เจ้าหน้าที่รักษาความปลอดภัยทางไซเบอร์ของยูเครนเปิดเผยว่า Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้แฝงตัวอยู่ในระบบของผู้ให้บริการโทรคมนาคม Kyivstar มาตั้งแต่เดือนพฤษภาคม 2023 เป็นอย่างน้อย โดยเหตุการณ์ดังกล่าวได้รับการรายงานครั้งแรกโดยสำนักข่าวรอยเตอร์

(more…)

นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส Agence Nationale de la Sécurité des Systèmes d'Information หรือ ANSSI ออกรายงานเชิงวิเคราะห์เกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติรัสเซีย Sandworm ซึ่งมีความเคลื่อนไหวมาตลอด 3 ปี โดยใจความสำคัญของรายการเชิงวิเคราะห์ดังกล่าวนั้นระบุถึงการโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon เพื่อเข้าถึงระบบภายในขององค์กรและบริษัทในฝรั่งเศสหลายองค์กร

ซอฟต์แวร์มอนิเตอร์ระบบ Centreon ถูกตรวจพบไว้ใช้เป็นช่องทางในการเข้าถึงและโจมตีระบบของ Sandworm โดย Centreon ที่ถูกตรวจพบว่าถูกโจมตีนั้นมักเป็นระบบที่สามารถเข้าถึงได้จากอินเตอร์เน็ต อย่างไรก็ตามยังไม่มีการยืนยันอย่างชัดเจนว่าการโจมตีดังกล่าวเกิดขึ้นในลักษณะของการโจมตีช่องโหว่ หรือเป็นการคาดเดารหัสผ่าน

อ้างอิงจากรายงานของ ANSSI เหยื่อรายแรกที่ตรวจพบนั้นถูกโจมตีในปี 2017 และมีการปรากฎความเคลื่อนไหวมาเรื่อยมาจนกระทั่งในปี 2020 โดยหลังจากที่ Sandworm เข้าถึงระบบ Centreon ของเป้าหมายได้สำเร็จแล้ว กลุ่มผู้โจมตีจะทำการติดตั้ง Web shell และ Backdoor เพื่อใช้ในการเข้าถึงในภายหลัง ด้วยลักษณะของมัลแวร์ที่ใช้ ANSSI จึงได้เชื่อมโยงความเกี่ยวข้องพฤติกรรมดังกล่าวไปหากลุ่ม Sandworm ซึ่งสอดคล้องกับรายงานของ Kaspersky

ในขณะที่ทาง Centreon ยังไม่ได้มีการออกมาให้ความเห็นเพิ่มเติมเกี่ยวกับกรณีที่เกิดขึ้น ขอให้ติดตามสถานการณ์ต่อไป

ที่มา : zdnet

แจ้งข้อหา 6 สายลับ GRU ของรัสเซีย เชื่อคือกลุ่ม Sandworm ผู้อยู่เบื้องหลังการแพร่กระจาย NotPetya และการโจมตี OlympicDestroyer

กระทรวงยุติธรรมสหรัฐฯ ประกาศแจ้งข้อหาแก่ 6 สายลับ GRU ของรัสเซียซึ่งอยู่ในหน่วย Unitt 74455 หลังจากผลการวิเคราะห์และข้อมูลจากข่าวกรองระบุทั้ง 6 สายลับนี้คือสมาชิกของกลุ่ม APT "Sandworm" ผู้อยู่เบื้องหลังการโจมตีทางไซเบอร์แนวทำลายล้างหลายเหตุการณ์

กลุ่ม Sandworm มีผลงานซึ่งเป็นที่รู้จักหลายเหตุการณ์ โดยเหตุการณ์หนึ่งคือการแพร่กระจายของมัลแวร์ NotPetya ในเดือนมิถุนายน 2017 ซึ่งมีเป้าหมายโจมตีบริษัทในยูเครน อีกเหตุการณ์หนึ่งคือการโจมตีเป้าหมายในเกาหลีใต้โดยทำการปลอมแปลงพฤติกรรมเป็นเกาหลีเหนือซึ่งนำไปสู่การเป็นที่รู้จักของมัลแวร์ OlympicDestroyer

อ้างอิงจากเอกสารของกระทรวงยุติธรรมสหรัฐฯ สายลับทั้ง 6 นี้เป็นสายลับทั้ง 6 คนซึ่งมีความเชื่อมโยงอย่างชัดเจนมากที่สุดต่อกลุ่ม Sandworm อย่างไรก็ตามอาจเป็นไปได้ว่ากลุ่ม Sandworm ยังคงมีสมาชิกอยู่หลายคน การจับกุมอาจส่งผลเพียงแค่การ "ขัดขวาง" ปฏิบัตการ ไม่ใช่การหยุดปฏิบัติการทั้งหมด

ที่มา: zdnet
ภาพจาก: https://thehackernews.

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.