Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์ (more…)
ฟีเจอร์ใหม่ของ Cisco ASA และ FTD ช่วยบล็อกการโจมตีแบบ brute-force บน VPN
กลุ่ม Fog Ransomware มุ่งโจมตีช่องโหว่ SonicWall VPN เพื่อเข้าถึงเครือข่ายของเป้าหมาย
นักวิจัยด้านความปลอดภัยของ Arctic Wolf ได้เผยแพร่การพบกลุ่ม Fog และ Akira ransomware กำลังมุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)
โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว
Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ
Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว
นักวิจัยรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้
แม้ว่านักวิจัยจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข
ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง
Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย
ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว
ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files
ที่มา : bleepingcomputer
Check Point แก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตี
Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย
โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย
CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20
ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**
Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40
Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x
หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์
หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว
ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์
รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม
ที่มา : bleepingcomputer
DNS Tunneling ถูกใช้เพื่อซ่อนการสแกนช่องโหว่ และติดตามอีเมลฟิชชิ่ง
DNS Tunneling กำลังถูกใช้เพื่อหลีกเลี่ยงมาตรการด้านความปลอดภัย โดยการซ่อนการรับส่งข้อมูลที่เป็นอันตรายในแพ็กเก็ต DNS ทำให้แฮ็กเกอร์สามารถขโมยข้อมูลที่สำคัญ, ซ่อนมัลแวร์ หรือการเชื่อมต่อกับ command-and-control เซิร์ฟเวอร์ได้
Unit 42 ของ Palo Alto Networks พบว่ากลุ่มผู้โจมตีกำลังใช้เทคนิค DNS Tunneling นอกเหนือจากการสร้างช่องทางสื่อสารกับ command-and-control เซิร์ฟเวอร์ และ VPN เช่น การสแกนหาช่องโหว่บนเครือข่าย และการประเมินผลสำเร็จของแคมเปญฟิชชิ่ง
DNS Tunneling สำหรับการติดตามแคมเปญการโจมตี
ตามรายงาน ผู้โจมตีกำลังใช้ประโยชน์จากเทคนิค DNS Tunneling เพื่อติดตามพฤติกรรมของเหยื่อที่เกี่ยวข้องกับการสแปม, ฟิชชิ่ง หรือโฆษณาต่าง ๆ และส่งข้อมูลของเหยื่อกลับไปยังโดเมนที่เป็นอันตราย
