พบช่องโหว่ RCE ระดับ Critical ใน SolarWinds access audit solution

นักวิจัยด้านความปลอดภัยพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical 3 รายการในผลิตภัณฑ์ SolarWinds Access Rights Manager (ARM) ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM ได้

SolarWinds Access Rights Manager (ARM) เป็นเครื่องมือที่ช่วยให้องค์กรสามารถจัดการ และตรวจสอบสิทธิ์การเข้าถึงของผู้ใช้งานใน IT environment ของตน รวมถึงสามารถทำงานร่วมกับระบบอื่น ๆ ได้ เช่น Microsoft Active Directory, Role-based access control, Visual feedback และอื่น ๆ อีกมากมาย

นักวิจัยได้รายงานช่องโหว่ที่พบ 8 รายการในโซลูชัน SolarWinds เมื่อวันที่ 22 มิถุนายน 2023 ผ่าน Zero Day Initiative (ZDI) ของ Trend Micro โดยมีช่องโหว่ 3 รายการที่มีความรุนแรงระดับ Critical ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล remote code execution (RCE)

CVE-2023-3518 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM ผ่าน deserialization data ที่ไม่น่าเชื่อถือด้วย ‘createGlobalServerChannelInternal’ method

CVE-2023-35185 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM เนื่องจากความบกพร่องจากการตรวจสอบ user-supplied paths ใน ‘OpenFile’ method

CVE-2023-35187 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM เนื่องจากความบกพร่องจากการตรวจสอบ user-supplied paths ใน ‘OpenClientUpdateFile’ method

การเรียกใช้คำสั่งด้วย “SYSTEM” บน Windows computer หมายความว่าคำสั่งนั้นจะทำงานด้วยสิทธิ์สูงสุดบนเครื่อง โดย SYSTEM เป็นบัญชีภายในที่สงวนไว้สำหรับระบบปฏิบัติการ และบริการต่าง ๆ โดย Hacker ที่ได้รับสิทธิ์ในระดับ SYSTEM จะสามารถควบคุมไฟล์ทั้งหมดในเครื่องของเหยื่อได้อย่างสมบูรณ์

รวมไปถึงยังพบว่าช่องโหว่ที่เหลือที่ SolarWinds ที่ถูกระบุใน Access Right Manager นั้นมีระดับความรุนแรงสูง ซึ่ง Hacker สามารถโจมตีช่องโหว่เพื่อเพิ่ม permissions หรือเรียกใช้คำสั่งอันตรายบนโฮสต์ภายหลังจากการผ่านการตรวจสอบสิทธิ์

SolarWinds ออกแพตซ์อัปเดตเพื่อแก้ช่องโหว่ดังกล่าวแล้ว ในวันที่ 18 ตุลาคม 2023 ในเวอร์ชัน 2023.2.1 ของ Access Rights Manager จึงแจ้งเตือนไปยังผู้ดูแลระบบให้ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

แฮ็กเกอร์ใช้ซอฟต์แวร์ KeePass และ SolarWinds ปลอมเพื่อแพร่กระจาย RomCom RAT

RomCom RAT ยังคงพัฒนาแคมเปญการโจมตีอย่างต่อเนื่องด้วยซอฟต์แวร์ปลอม เช่น SolarWinds Network Performance Monitor, KeePass password manager และ PDF Reader Pro

เป้าหมายของแฮ็กเกอร์คือหน่วยงานในประเทศยูเครน และประเทศที่ใช้ภาษาอังกฤษเป็นหลักอย่างเช่น สหราชอาณาจักร

การค้นพบล่าสุดเกิดขึ้นหนึ่งสัปดาห์หลังจากที่บริษัทรักษาความปลอดภัยทางไซเบอร์ของแคนาดาเปิดเผยแคมเปญ spear-phishing ที่มุ่งเป้าไปที่หน่วยงานในประเทศยูเครนเพื่อแพร่กระจายโทรจันที่ชื่อว่า RomCom RAT นอกจากนี้ยังการใช้ซอฟต์แวร์ปลอมของ Advanced IP Scanner และ pdfFiller เพื่อแพร่กระจายโทรจันด้วยเช่นเดียวกัน

