นักวิจัยจาก Prodaft บริษัทด้านความปลอดภัย เปิดเผยแพร่รายงานการพบ RIG Exploit Kit ที่มุ่งเป้าหมายการโจมตีไปยังองค์กรที่ยังมีการใช้ Internet Explorer เวอร์ชันที่มีช่องโหว่ โดยได้ทำการแพร่กระจายมัลแวร์ต่าง ๆ เช่น Dridex, SmokeLoader และ RaccoonStealer โดยมีอัตราการโจมตีสูงถึง 2,000 ครั้งต่อวัน และประสบความสำเร็จประมาณ 30% ของกรณีทั้งหมด ซึ่งเป็นอัตราส่วนที่สูงที่สุดในประวัติการของ RIG Exploit Kit
ประวัติของ RIG Exploit Kit
RIG Exploit Kit เปิดตัวครั้งแรกเมื่อ 8 ปีที่แล้วในปี 2014 โดยโปรโมตว่าเป็น Exploit-as-a-service ที่ให้เหล่า Hacker มาเช่าใช้บริการเพื่อนำไปโจมตี และแพร่กระจายมัลแวร์บนอุปกรณ์ที่มีช่องโหว่
โดย RIG Exploit Kit เป็น JavaScript ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกโจมตี หรือเว็บไซต์ที่ถูกสร้างขึ้นจาก Hacker เมื่อมีเหยื่อกดเยี่ยมชมเว็บไซต์เหล่านี้ สคริปต์ที่เป็นอันตรายจะถูกดำเนินการ และพยายามโจมตีด้วยช่องโหว่ประเภทต่าง ๆ บนเบราว์เซอร์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ของเหยื่อโดยอัตโนมัติ
ปี 2015 ได้มีการปล่อย RIG Exploit Kit เวอร์ชันที่สองที่ได้รับการพัฒนา ทำให้สามารถโจมตีได้เป็นวงกว้าง และประสบความสำเร็จมากขึ้น
ปี 2017 RIG Exploit Kit ได้หยุดชะงักลงเนื่องจากการถูก takedown ครั้งใหญ่ และทำให้ระบบโครงสร้างพื้นฐานส่วนใหญ่ของผู้โจมตีถูกหยุดไป
ปี 2019 RIG Exploit Kit ได้กลับมาอีกครั้ง โดยมุ่งเน้นที่การแพร่กระจายแรนซัมแวร์ Sodinokibi (REvil), Nemty และ ERIS ransomware ซึ่งมีเพย์โหลดที่ใช้ในการเข้ารหัสข้อมูลในเครือข่ายของเหยื่อ
ปี 2021 ทาง RIG Exploit Kit ได้ประกาศว่าจะทำการปิดตัวลง แต่ต่อมาในปี 2022 ก็ได้กลับมาอีกครั้ง พร้อมกับการโจมตีโดยใช้ช่องโหว่ใหม่สองรายการ (CVE-2020-0674 และ CVE-2021-26411 ใน Internet Explorer) ซึ่งมีอัตราส่วนความสำเร็จในการโจมตีสูงเป็นประวัติการณ์
แม้ว่า RIG Exploit Kit จะหันมาโจมตีช่องโหว่บน Microsoft Edge แทน Internet Explorer แล้ว แต่ Internet Explorer ก็ยังคงถูกใช้งานในองค์กรต่าง ๆ หลายล้านเครื่อง ซึ่งต่อมาได้กลายเป็นเป้าหมายหลักในการโจมตีช่องโหว่ของ RIG Exploit Kit
การโจมตีในปัจจุบัน
Prodaft พบว่าปัจจุบัน RIG Exploit Kit ได้กำหนดเป้าหมายการโจมตีไปยัง 207 ประเทศ ทำการโจมตีโดยเฉลี่ย 2,000 ครั้งต่อวัน และมีอัตราความสำเร็จในปัจจุบันที่ 30% โดยในอดีตอัตราความสำเร็จอยู่ที่ 22% ก่อนที่ RIG Exploit Kit จะมุ่งเป้าหมายการโจมตีไปยัง Internet Explorer ที่มีช่องโหว่
จากแผนที่ที่เผยแพร่ในรายงาน พบว่าประเทศที่ได้รับผลกระทบมากที่สุด ได้แก่ เยอรมนี อิตาลี ฝรั่งเศส รัสเซีย ตุรกี ซาอุดีอาระเบีย อียิปต์ แอลจีเรีย เม็กซิโก และบราซิล
อัตราความสำเร็จในการโจมตีสูงสุดคือช่องโหว่ CVE-2021-26411 โดยมีอัตราส่วนโจมตีสำเร็จ 45% ตามมาด้วย CVE-2016-0189 ที่ 29% และ CVE-2019-0752 ที่ 10%
CVE-2021-26411 เป็นช่องโหว่ memory corruption ที่มีความรุนแรงสูงใน Internet Explorer โดย Microsoft ได้ออกแพตซ์อัปเดตแก้ไขช่องโหว่ในเดือนมีนาคม 2021 โดยเกิดขึ้นจากการเข้าเว็บไซต์ที่ไม่ปลอดภัย
CVE-2016-0189 และ CVE-2019-0752 เป็นช่องโหว่ใน Internet Explorer เช่นกัน ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ในเบราว์เซอร์ได้ อีกทั้ง CISA ยังได้แจ้งเตือนไปยังผู้ดูแลระบบในสหรัฐ จากการค้นพบการโจมตีด้วยช่องโหว่ดังกล่าว
การโจมตีด้วย payloads ที่หลากหลาย
ปัจจุบัน RIG Exploit Kit ได้มุ่งเป้าหมายการโจมตีไปยังการขโมยข้อมูล และการเผยแพร่มัลแวร์เป็นหลัก โดย Dridex เป็นมัลแวร์ที่พบบ่อยที่สุด (34%) ตามด้วย SmokeLoader (26%), RaccoonStealer (20%), Zloader (2.5%), Truebot (1.8%) และ IcedID (1.4%) นอกจากนี้ทาง Prodaft ยังพบการเผยแพร่มัลแวร์ Redline, RecordBreaker, PureCrypter, Gozi, Royal Ransomware และ UrSnif อีกด้วย ซึ่งมีการเปลี่ยนแปลงไปตลอดเวลา โดยขึ้นอยู่กับ Hacker กลุ่มไหนที่นำไปใช้
โดย Prodaft พบว่าการโจมตีส่วนใหญ่เกิดจากการใช้ Internet Explorer ที่มีช่องโหว่ และไม่ได้รับการอัปเดตด้านความปลอดภัย จึงได้กลายเป็นเป้าหมายในการโจมตีช่องโหว่ ปัจจุบัน Microsoft ได้ประกาศเลิกใช้ Internet Explorer ในเดือนกุมภาพันธ์ 2023 และได้เปลี่ยนไปใช้ Microsoft Edge แทน
ที่มา : bleepingcomputer