ตัวอย่างเช่น ในการโจมตีด้วยฟิชชิ่ง เทคนิค DNS Tunneling ช่วยให้ผู้โจมตีแฝงการติดตามข้อมูลลงใน DNS requests ทำให้ผู้โจมตีสามารถสังเกตการมีส่วนร่วมของเหยื่อกับเนื้อหาฟิชชิ่งที่อยู่บน Content Delivery Networks (CDNs) เพื่อดูว่าอีเมลฟิชชิ่งสำเร็จหรือไม่
พฤติกรรมนี้ถูกพบในแคมเปญ TrkCdn ซึ่งมีเป้าหมายเป็นเหยื่อ 731 ราย โดยใช้ 75 IP Addresses สำหรับ nameservers และในแคมเปญ SpamTracker ซึ่งมีเป้าหมายเป็นสถาบันการศึกษาของญี่ปุ่น โดยใช้ 44 โดเมนสำหรับ tunneling ด้วย IP 35.75.233.210 ทั้งสองแคมเปญใช้วิธีการสร้างชื่อโดเมน และการเข้ารหัสเป็นซับโดเมนแบบเดียวกัน
ผู้โจมตีใช้ประโยชน์จาก DNS logs เพื่อติดตามอีเมลของเหยื่อ และตรวจสอบผลการดำเนินการของแคมเปญ โดยมีการลงทะเบียนโดเมนใหม่ระหว่างเดือนตุลาคม 2020 และมกราคม 2024 ก่อนการเริ่มการโจมตี 2 ถึง 12 สัปดาห์ และทำการติดตามพฤติกรรมเป็นเวลา 9 ถึง 11 เดือน และยกเลิกหลังจากใช้งานมาหนึ่งปี
DNS Tunneling สำหรับการสแกนช่องโหว่
ผู้โจมตีสามารถใช้ DNS Tunneling เพื่อสแกนโครงสร้างพื้นฐานของเครือข่ายโดยการเข้ารหัส IP addresses และเวลาในการรับส่งข้อมูลผ่านทาง tunneling พร้อมกับการ spoofed IP addresses เพื่อค้นหา DNS resolvers ที่เปิดอยู่, ใช้ประโยชน์จากช่องโหว่ของตัว DNS resolver และดำเนินการโจมตีไปยัง DNS นั้น ๆ ซึ่งอาจนำไปสู่การเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย หรือการโจมตีแบบ Denial of Service (DoS)
วิธีการนี้ถูกพบในแคมเปญ "SecShow" ที่ผู้โจมตีสแกนโครงสร้างพื้นฐานของเครือข่ายเหยื่ออย่างต่อเนื่อง และดำเนินการโจมตีแบบ reflection attacks
นักวิจัยจาก Unit 42 ระบุว่า "โดยทั่วไปแล้ว แคมเปญนี้จะเน้นเป้าหมายไปที่ DNS resolver ที่เปิดอยู่ ดังนั้นจึงพบว่าเหยื่อส่วนใหญ่มาจากสถาบันการศึกษา, บริษัทเทคโนโลยี และหน่วยงานภาครัฐ ซึ่งเป็นที่ที่มักพบ DNS resolver เปิดใช้งานอยู่"
นอกจากนี้ ผู้โจมตีสามารถใช้เทคนิคเดียวกันนี้เพื่อติดตามเหยื่อหลายรายได้ และกำลังใช้ประโยชน์จาก DNS queries เพื่อตรวจหา configurations ที่ผิดพลาดในองค์กรเป้าหมาย ซึ่งอาจถูกนำไปใช้ในการโจมตีแบบ Denial of Service (DoS), ขโมยข้อมูล หรือติดตั้งมัลแวร์ได้
เพื่อป้องกันการโจมตี ควรมีการใช้งานซอฟต์แวร์ด้านความปลอดภัยที่สามารถตรวจจับรูปแบบ DNS traffic ที่ผิดปกติ และอัปเดตระบบปฏิบัติการ และแอปพลิเคชันอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ และระมัดระวังการคลิกลิงก์ที่น่าสงสัยในอีเมล หรือข้อความ
Indicators of Compromise
Domains used for DNS tunneling
85hsyad6i2ngzp[.]com
8egub9e7s6cz7n[.]com
8jtuazcr548ajj[.]com