โดยแคมเปญดังกล่าวมีการตั้งชื่อเว็ปไซต์ที่มีชื่อโดเมนคล้ายกันกับซอฟต์แวร์จริง แต่ไฟล์ติดตั้งจะเป็นซอฟแวร์ที่มีมัลแวร์ฝังอยู่ ซึ่งจะถูกส่งไปพร้อมกับอีเมลฟิชชิ่งไปยังเป้าหมาย

แม้ว่าจะดาวน์โหลดรุ่นทดลองใช้ฟรีจากเว็ปไซต์ของ SolarWinds ปลอม แต่ก็จะมีแบบฟอร์มสำหรับการลงทะเบียนขอใช้งานที่ถูกต้อง ซึ่งหากกรอกข้อมูลครบถ้วนก็อาจจะมีพนักงานของ SolarWinds จริง ๆ ติดต่อเหยื่อกลับไปเพื่อติดตามการทดลองใช้ผลิตภัณฑ์ ซึ่งเทคนิคนี้จะยิ่งทำให้เหยื่อหลงเชื่อว่าแอปพลิเคชันที่เพิ่งดาวน์โหลด และติดตั้งนี้เป็นเวอร์ชันจริง

การใช้ RomCom RAT ยังเชื่อมโยงกับการโจมตีที่เกี่ยวข้องกับกลุ่ม Cuba ransomware และ Industrial Spy ตามรายงานจาก Palo Alto Networks Unit 42 ซึ่งกำลังติดตามการปฏิบัติการของกลุ่ม ransomware ภายใต้ชื่อกลุ่ม Tropical Scorpuis

Palo Alto Networks Unit 42 ระบุว่าตัวอย่างของ RomCom RAT ที่เป็นตัวติดตั้งสำหรับซอฟต์แวร์ Veeam Backup & Replication ที่โฮสต์อยู่บนโดเมนที่เป็นอันตรายชื่อ "wveeam[.]com" เช่นเดียวกับในกรณีของ SolarWinds หลังจากการดาวน์โหลดไฟล์ติดตั้ง ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังแบบฟอร์มที่ให้เหยื่อป้อนรายละเอียดข้อมูลสำหรับการลงทะเบียน และขนาดของไฟล์ติดตั้งที่ใหญ่ถึงกว่า 10GB ทำให้สามารถหลบเลี่ยงการตรวจสอบจากอุปกรณ์ด้านความปลอดภัยบางอย่างได้โดยอัตโนมัติ

 

ที่มา : thehackernews

กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อหลบเลี่ยงการตรวจจับ

กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อนำมาใช้ในการเก็บข้อมูลที่ขโมยมา เก็บมัลแวร์ หรือไฟล์ที่เป็นอันตรายเพื่อใช้ในการโจมตีเหยื่อ และยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ เนื่องจาก Google Drive เป็นบริการพื้นที่เก็บข้อมูลที่ได้รับความไว้วางใจจากผู้ใช้งานนับล้านทั่วโลก จึงทำให้การโจมตีโดยเชื่อมโยงกับไฟล์ที่อยู่บน Google Drive อาจไม่ถูกตรวจจับ หรือป้องกัน

กลุ่ม APT29 หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Nobelium ได้ใช้กลยุทธ์ดังกล่าวในการโจมตีเมื่อเร็วๆนี้ โดยมุ่งเป้าไปที่ภารกิจทางการทูตของตะวันตก และสถานทูตต่างประเทศทั่วโลกระหว่างต้นเดือนพฤษภาคมถึงมิถุนายน 2565

นักวิเคราะห์จาก Unit 42 ผู้พบเห็นแนวโน้มการโจมตีในรูปแบบนี้ระบุว่า “สองแคมเปญล่าสุดของพวกเขาใช้ประโยชน์จากบริการจัดเก็บข้อมูลระบบคลาวด์ของ Google Drive เป็นครั้งแรก”

"การใช้งานที่แพร่หลายของบริการพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Drive บวกกับความไว้วางใจจากผู้ใช้งานหลายล้านคนทั่วโลก ทำให้ Google Drive ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์จากกลุ่ม APT"

ขณะที่ Mandiant ได้เปิดเผยในรายงานเดือนเมษายนที่มีการติดตามหนึ่งในแคมเปญฟิชชิ่งของกลุ่ม APT ว่า นี่ไม่ใช่ครั้งแรกที่กลุ่มแฮ็กเกอร์ APT29 ใช้บริการเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2) และการจัดเก็บข้อมูลต่างๆ

