พบ Exfiltrator-22 ชุดเครื่องมือการโจมตีใหม่ ที่เกี่ยวข้องกับ LockBit Ransomware

นักวิจัยด้านภัยคุกคามทางไซเบอร์จาก CYFIRMA ได้ออกมาเปิดเผยข้อมูลของ Exfiltrator-22 ซึ่งเป็นเครื่องมือที่ใช้สำหรับ post-exploitation framework โดยมีความสามารถในการแพร่กระจาย ransomware ในเครือข่ายของเป้าหมาย และสามารถหลีกเลี่ยงการตรวจจับได้อีกด้วย

Exfiltrator-22

โดย Exfiltrator-22 ได้ถูกสร้างขึ้นจาก อดีต Hacker ในเครือข่ายของ Lockbit 3.0 ที่มีความเชี่ยวชาญในการสร้างวิธีการหลีกเลี่ยงการตรวจจับระหว่างการโจมตี โดยได้สร้างชุดเครื่องมือการโจมตีนี้ขึ้นเพื่อให้กลุ่ม Hacker อื่น ๆ นำไปใช้โดยต้องจ่ายค่าธรรมเนียมการสมัครสมาชิก ซึ่งมีราคาอยู่ที่ระหว่าง $1,000 ต่อเดือนถึง $5,000 สำหรับการเข้าถึงตลอดอายุการใช้งาน ซึ่งมีการอัปเดต และการสนับสนุนอย่างต่อเนื่อง

หลังจาก Hacker ได้ทำการซื้อเครื่องมือนี้จะได้รับ admin panel host บน bulletproof VPS (virtual private server) ที่ไว้ใช้สำหรับควบคุม และสั่งการมัลแวร์ รวมถึงส่งการโจมตีไปยังระบบของเป้าหมาย

การพัฒนา Exfiltrator-22

โดยเวอร์ชันแรกของ Exfiltrator-22 (EX-22) เปิดตัวในวันที่ 27 พฤศจิกายน 2022 และได้ทิ้งช่องทางการติดต่อผ่าน Telegram channel ไว้โฆษณา รวมถึงในช่วงสิ้นปีได้เปิดตัวคุณสมบัติใหม่ที่ช่วยปกปิดการเชื่อมต่อบนอุปกรณ์ของเป้าหมาย ซึ่งแสดงให้ห็นถึงการพัฒนาเครื่องมืออย่างต่อเนื่อง

ในเดือนมกราคม 2023 Exfiltrator-22 ได้ประกาศว่าขณะนี้ระบบได้ถูกพัฒนาไปแล้วกว่า 87% ซึ่งใกล้จะพร้อมใช้งานแล้ว รวมถึงได้มีการประกาศราคาการสมัครสมาชิก พร้อมทั้งเชิญชวนให้กลุ่ม Hacker ต่าง ๆ มาใช้งาน

เมื่อวันที่ 10 กุมภาพันธ์ 2023 Exfiltrator-22 ได้โพสต์วิดีโอสาธิตสองรายการบน YouTube เพื่อแสดงวิธีการโจมตีต่อไปยังระบบอื่น ๆ ของ EX-22 และความสามารถในการแพร่กระจายแรนซัมแวร์ ซึ่งแสดงให้เห็นถึงความพร้อมในการให้บริการ

คุณสมบัติของ Exfiltrator-22

Exfiltrator-22 มีคุณสมบัติทั่วไปเหมือนกับ post-exploitation toolkit อื่น ๆ ยังรวมถึงคุณสมบัติเพิ่มเติมที่มุ่งเน้นไปที่การติดตั้งแรนซัมแวร์ และการขโมยข้อมูล

คุณสมบัติเด่นที่อยู่ในเฟรมเวิร์ก :

การสร้าง reverse shell ด้วยสิทธิ์ระดับสูง
การอัปโหลดไฟล์ไปยังระบบของเป้าหมาย หรือดาวน์โหลดไฟล์จากเครื่องเป้าหมายไปยัง C2 Server (Command & Control)
การเปิดใช้งาน keylogger เพื่อบันทึกข้อมูลจากแป้นพิมพ์
การเปิดใช้งาน ransomware module เพื่อเข้ารหัสไฟล์บนอุปกรณ์
การจับภาพหน้าจอจากคอมพิวเตอร์ของเหยื่อ
เริ่มเซสชัน live VNC (Virtual Network Computing) สำหรับการเข้าถึงแบบเรียลไทม์บนอุปกรณ์
การยกระดับเป็นสิทธิสูงบนอุปกรณ์ของเหยื่อ
การฝังตัวระหว่างการรีบูตระบบ (persistence)
การแพร่กระจายตัวไปยังอุปกรณ์อื่น ๆ ในเครือข่ายเดียวกัน หรืออินเทอร์เน็ตสาธารณะ
การคัดแยกข้อมูล (รหัสผ่าน และ token) จาก LSAAS (Local Security Authority Subsystem Service)
สร้าง cryptographic hash บนเครื่องเป้าหมาย เพื่อช่วยตรวจสอบตำแหน่งไฟล์ และเหตุการณ์การเปลี่ยนแปลงเนื้อหาอย่างสม่ำเสมอ
ตรวจสอบ running processes บนเครื่องเป้าหมาย
แยก token การตรวจสอบสิทธิ์ออกจากระบบเป้าหมาย

