Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยข้อมูลการพบกลุ่ม Akira ransomware มุ่งเป้าหมายการโจมตีโดยใช้ Cisco VPNs (virtual private network) product เพื่อเข้าถึงเครือข่ายขององค์กร ขโมยข้อมูล และเข้ารหัสข้อมูลในท้ายที่สุด

Akira ransomware เป็นกลุ่ม ransomware กลุ่มใหม่ ที่เปิดตัวในเดือนมีนาคม 2023 โดยก่อนหน้านี้ได้มีการเพิ่ม Linux encryptor เพื่อกำหนดเป้าหมายการโจมตีไปยัง VMware ESXi virtual machine

Cisco VPN solution ถูกนำมาใช้อย่างกว้างขวางในหลายอุตสาหกรรมเพื่อให้การรับส่งข้อมูลมีการเข้ารหัสที่ปลอดภัยระหว่างผู้ใช้งาน และเครือข่ายองค์กร ซึ่งโดยทั่วไปจะใช้โดยพนักงานที่ทำงานจากภายนอกเพื่อเข้าถึงเครือข่ายในองค์กร ซึ่งพบว่า Akira ransomware ได้ใช้บัญชี Cisco VPN ที่ถูกขโมยเพื่อเข้าถึงเครือข่ายองค์กรโดยไม่จำเป็นต้องทิ้งแบ็คดอร์เพิ่มเติม หรือแฝงตัวในระบบ

การมุ่งเป้าหมายการโจมตีไปยัง Cisco VPN
Sophos ได้พบการโจมตีของ Akira โดยใช้บัญชี VPN ที่ขโมยมาเป็นครั้งแรกในเดือนพฤษภาคม เมื่อนักวิจัยระบุว่า Akira ransomware สามารถเข้าถึงเครือข่ายโดยใช้ “Account VPN แบบ Single Factor authentication” รวมถึง นักวิจัยของ Aura ได้แชร์ข้อมูลเพิ่มเติมบน Twitter เกี่ยวกับวิธีที่ตอบสนองต่อเหตุการณ์การโจมตีของ Akira หลายครั้ง โดยพบว่าการโจมตีเกิดจากบัญชี Cisco VPN ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication ทั้งนี้ทาง Akira ยังไม่สามารถระบุได้ว่า กลุ่ม Akira ได้บัญชี Cisco VPN จากที่ใด เนื่องจากไม่พบ log ใน Cisco ASA จึงมีความเป็นไปได้ที่อาจจะได้บัญชี Cisco VPN มาจาก dark web หรือการโจมตี brute-forced VPN account

รวมถึงทาง SentinelOne ให้ข้อมูลว่ามีความเป็นไปได้ที่กลุ่ม Akira จะช่องโหว่ที่ยังไม่เป็นที่รู้จัก (Zero Day) ในซอฟต์แวร์ Cisco VPN ที่อาจสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ได้หากไม่มี MFA

นอกจากนี้ทาง SentinelOne ยังพบหลักฐานที่ Akira ใช้ Cisco VPN gateways ในการเข้าถึงระบบเหยื่อ บนหน้า leaked data ของกลุ่ม Akira ransomware มีความเกี่ยวข้องกับ Cisco VPN กว่า 8 เคส ทำให้มีความเป็นไปได้ที่ กลุ่ม Akira จะใช้ Cisco VPN เป็นหนึ่งในเครื่องมือการโจมตี

การเข้าถึงระยะไกลโดยใช้ RustDesk
นักวิเคราะห์ของ SentinelOne WatchTower พบว่ากลุ่ม Akira ransomware มีการใช้เครื่องมือการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส ในชื่อ RustDesk เพื่อเข้าถึงเครือข่ายที่ถูกโจมตี ซึ่งเป็น ransomware กลุ่มแรกที่ใช้ซอฟต์แวร์ดังกล่าวในทางที่ผิด เนื่องจาก RustDesk เป็นเครื่องมือที่ถูกต้องตามกฎหมาย การมีอยู่ของ RustDesk จึงไม่ถูกตรวจจับ ทำให้สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีจากระยะไกลอย่างลับ ๆ ได้
**

ความสามารถของ RustDesk ได้แก่:

การทำงาน Cross-platform บน Windows, macOS และ Linux ที่ครอบคลุมเป้าหมายทั้งหมดของ Akira
การเชื่อมต่อแบบ P2P จะได้รับการเข้ารหัส ดังนั้นจึงมีโอกาสน้อยที่จะถูกตรวจจับโดยเครื่องมือตรวจสอบการรับส่งข้อมูลเครือข่าย
รองรับการถ่ายโอนไฟล์ซึ่งสามารถอำนวยความสะดวกในการขโมยข้อมูล และปรับใช้ได้กับชุดเครื่องมือการโจมตีของ Akira

รวมถึงทาง SentinelOne ยังได้พบวิธีการโจมตีใหม่ ๆ ของ Akira อีกด้วย เช่น การเข้าถึง และการจัดการฐานข้อมูล SQL, การปิดใช้งานไฟร์วอลล์ และการเปิดใช้งาน RDP, การปิดใช้งานการป้องกัน LSA และการปิดใช้งาน Windows Defender โดยจะดำเนินการหลังจากที่สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้แล้ว

ในเดือนมิถุนายน 2023 ทาง Avast ได้ปล่อยตัวถอดรหัสฟรีสำหรับ Akira ransomware ซึ่งต่อมาทางกลุ่ม Akira ได้ทำการแก้ไขตัวเข้ารหัสใหม่ ทำให้เครื่องมือของ Avast สามารถถอดรหัสได้เฉพาะเหยื่อเวอร์ชันเก่าเท่านั้น

ทาง Cisco ได้ออกมาบอกว่าผลิตภัณฑ์ Cisco VPN สามารถรองรับ MFA (multi-factor authentication) จากผู้ให้บริการได้อย่างหลากหลาย รวมถึงผู้ใช้งานยังสามารถตั้งค่า/กำหนดค่าการบันทึก log บน Cisco ASA ได้ รวมถึงแนวทางที่แนะนำคือการส่งข้อมูลการบันทึกไปยัง remote syslog server เพื่อปรับปรุงการตรวจสอบเครือข่าย และเหตุการณ์ด้านความปลอดภัยในอุปกรณ์เครือข่ายต่าง ๆ

 

ที่มา : bleepingcomputer

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลสถิติ โดยพบว่าการโจมตีจาก Ransomware ใช้เวลาในการโจมตีเพื่อเข้าถึงระบบ ก่อนที่จะถูกตรวจจับได้น้อยลงกว่าเดิม โดยเฉลี่ยจาก 9 วัน ในปี 2022 เหลือ 5 วันในปัจจุบัน จากการเก็บข้อมูลสถิติการโจมตี Ransomware ช่วงครึ่งปีแรกของปี 2023 (more…)

Sophos ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ถูกแอบอ้างโดย ransomware-as-a-service ตัวใหม่ที่ชื่อว่า SophosEncrypt โดยผู้โจมตีแอบอ้างใช้ชื่อของบริษัทในการดำเนินการ

แรนซัมแวร์ดังกล่าวถูกพบโดย Malware Hunter Team เมื่อวันที่ 17 กรกฎาคม 2023 ที่ผ่านมา ซึ่งเบื้องต้นคาดว่าเป็นการทดสอบของ Red Team ของ Sophos เอง (more…)

นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing

โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์

Double DLL sideloading

DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่

เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ

โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.

นักวิจัยจาก Sophos บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานการพบแคมเปญการแพร่กระจายมัลแวร์ QBot ตัวใหม่ที่ชื่อว่า "QakNote" โดยการใช้ไฟล์แนบ '.one' ของ Microsoft OneNote ที่เป็นอันตรายเพื่อโจมตีเป้าหมายด้วย QBot banking trojan ผ่านทาง Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตรายไว้

โดยแคมเปญดังกล่าวถูกค้นพบเมื่อเดือนมกราคม 2023 โดยสืบเนื่องจากการที่ Microsoft ได้ปิดการใช้งานการเรียกใช้คำสั่ง Macro ใน Microsoft Office เป็นค่าเริ่มต้น จึงทำให้เหล่า Hacker ต้องใช้วิธีการอื่นในการโจมตีเหยื่อ