เช่นเดียวกับในแคมเปญที่พบโดย Unit 42 ทีมของ Mandiant ยังพบการโจมตีด้วยฟิชชิ่งของกลุ่มแฮ็กเกอร์กับพนักงานขององค์กรทางการทูตต่างๆ ทั่วโลก ซึ่งสอดคล้องกับผลประโยชน์เชิงกลยุทธ์ทางภูมิรัฐศาสตร์ของรัสเซียในปัจจุบัน และการกำหนดเป้าหมายของ APT29 ก่อนหน้านี้

เป้าหมายระดับสูงของ APT29

APT29 คือกลุ่มผู้โจมตีที่คาดว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ที่ดำเนินการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds ซึ่งนำไปสู่การเข้าถึงข้อมูลของหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่งในปี 2563

เมื่อปลายเดือนกรกฎาคม กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่าสำนักงานอัยการสหรัฐฯ 27 แห่งถูกละเมิดข้อมูลในระหว่างการถูกโจมตีของ SolarWinds

ในเดือนเมษายน พ.ศ. 2564 รัฐบาลสหรัฐฯ กล่าวโทษ SVR อย่างเป็นทางการว่ามีส่วนเกี่ยวข้องกับการเข้าถึงข้อมูลของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง

หลังจากการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds กลุ่ม APT29 ยังได้ทำการโจมตีเครือข่ายขององค์กรอื่นๆ โดยใช้มัลแวร์ที่ยังไม่เคยถูกตรวจพบมาก่อน เช่น GoldMax Linux backdoor และ TrailBlazer Malware

โดยกลุ่มยังมีการกำหนดเป้าหมายไปที่กลุ่มบริษัท I.T. supply chain จากรายงานที่ Microsoft เปิดเผยเมื่อเดือนตุลาคมว่ามีบริษัทที่โดนโจมตีสำเร็จอย่างน้อย 14 ราย หลังจากการพยายามโจมตีผู้ให้บริการในลักษณะ MSP และผู้ให้บริการระบบคลาวด์ประมาณ 140 รายตั้งแต่เดือนพฤษภาคม 2564

ที่มา: bleepingcomputer, unit42.paloaltonetworks

SolarWinds ออกคำเตือนการโจมตี ซึ่งมีเป้าหมายไปที่ Web Help Desk instances (WHD)

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

SolarWinds Hackers Accessed DHS Chief’s Email

พบว่าแฮ็กกอร์ที่อยู่เบื้องหลังการโจมตี SolarWinds เข้าถึงอีเมลของระดับหัวหน้าในกระทรวง DHS (Department of Homeland Security)

รายงานระบุว่ากลุ่มแฮ็กเกอร์ดังกล่าวสามารถเข้าถึงบัญชีอีเมลของเจ้าหน้าที่ในกระทรวงหลายคน รวมถึง Chad Wolf ที่มีตำแหน่งเป็นอดีตผู้รักษาการรัฐมนตรีว่าการกระทรวง ส่งผลให้ Wolf และเจ้าหน้าที่ของกระทรวงอีกหลายคนต้องเปลี่ยนโทรศัพท์มือถือใหม่ และเปลี่ยนข้อมูลการสื่อสารใหม่ทั้งหมดหลังจากพบเหตุการณ์ การรั่วไหลข้อมูลในครั้งนี้ถูกพบในช่วงเดือนธันวาคมที่ผ่านมา ซึ่งเป็นช่วงเวลาเดียวกับที่พบว่ามีกลุ่มแฮ็กเกอร์ชาวรัสเซียโจมตี SolarWinds Orion การโจมตีในครั้งนั้นส่งผลกระทบกับหลายกระทรวงในสหรัฐอเมริกา รวมถึงบริษัทยักษ์ใหญ่อีกหลายแห่ง อย่างไรก็ตามรัสเซียได้ออกมาปฏิเสธถึงการอยู่เบื้องหลังเหตุการณ์ดังกล่าวแล้ว

ที่มา: darkreading

อัปเดตสถานการณ์ SolarWinds: เจอมัลแวร์ใหม่เพิ่มอีก 3, SUPERNOVA อาจเกี่ยวกับแฮกเกอร์จีน