anrad9i7fb2twm[.]com
aucxjd8rrzh7xf[.]com
b5ba24k6xhxn7b[.]com
cgb488dixfxjw7[.]com
d6zeh4und3yjt9[.]com
epyujbhfhbs35j[.]com
hhmk9ixaw9p3ec[.]com
hjmpfsamfkj5m5[.]com
iszedim8xredu2[.]com
npknraafbisrs7[.]com
patycyfswg33nh[.]com
rhctiz9xijd4yc[.]com
sn9jxsrp23x63a[.]com
swh9cpz2xntuge[.]com
tp7djzjtcs6gm6[.]com
uxjxfg2ui8k5zk[.]com
wzbhk2ccghtshr[.]com
y43dkbzwar7cdt[.]com
ydxpwzhidexgny[.]com
z54zspih9h5588[.]com
3yfr6hh9dd3[.]com
4bs6hkaysxa[.]com
66tye9kcnxi[.]com
8kk68biiitj[.]com
93dhmp7ipsp[.]com
api536yepwj[.]com
bb62sbtk3yi[.]com
cytceitft8g[.]com
dipgprjp8uu[.]com
ege6wf76eyp[.]com
f6kf5inmfmj[.]com
f6ywh2ud89u[.]com
h82c3stb3k5[.]com
hwa85y4icf5[.]com
ifjh5asi25f[.]com
m9y6dte7b9i[.]com
n98erejcf9t[.]com
rz53par3ux2[.]com
szd4hw4xdaj[.]com
wj9ii6rx7yd[.]com
wk7ckgiuc6i[.]com
secshow[.]net
secshow[.]online
secdns[.]site
IP addresses
35.75.233[.]210
202.112.47[.]45
ที่มา: hackread , DNS Tunneling
Cisco แจ้งเตือนช่องโหว่ Zero-day ใน VPN กำลังถูกใช้ในการโจมตีโดยกลุ่ม Ransomware
Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย (more…)
แคมเปญมัลแวร์ใหม่มุ่งเป้าไปยังผู้ใช้งาน LetsVPN
โดยทั่วไปผู้ไม่หวังดีจะใช้เว็บไซต์ฟิชชิงปลอมในการแพร่กระจายมัลแวร์ เพราะเป็นเรื่องง่ายในการหลอกล่อเหยื่อให้คลิกลิงค์ที่อยู่ในอีเมลฟิชชิง หรือ SMS และมีหลายกรณีที่ผู้ไม่หวังดีปลอมตัวเป็นตัวแทนของผลิตภัณฑ์ หรือแบรนด์ยอดนิยมเพื่อหลอกล่อเหยื่อ สร้างความน่าเชื่อถือ และความถูกต้องเพื่อหลอกผู้ใช้ที่ไม่ได้ระมัดระวัง
Cyble Research and Intelligence Labs (CRIL) รายงานไว้ก่อนหน้านี้ว่าได้ค้นพบเว็บไซต์ฟิชชิงจำนวนมากที่มุ่งเป้าหมายไปที่แอปพลิเคชันต่าง ๆ เช่น เกม, VPN, Remote Desktop (RDP), Video conferencing, เครื่องมือ Converter ออนไลน์ และอื่น ๆ โดยในแคมเปญล่าสุดผู้โจมตีมุ่งเป้าหมายไปที่ผู้ใช้งานแอปพลิเคชัน VPN ซึ่งเป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถสร้างการเชื่อมต่อเครือข่ายที่ปลอดภัย และเป็นส่วนตัว ผ่านเครือข่ายสาธารณะ เช่น อินเทอร์เน็ต เมื่อผู้ใช้เชื่อมต่อกับ VPN ข้อมูลของผู้ใช้จะถูกเข้ารหัสให้เป็นความลับ และป้องกันไม่ให้ถูกดักฟัง หรือการตรวจสอบการเชื่อมต่อได้
เมื่อเร็ว ๆ นี้ CRIL พบการมีอยู่ของเว็บไซต์ของ LetsVPN ปลอมจำนวนมาก ในระหว่างการตรวจสอบหาความเสี่ยง ซึ่งเว็บไซต์ปลอมเหล่านี้มีอินเตอร์เฟซผู้ใช้ร่วมกัน และถูกออกแบบมาเพื่อแพร่กระจายมัลแวร์โดยเฉพาะ โดยปลอมเป็นแอปพลิเคชัน LetsVPN