คำสั่งต่าง ๆ เหล่านี้ จะถูกส่งไปยังอุปกรณ์ที่ถูกบุกรุกผ่านโปรแกรมคอนโซล 'EX22 Command & Control' ของ Windows โดยข้อมูลจะถูกส่งกลับไปยัง C2 Server และแสดงผลในคอนโซลกลางของ Exfiltrator-22 รวมถึง Hacker ยังสามารถกำหนดงานตามกำหนดเวลา, อัปเดต Agent เป็นเวอร์ชันใหม่, เปลี่ยนแปลงการกำหนดค่าของแคมเปญ หรือสร้างแคมเปญใหม่ผ่าน web panel

การเชื่อมโยงกับสมาชิก LockBit ransomware

นักวิจัยยังพบว่า Exfiltrator-22 มีความเกี่ยวข้องกับ LockBit ransomware ไม่ว่าจะเป็นการใช้เทคนิค framework "domain fronting" เช่นเดียวกันกับ LockBit และ TOR plugin Meek ซึ่งช่วยซ่อนการรับส่งข้อมูลที่เป็นอันตรายภายในการเชื่อมต่อ HTTPS ไปยังแพลตฟอร์มสาธารณะ รวมถึงยังใช้ C2 infrastructure แบบเดียวกันกับ LockBit 3.0 อีกด้วย

IOC

 

ที่มา : bleepingcomputer, cyfirma

ช่องโหว่ RCE ระดับ Critical ของ ManageEngine กำลังถูกใช้เพื่อเปิดใช้งาน reverse shell

Rapid7 บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เปิดเผยรายงานการพบการโจมตีช่องโหว่ของ ManageEngine (CVE-2022-47966) ซึ่งเป็นช่องโหว่ในการรันคำสั่ง และสั่งการจากระยะไกล Remote Code Execution (RCE) เพื่อเปิดใช้งาน reverse shell โดยช่องโหว่นี้กระทบต่อผลิตภัณฑ์ของ ManageEngine ไม่น้อยกว่า 24 รายการ

Rapid7 ได้พบเห็นการโจมตีโดยใช้ช่องโหว่ CVE-2022-47966 ตั้งแต่วันที่ 17 มกราคม 2023 ซึ่งเป็นวันก่อนที่นักวิจัยของ Horizon3 จะปล่อย Proof-of-Concept (PoC) ที่เป็นตัวอย่างในการโจมตี และการวิเคราะห์ทางเทคนิคเชิงลึกของช่องโหว่ดังกล่าว โดยตัว PoC นั้นส่งผลกระทบต่อ ServiceDesk Plus และ Endpoint Central ที่เปิดเผยบนอินเทอร์เน็ตมากกว่า 8,300 รายการ

เช่นเดียวกับ นักวิจัยที่ Shadowserver Foundation องค์กรด้านความปลอดภัย ที่ค้นพบกลุ่ม Hackers ประมาณ 10 IP ที่ได้พยายามโจมตี ผลิตภัณฑ์ ManageEngine หลายรายการ (ที่เปิดใช้งาน SAML SSO) ด้วยช่องโหว่ RCE ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิได้ และ GreyNoise บริษัทข่าวกรองด้านภัยคุกคาม ที่ค้นพบกลุ่ม Hackers ประมาณ 11 IP ได้มุ่งโจมตีไปยัง ผลิตภัณฑ์ ManageEngine ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยพบว่าใน IP ดังกล่าว เช่น 221.226.159.22 ที่ถูกสร้างบน Linux server บน China Telecom และ IP 106.246.224[.]219/hlmllmo เป็นกลุ่ม IP เดียวกับที่เคยโจมตี เซิร์ฟเวอร์ที่มีช่องโหว่ Log4shell มาก่อน

การโจมตี

Rapid7 ได้ตรวจสอบการโจมตี ManageEngine โดยใช้ช่องโหว่ CVE-2022-47966 ซึ่งพบขั้นตอนการโจมตีดังนี้