ไมโครซอฟต์ประกาศการตรวจพบมัลแวร์ใหม่ 3 ชนิดในสภาพแวดล้อมที่ปรากฎการโจมตีที่เกี่ยวข้องกับกลุ่ม NOBELIUM ได้แก่ GoldMax, GoldFinder และ Sibot มัลแวร์ใหม่ทั้ง 3 ชนิดถูกใช้ในช่วงเดือนสิงหาคมถึงเดือนกันยายน 2020 และอาจถูกติดตั้งตั้งแต่เดือนมิถุนายน 2020 อ่านบทวิเคราะห์เพิ่มเติมได้จากหัวข้อการวิเคราะห์มัลแวร์ (I-SECURE)
ทีม Counter Threat Unit ของ SecureWorks ออกมาเปิดเผยถึงสมมติฐานและความเป็นไปได้ที่การโจมตีระบบ SolarWinds Orion และเกี่ยวข้องกับการใช้งานมัลแวร์แบบ Web shell ชื่อ SUPERNOVA นั้นอาจมีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์ชื่อ SPIRAL ซึ่งเป็นกลุ่มแฮกเกอร์จากประเทศจีน
บริษัท Mimecast ซึ่งตกเป็นเหยื่อของการโจมตีในลักษณะของ Supply chain attack ผ่านแพลตฟอร์ม SolarWinds Orion ออกมาเปิดเผยถึงความเสียหายว่าผู้โจมตีมีการเข้าถึงใบรับรองที่ Mimecast สร้างขึ้น, การเชื่อมต่อที่เกี่ยวข้องกับผู้ใช้งานบางรายการ รวมไปถึงดาวโหลดซอร์สโค้ดของซอฟต์แวร์ออกไป Mimecast ไม่พบการแก้ไขซอร์สโค้ดที่มีอยู่และเชื่อว่าซอร์สโค้ดที่ผู้โจมตีได้ไปนั้นไม่สมบูรณ์ และไม่สามารถเอาใช้ในการสร้างเซอร์วิสที่เหมือนกับ Mimecast ได้

ดูเพิ่มเติม : i-secure

อัปเดตสถานการณ์ SolarWinds: การแถลงการณ์กับวุฒิสภาและคณะกรรมการข่าวกรอง

ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้

1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ

องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว

ที่มา: bleepingcomputer

 

2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด

ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github

ที่มา: microsoft

 

3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister

 

3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn

Microsoft ออกรายงานการตรวจสอบภายในกรณี SolarWinds ฉบับสุดท้าย

ไมโครซอฟต์ประกาศการสิ้นสุดการตรวจสอบภายในกรณีการโจมตี SolarWinds และซอฟต์แวร์ SolarWinds Orion เพื่อแพร่กระจายมัลแวร์และบุกรุกเข้าองค์กรต่าง ๆ เมื่อกลางสัปดาห์ที่ผ่านมา พร้อมกับเผยแพร่ Final update หรือการอัปเดตฉบับสุดท้ายที่เป็นผลลัพธ์จากการตรวจสอบครั้งนี้

ทีมตอบสนองการโจมตีและภัยคุกคามจากไอ-ซีเคียว ขอสรุปสาระสำคัญในรายงานของไมโครซอฟต์ไว้ดังนี้