LetsVPN เป็นแอปพลิเคชัน VPN ที่พัฒนาโดย LetsGo Network ซึ่งมีจุดประสงค์เพื่อเสริมสร้างประสบการณ์ในการใช้งานอินเทอร์เน็ต โดยจะให้การเชื่อมต่อความเร็วสูงพร้อมกับการรักษาความปลอดภัยของอุปกรณ์ผู้ใช้ โดย LetsVPN มีฟังก์ชันที่หลากหลาย เช่น ฟังก์ชันการเชื่อมต่อแบบ Peer-to-Peer, รองรับโปรโตคอลหลายรูปแบบ, ความสามารถในการเรียกดูเว็บไซต์ในภาษาต่าง ๆ, ฟังก์ชันการตัดการเชื่อมต่อ (kill switch) เพื่อเพิ่มความปลอดภัย, ตัวเลือกการจัดการนโยบาย (policy management options) และอื่น ๆ
โดยเว็บไซต์ฟิชชิงมีลักษณะคล้ายกับเว็บไซต์ LetsVPN ทั้งในด้านการดีไซน์ และลักษณะภายนอก ดังที่แสดงในรูปด้านล่าง
รูปด้านล่างแสดงข้อมูล "Whois" ของโดเมนฟิชชิง ซึ่งแสดงให้เห็นว่าโดเมนนี้ถูกลงทะเบียนเมื่อเร็ว ๆ นี้ และมุ่งเป้าหมายไปที่ผู้ใช้ LetsVPN
การวิเคราะห์
มีการระบุว่ามีเว็บไซต์ฟิชชิงหลายแห่งที่ปลอมเป็นเว็บไซต์ LetsVPN ซึ่งเว็บไซต์ฟิชชิงเหล่านี้ถูกออกแบบมาเพื่อหลอกล่อเหยื่อ และล่อลวงให้เหยื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย
Payload: BlackMoon
เว็บไซต์ LetsVPN ปลอมที่ใช้งานอยู่ในปัจจุบัน
letsvpn[.]club
letsvpn[.]cyou
เว็บไซต์ปลอมเหล่านี้ใช้ในการแพร่กระจายเพย์โหลด BlackMoon banking trojan ซึ่งปลอมตัวเป็นแอปพลิเคชัน VPN ที่ถูกต้อง และสามารถดาวน์โหลดได้ผ่าน URL ต่อไปนี้
hxxps[:]//letsvpn[.]club/kuaiVPN[.]rar
hxxps[:]//letsvpn[.]cyou/down/kuaiVPN[.]rar
BlackMoon หรือที่รู้จักกันในชื่อ KRBanker เป็น banking trojan ที่เน้นการขโมยข้อมูลสำคัญที่เกี่ยวข้องกับการทำธุรกรรมทางการเงิน และธนาคารออนไลน์ ซึ่งถูกพบครั้งแรกในช่วงต้นปี 2014 โดย BlackMoon มีการพัฒนาอยู่ตลอดเวลา โดยใช้วิธีการ และเทคนิคหลายอย่างในการแพร่กระจาย และดักจับข้อมูลประจำตัว กลุ่มเป้าหมายหลักของมัลแวร์ตัวนี้คือบุคคล และองค์กรที่ใช้บริการธนาคารออนไลน์
เพื่อทำให้คอมพิวเตอร์ หรืออุปกรณ์ของเหยื่อติดมัลแวร์นั้น BlackMoon ใช้วิธีการต่าง ๆ รวมถึงการแนบไฟล์ที่เป็นอันตรายในอีเมล, เครื่องมือ Exploit หรือเว็บไซต์ที่ถูกโจมตี เมื่อทำการติดตั้งสำเร็จ โทรจันจะทำงานอย่างลับ ๆ ในเบื้องหลัง โดยซ่อนการทำงานไม่ให้ผู้ใช้งานสังเกตเห็น
มัลแวร์ BlackMoon มีความสามารถต่าง ๆ ที่ช่วยให้สามารถดำเนินกิจกรรมที่เป็นอันตรายได้ ดังนี้
การบันทึกแป้นพิมพ์ (Keylogging) : BlackMoon จะดักจับแป้นพิมพ์ที่เหยื่อป้อนเข้ามา รวมถึงชื่อผู้ใช้, รหัสผ่าน และข้อมูลสำคัญอื่น ๆ ข้อมูลที่ถูกขโมยมาจะถูกส่งไปยัง C2 Server ของผู้โจมตี
การแทรกสคริปต์เว็บ (Web Injection) : BlackMoon สามารถแก้ไขเนื้อหาที่แสดงโดยเว็บเบราว์เซอร์ของเหยื่อ ทำให้สามารถแก้ไข หรือเพิ่มเติมเนื้อหาของหน้าเว็บที่เกี่ยวข้องกับธนาคารออนไลน์ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลเพิ่มเติม เช่น รหัสความปลอดภัย หรือรายละเอียดการทำธุรกรรม