ซึ่ง Hacker สามารถแนบไฟล์ได้เกือบทุกชนิดใน OneNote รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งทำให้เพย์โหลดที่เป็นอันตรายจะถูกเรียกใช้งาน เมื่อเหยื่อดับเบิลคลิกที่ไฟล์แนบที่อยู่ใน OneNote Notebook อย่างไรก็ตามเหยื่อยังจำเป็นต้องคลิกที่จุดใดจุดหนึ่งเพื่อเปิดไฟล์แนบที่ฝังไว้ ทำให้โดยปกติผู้โจมตีจะใช้ปุ่ม 'Double Click to View File' หรือใช้ข้อความอื่นล่อลวงให้เหยื่อกดปุ่ม

Qbot (หรือที่รู้จักกันในนาม QakBot) เป็น banking trojan ที่ได้ถูกพัฒนาจนกลายเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ได้หลากหลาย ทำให้ Hacker สามารถดาวน์โหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกโจมตี และขโมยข้อมูล รวมถึงติดตั้งแรนซัมแวร์ หรือการโจมตีอื่น ๆ ในเครือข่ายของเป้าหมายได้

QakNote campaign

นักวิจัยจาก Sophos ได้พบว่ากลุ่ม QBot ได้เริ่มโจมตีด้วยแคมเปญใหม่นี้ ตั้งแต่วันที่ 31 มกราคม 2023 ที่ผ่านมา โดยการใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML ที่ฝังไฟล์ HTA ซึ่งจะดาวน์โหลดเพย์โหลดของมัลแวร์ QBot เข้ามาในเครื่องเป้าหมาย เช่นเดียวกับนักวิจัยของ Cynet ที่ได้เผยแพร่การค้นพบ QakNote campaign บน Twitter เมื่อวันที่ 31 มกราคม 2023 เช่นเดียวกัน

โดยสคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.

บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos ประกาศแจ้งเตือนเมื่อวันจันทร์ที่ 28 มีนาคมที่ผ่านมาว่าตรวจพบช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับการแก้ไขในผลิตภัณฑ์ firewall ของตน กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-1040 ที่ได้รับ CVSS 9.8 ส่งผลกระทบต่อ Sophos Firewall เวอร์ชัน 18.5 MR3 (18.5.3) และเวอร์ชันที่เก่ากว่า ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ bypass การตรวจสอบการ authentication บน User Portal และ Webadmin interfaces ได้ ซึ่งหากโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้

"Sophos พบว่าช่องโหว่เริ่มมีการถูกใช้ในการโจมตีไปยังองค์กรจำนวนหนึ่งในภูมิภาคเอเชียใต้ ซึ่งทาง Sophos ได้มีการแจ้งเตือนไปยังองค์กรเหล่านั้นโดยตรงแล้ว"

Sophos ระบุว่าช่องโหว่นี้ได้รับการแก้ไขด้วย hotfix ซึ่งจะติดตั้งอัตโนมัติสำหรับลูกค้าที่เปิดใช้งาน "Allow automatic installation of hotfixes" และเพื่อเป็นการแก้ปัญหาชั่วคราวสำหรับผู้ที่ยังไม่สามารถอัพเดทได้ Sophos แนะนำให้ผู้ใช้งานปิดการเข้าหน้า User Portal และ Webadmin interfaces จากภายนอกไปก่อน

นอกจากนี้ Sophos ได้แจ้งเวอร์ชันที่ end-of-life แล้ว ซึ่งจะไม่มีการ support การอัพเดทแพตซ์ เช่น 17.5 MR12 , MR15, 18.0 MR3 และ MR4 และ 18.5 GA จึงแนะนำให้ผู้ใช้งานรีบอัพเกรดเป็นเวอร์ชันใหม่เพื่อป้องกันผลกระทบที่อาจจะเกิดขึ้น

ที่มา : thehackernews

VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)

Sophos บริษัทด้านความปลอดภัยทางไซเบอร์และฮาร์ดแวร์ของประเทศอังกฤษออกแจ้งลูกค้าทางอีเมลเกี่ยวกับการละเมิดความปลอดภัยของบริษัท

