

Prodaft พบว่า แพลตฟอร์ม Checkmarks ของ FIN7 ได้ถูกนำไปใช้ในการแทรกซึมเข้าไปในบริษัทต่าง ๆ กว่า 8,147 แห่ง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา (16.7%) หลังจากสแกนเป้าหมายไปแล้วกว่า 1.8 ล้านเป้าหมาย

โดย แพลตฟอร์ม Checkmarks ได้แสดงให้เห็นถึงผลกระทบ และความรุนแรงของการเกิดขึ้นของกลุ่มผู้โจมตีทางไซเบอร์ ที่มีจุดประสงค์ในการเรียกค่าไถ่จากเหยื่อว่าได้ส่งผลกระทบทั่วโลกแล้วในขณะนี้

การป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี
เพิ่ม FIN7 IOCไปยังอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ที่ท่านใช้งานอยู่ prodaft.