การเข้าถึงระยะไกล (Remote Access) : โทรจันจะให้การเข้าถึงระยะไกลแก่ผู้โจมตี ทำให้สามารถควบคุมระบบที่โดนโจมตี และนำข้อมูลออกไป หรือดำเนินกิจกรรมที่อันตรายอื่น ๆ
การยึดบัญชี (Account Hijacking) : BlackMoon อาจพยายามเข้าควบคุมบัญชีธนาคารออนไลน์ของเหยื่อ ทำให้ผู้โจมตีสามารถทำธุรกรรมที่ไม่ถูกต้อง หรือเข้าถึงข้อมูลการเงินที่สำคัญได้โดยไม่ได้รับอนุญาต
Payload: Backdoor.
เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้
สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ
การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky
KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์
หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น
จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น
ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้
เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ
โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน
ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา
ที่มา : thehackernews
Cisco แจ้งเตือนช่องโหว่ Remote Code Execution ระดับวิกฤติกับโซลูชัน VPN หลายรายการ
Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ
อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ
RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router
แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง
ที่มา:
bleepingcomputer.
SonicWall ออกมาเเถลงถึงการถูกโจมตีด้วยช่องโหว่ Zero-days บนผลิตภัณฑ์ของบริษัท
SonicWall ผู้ให้บริการความปลอดภัยทางอินเทอร์เน็ตยอดนิยม เช่น ผลิตภัณฑ์ไฟร์วอลล์และ VPN ได้ออกเเถลงถึงเหตุการณ์ที่บริษัทตกเป็นเหยื่อของการโจมตีระบบภายใน
บริษัทระบุว่าแฮกเกอร์ได้ใช้ช่องโหว่ Zero-day บนอุปกรณ์ VPN Secure Mobile Access (SMA) เวอร์ชัน 10.x และ NetExtender VPN เวอร์ชัน 10.x ในการโจมตีระบบเพื่อเข้าถึงเครือข่ายจากระยะไกล ซึ่งขณะนี้ SonicWall กำลังตรวจสอบอย่างละเอียดว่าอุปกรณ์หรือระบบใดบ้างที่ได้รับผลกระทบจากโจมตีจากการใช้ช่องโหว่นี้ โดยเบื้องต้นผลิตภัณฑ์ที่ได้รับผลกระทบคือ
Secure Mobile Access (SMA) เวอร์ชัน 10.x ที่รันบนอุปกรณ์ SMA 200, SMA 210, SMA 400, SMA 410 ซึ่งเป็น Physical Appliances และอุปกรณ์ Virtual SMA 500v Appliances
NetExtender ซึ่งเป็น VPN Client เวอร์ชัน 10.x ถูกใช้เพื่อเชื่อมต่อกับอุปกรณ์ SMA 100 Series และไฟร์วอลล์ SonicWall