Hacker ใช้สคริปต์ PowerShell เพื่อปิดฟีเจอร์ Microsoft Defender real-time protection และเพิ่มโฟลเดอร์ C:\Users\Public ไปยังรายการยกเว้นการตรวจสอบของ Defender
เรียกใช้เพย์โหลดเพิ่มเติม รวมถึงเครื่องมือการเข้าถึงระยะไกลที่ปลอมตัวเป็นบริการ Windows Service Host

โดยหนึ่งในเครื่องมือเหล่านี้คือ Chisel ที่ใช้ภาษา Golang ซึ่งคล้ายกับ Plink (PuTTY Link) ในการสร้างช่องทางสื่อสาร reverse ssh (remote shell เพื่อหลบหลีกการตรวจจับจาก Firewall)

การป้องกัน

ผู้ดูแลระบบควรอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่อย่างเร่งด่วน เนื่องจากได้มีการเปิดเผย PoC ที่ใช้ในการโจมตีออกมาแล้ว

 

ที่มา : bleepingcomputer

Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ผู้ดูแลระบบควรอัปเดตเเพตช์ด่วน!

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.

ใช้ของฟรีระวังของแถม! แฉเทคนิคฝัง Backdoor กับไฟล์คอนฟิก OpenVPN

สวัสดีครับหลังจากห่างหายกันไปนานวันนี้เราจะมาพูดถึงเทคนิคใหม่ในการฝังแบ็คดอร์ไว้ในไฟล์ตั้งค่าของโปรแกรม OpenVPN ซึ่งถูกค้นพบโดย Jacob Baines จาก Tenable Security กันครับ
อะไรคือแบ็คดอร์ประเภท Reverse Shell?
แบ็คดอร์ประเภท Reverse Shell เป็นแบ็คดอร์ที่เมื่อมีการติดตั้งลงบนเครื่องเป้าหมายแล้ว โปรแกรมของแบ็คดอร์จะมีการติดต่อกลับมายังเซิร์ฟเวอร์ตามหมายเลขไอพีแอดเดรสและพอร์ตที่เรากำหนดไว้กับโปรแกรมของแบ็คดอร์ ซึ่งจะแตกต่างกับแบ็คดอร์อีกประเภทหนึ่งคือ Bind Shell ที่จะฝังตัวและรอรับการเชื่อมต่อเข้ามาที่โปรแกรมของแบ็คดอร์อย่างเดียว

แบ็คดอร์ประเภท Reverse Shell ได้รับความนิยมสูงเนื่องจากโดยทั่วไปการตั้งค่าด้านความปลอดภัยนั้นมักจะไม่อนุญาตให้มีการเชื่อมต่อที่ไม่ได้รับอนุญาตเข้ามาในเครือข่ายแต่มักจะหละหลวมในการตั้งค่าการเชื่อมต่อในขาออกจากเครือข่าย ทำให้แบ็คดอร์ประเภท Reverse Shell นั้นถูกเลือกใช้บ่อยครั้งกว่าแบ็คดอร์แบบ Bind Shell
แก้ไขไฟล์ OVPN เพื่อฝังแบ็คดอร์
โปรแกรม OpenVPN นั้นจะถูกกำหนดการใช้งานในแต่ละครั้งด้วยไฟล์ตั้งค่าซึ่งใช้นามสกุลของไฟล์คือ OVPN โดยภายในไฟล์ OVPN นั้นจะมีการเก็บการตั้งค่าของการเชื่อมต่อเพื่อสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ VPN เอาไว้

นักวิจัยด้านความปลอดภัยจาก Tenable Security “Jacob Baines” ค้นพบว่าโปรแกรม OpenVPN จะทำการรันหรือเอ็กซีคิวต์คำสั่งใดๆ ที่ต่อท้ายฟิลด์ “up” ซึ่งเป็นฟิลด์การตั้งค่าหนึ่งตามรูปแบบของ OVPN ดังนั้นหากมีการแก้ไขไฟล์ OVPN โดยการเพิ่มคำสั่งอันตรายต่อท้ายฟิลด์ “up” ผู้ใช้งานก็จะมีการรันคำสั่งที่เป็นอันตรายดังกล่าวทันทีเมื่อพยายามเชื่อมต่อ VPN

โดยทั่วไปไฟล์ตั้งค่า OVPN นั้นจะประกอบด้วยข้อมูลภายในดังต่อไปนี้ (ข้อมูลในไฟล์ OVPN อาจแตกต่างกันตามลักษณะการเชื่อมต่อ)

การตั้งค่าในแต่ละบรรทัดมีความหมายดังต่อไปนี้

remote test.