เมื่อวันที่ 24 พฤศจิกายน 2020 ที่ผ่านมา Sophos ได้รับแจ้งถึงปัญหาสิทธิ์ในการเข้าถึงเครื่องมือที่ใช้ในการเก็บข้อมูลเกี่ยวกับลูกค้าที่บริการติดต่อ Sophos Support โดยบุคคลที่ไม่ได้รับอนุญาตหลังจากบริษัทได้ทำการตั้งค่าคอนฟิกค่าผิดพลาด ซึ่งข้อมูลที่รั่วไหลจะส่งผลกระทบกับรายละเอียดต่างๆ เช่น ชื่อ, นามสกุลของลูกค้า, อีเมลและหมายเลขโทรศัพท์

อย่างไรก็ดีโฆษกของ Sophos ได้ออกมากล่าวถึงผลกระทบว่ามีลูกค้าของบริษัทมีเพียง "กลุ่มเล็ก ๆ" เท่านั้นที่ได้รับผลกระทบ ทั้งนี้ Sophos ได้ทำการแก้ไขปัญหาที่ถูกรายงานทันที

ลูกค้า Sophos ควรทำกาตรวจสอบอีเมลและควรระมัดระวังผู้ประสงค์ร้ายใช้ข้อมูลที่ถูกรั่วไหลทำการฟิชชิงข้อมูล

ที่มา: zdnet.

Sophos ออกรายงานการโจมตีทางไซเบอร์ในพม่า ใช้โปรแกรมของ Windows Defender ทำ "DLL side-loading" ในการโจมตี

Sophos ออกรายงานแจ้งเตือนพฤติกรรมการโจมตีโดยกลุ่ม APT จีนในพม่า พุ่งเป้าโจมตีบริษัทเอกชนและด้านการค้าในประเทศพม่า จุดน่าสนใจของการโจมตีอยู่ที่การใช้เทคนิคการโจมตีซึ่งถูกค้นพบในปี 2013 ในชื่อ DLL side-loading เพื่อหลอกให้ระบบเมื่อมีการเอ็กซีคิวต์โปรแกรมใดๆ แล้ว ให้เรียกใช้ DLL ปลอมซึ่งเป็นอันตรายแทน DLL จริง

ในกรณีของการโจมตีที่ตรวจพบ แฮกเกอร์จีนมีการใช้โปรแกรม MsMpEng.

นักวิจัยจาก Sophos ได้เปิดเผยว่าพบแคมเปญฟิชชิ่งรูปแบบใหม่ที่กำหนดเป้าหมายไปยังเจ้าของบล็อกเกอร์และเจ้าของเว็บไซต์ด้วยอีเมลที่ปลอมแปลงมาจากผู้ให้บริการโฮสต์ติ้ง ด้วยการเสนอการอัปเกรดโดเมนเพื่อใช้งาน DNSSEC

นักวิจัยกล่าวว่าผู้ประสงค์ร้ายนั้นจะใช้ข้อมูลจาก WHOIS เพื่อส่งอีเมลฟิชชิ่งไปหาเป้าหมายและจะทำการปลอมแปลงเป็นผู้ให้บริการ WordPress, NameCheap, HostGator, Microsoft Azure และบริษัทโฮสติ้งที่มีชื่อเสียงอื่นๆ โดยเนื้อหาอีเมลจะเสนอให้ทำการอัพเกรด DNS ของเว็บไซต์ให้ไปใช้โปรโตคอล DNS ที่ใหม่กว่าคือ DNSSEC เพียงเเค่ผู้ใช้ทำการคลิกที่ลิงก์เพื่อเปิดใช้งานฟีเจอร์นี้

นักวิจัยจาก Sophos อธิบายว่าโปรโตคอล DNSSEC นั้นไม่ใช่สิ่งที่เจ้าของเว็บไซต์จะทำการติดตั้งเอง โดยการติดตั้งและอัพเกรดนั้นจะต้องถูกทำการตั้งค่ามาจากผู้ให้บริการโฮสติ้ง ส่วนเป้าหมายของแคมเปญนั้นคือการขโมย credential ของผู้ใช้งานที่ไม่สงสัยหรือไม่มีความรู้เกี่ยวกับโปรโตคอล DNSSEC

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งที่ทำการเปิดอ่านและให้ทำการระมัดระวังในการคลิกลิ้งค์จากอีเมลหรือแม้เเต่การกรอกแบบฟอร์มจากเว็ปไซต์และระบบที่ไม่คุ้นเคย เพื่อป้องกันการถูกขโมยข้อมูลของผู้ใช้

ที่มา: bleepingcomputer