ทาง SonicWall ได้ออกมาแนะนำให้ทางผู้ดูแลระบบของเเต่และองค์กรและบริษัททำการสร้าง Firewall Rule, เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับ VPN Client ที่ทำการเข้าถูกระบบ, ปิดการใช้ NetExtender ในการเข้าถึงไฟร์วอลล์และอนุญาตให้เข้าถึงผ่าน SSL-VPN Connection จาก Whitelist IP เท่านั้นสำหรับการเชื่อมต่อ ทั้งนี้ทาง SonicWall ยังคงอยู่ในส่วนของการตรวจสอบผลกระทบที่เกิดขึ้น ผู้ดุแลระบบควรทำการติดตามข่าวสารอย่างต่อเนื่องและเมื่อทาง SonicWall ออกแพตช์การแก้ไขช่องโหว่แล้วผู้ดูแลระบบควรรีบทำการแพตช์ความปลอดภัยเป็นการด่วน
ที่มา: thehackernews | bleepingcomputer
กลุ่มแฮกเกอร์ชาวจีนต้องสงสัยในการขโมยข้อมูลผู้โดยสารของสายการบิน
NCC Group และบริษัทในเครือ Fox-IT ได้ออกรายงานถึงกลุ่มแฮกเกอร์ชาวจีนที่ต้องสงสัยที่มีชื่อกลุ่มว่า “Chimera” ได้โจมตีอุตสาหกรรมสายการบินในช่วงไม่กี่ปีที่ผ่านมา โดยมีเป้าหมายเพื่อการขโมยข้อมูลผู้โดยสารและเพื่อติดตามการเคลื่อนไหวของบุคคลที่น่าสนใจ
ตามรายงานของ NCC Group และ Fox-IT ที่ได้สังเกตเห็นกลุ่มแฮกเกอร์ต้องสงสัยนี้ในระหว่างการรับมือกับเหตุการณ์การโจมตีต่าง ๆ (incident response) ระหว่างเดือนตุลาคม 2019 ถึงเมษายน 2020 โดยเป้าหมายของการโจมตีเหล่านี้จะพุ่งเป้าไปที่บริษัทเซมิคอนดักเตอร์และบริษัทในอุตสาหกรรมสายการบินในหลายประเทศและไม่ใช่เฉพาะในเอเชีย
NCC และ Fox-IT กล่าวต่อว่าได้พบไฟล์ DLL ที่ออกแบบมาเป็นพิเศษถูกใช้ในการดึงข้อมูล Passenger Name Records (PNR) ในระหว่างที่ทางบริษัทเข้าไปรับมือกับสถานะการการโจมตีในบริษัทในอุตสาหกรรมสายการบิน
กลุ่ม Chimera โจมตีโดยเริ่มต้นด้วยการรวบรวมข้อมูล Credentials เพื่อเข้าสู่ระบบของเป้าหมาย โดยการใช้ข้อมูลที่ถูกซื้อขายในฟอรัมแฮกเกอร์หรือข้อมูลที่ถูกรั่วไหลจากฟอรัมต่างๆ จากนั้นจะใช้เทคนิค Credential stuffing หรือ Password spraying ในเข้าสู่บัญชีของพนักงานที่อยู่ภายในบริษัทที่ตกเป้าหมาย เช่น บัญชีอีเมล และเมื่อสำเร็จแล้วจะทำการค้นหารายละเอียดของการเข้าสู่ระบบสำหรับขององค์กรเช่นระบบ Citrix และอุปกรณ์ VPN เป็นต้น เมื่อสามารถอยู่ในเครือข่ายภายในได้ผู้บุกรุกมักจะติดตั้ง Cobalt Strike ซึ่งเป็นเครื่องมือในการทดสอบการเจาะระบบ จากนั้นจะทำการเคลื่อนย้ายไปยังระบบต่าง ๆ ให้ได้มากที่สุดโดยค้นหาทรัพย์สินทางปัญญา (Intellectual Property) และรายละเอียดผู้โดยสาร ซึ่งเมื่อพบและรวบรวมข้อมูลแล้ว ข้อมูลเหล่านี้ได้จะถูกอัปโหลดไปยังบริการคลาวด์สาธารณะเช่น OneDrive, Dropbox หรือ Google Drive เพื่อป้องกันการตรวจสอบหรือบล็อกภายในเครือข่ายที่ถูกละเมิด
ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่างๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผุ้ประสงค์ร้าย
ที่มา: zdnet
- 1
- 2