ไมโครซอฟต์พบพฤติกรรมผิดปกติตั้งแต่เดือนธันวาคม ช่วงเดียวกับที่ FireEye ออกมาประกาศการตรวจพบการโจมตี การตรวจสอบไม่พบหลักฐานซึ่งบ่งชี้ว่าระบบของไมโครซอฟต์ที่ได้รับผลกระทบจากการโจมตีนั้นถูกนำไปใช้ในการโจมตีระบบอื่น
ไมโครซอฟต์พบว่าผู้โจมตีมีการเข้าถึงและอ่านไฟล์ที่อยู่ในโครงการพัฒนาซอฟต์แวร์ภายใน และได้ดำเนินการกับบัญชีที่ถูกใช้เพื่อเข้าถึงซอร์สโค้ดดังกล่าวทันที
แม้จะมีการเข้าถึงโครงการพัฒนาซอฟต์แวร์ แต่โครงการพัฒนาซอฟต์แวร์ที่ได้รับผลกระทบนั้นถือเป็นแค่โครงการบางส่วนของผลิตภัณฑ์หรือบริการที่ไมโครซอฟต์ให้บริการ ไม่มีลักษณะการเข้าถึงโครงการพัฒนาซอฟต์แวร์เป็นจำนวนมาก และลักษณะการเข้าถึงโครงการซอฟต์แวร์ที่ได้รับผลกระทบนั้นก็เกิดขึ้นในลักษณะที่จำกัด เช่น เป็นผลลัพธ์จากการเสิร์ชคีย์เวิร์ดที่เกี่ยวข้อง secret ในซอร์สโค้ดแล้วเข้าดูเพียงบางไฟล์
หลังจากเข้าถึงแล้ว ผู้โจมตีมีการดาวน์โหลดซอร์สโค้ดบางส่วนออกไป ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบนั้นได้แก่โครงการบางส่วนของ Azure, Intune และ Exchange ซึ่งล้วนแล้วแต่เป็นส่วนน้อยของซอร์สโค้ดทั้งหมด
ด้วยมาตรการรักษาความปลอดภัยปัจจุบัน ผู้โจมตีไม่สามารถที่จะเข้าถึงข้อมูลสำหรับการยืนยันตัวตนของบัญชีที่มีสิทธิ์สูงในระบบ หรือมีการใช้เทคนิคที่เกี่ยวข้องกับ SAML กับโดเมนของไมโครซอฟต์ได้

ที่มา: msrc-blog

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

CISA ออก Alert ใหม่กรณี SolarWinds ให้รายละเอียดการตรวจจับการโจมตีใน Microsoft Cloud Environment

CISA ออก Alert ใหม่ในกรณี SolarWinds รหัส AA21-008A โดยในรอบนี้นั้น รายละเอียดของการแจ้งเตือนพุ่งเป้าไปที่การอธิบาย TTP ใหม่ของผู้โจมตีในระบบคลาวด์ของ Microsoft ที่ถูกระบุและให้รายละเอียดไปแล้วจากทาง Microsoft เอง และแนวทางในการตรวจจับ ป้องกันและตอบสนอง

ในส่วนของข้อมูลใหม่เกี่ยวกับ TTP ทีม Intelligent Response ขอสรุปประเด็นที่น่าสนใจเพิ่มเติมตามรายการดังนี้

TTP ที่น่าสนใจหลังที่ผู้โจมตีประสบความสำเร็จในการเข้าถึงระบบได้แล้ว (Post-compromise) ประกอบด้วย 3 องค์ประกอบหลักด้วยกัน คือการโจมตีระบบสำหรับยืนยันตัวตนแบบ Federation service, การสร้างข้อมูลสำหรับยืนยันตัวตนใหม่เพื่อใช้ในการทำ Lateral movement และการฝังตัวในระบบคลาวด์ผ่านการเข้าถึง API ด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้จากขั้นตอนก่อนหน้า

กระบวนการ Privilege escalation ของผู้โจมตีจะมีการใช้ฟีเจอร์ WMI กับเซอร์วิส Microsoft Active Directory Federated Services เพื่อสร้างโทเคนสำหรับการยืนยันตัวตนและทำการรับรอง โทเคนสำหรับการยืนยันตัวตนดังกล่าวจะถูกใช้เพื่อเข้าถึงระบบบนคลาวด์ของไมโครซอฟต์ที่เป้าหมายใช้งาน

CISA ยังพบพฤติกรรมของผู้โจมตีที่ไม่ได้ทำการเข้าถึงระบบเป้าหมายผ่านทาง SUNBURST แต่มีการใช้เทคนิคในการคาดเดารหัสทั้งแบบ Bruteforcing, แบบ Spraying และการโจมตีระบบสำหรับจัดการระบบที่ไม่ปลอดภัยด้วย

ในส่วนของคำแนะนำเพื่อตรวจจับและระบุหาพฤติกรรมตามที่ CISA ได้แจ้งเตือนนั้น เราขอสรุปประเด็นสำคัญตามคำแนะนำให้ดังนี้

การระบุหาความผิดปกติในระบบ Microsoft 365 สามารถใช้เครื่องมือซึ่ง Sparrow (https://github.