ช่องโหว่ของ Log4j ยังคงถูกใช้ในการโจมตีอย่างต่อเนื่องกับ VMware Horizon Servers

VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)

NSA ได้เผยแพร่คำแนะนำและแจ้งเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์จาก Web Shells รวมไปถึงช่องโหว่ที่มักถูกใช้โจมตี

 

สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ Australian Signals Directorate (ASD) ได้ทำการเผยแพร่คำแนะนำด้านความปลอดภัยในสัปดาห์ที่ผ่านมาเพื่อเตือนบริษัทต่างๆ ให้ทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานและเซิร์ฟเวอร์สำหรับภายในเพื่อทำการค้นหา Web shells ที่ถูกแฝงไว้ภายในเซิร์ฟเวอร์

Web shells เป็นหนึ่งในมัลแวร์ที่ได้รับความนิยมมากที่สุดในปัจจุบัน คำว่า "Web Shell" หมายถึงโปรแกรมที่เป็นอันตรายหรือสคริปต์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ มักจะถูกติดตั้งบนเซิร์ฟเวอร์ที่ถูกแฮก ผู้ประสงค์ร้ายมักจะอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางในการควบคุม, สั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายต่อในภายหลัง web shell ถือว่าเป็นมัลแวร์ประเภท backdoor ผู้ประสงค์ร้ายสามารถใช้เพื่อคัดลอก, แก้ไข, อัพโหลดไฟล์ใหม่หรือดาวน์โหลดข้อมูลที่สำคัญออกจากเซิร์ฟเวอร์

แฮกเกอร์จะทำการติดตั้ง web shells โดยหาช่องโหว่ภายในเซิร์ฟเวอร์หรือเว็บแอพพลิเคชันเช่น CMS, ปลั๊กอิน CMS, ธีม CMS, CRMs, อินทราเน็ตหรือแอพพลิเคชันในองค์กรอื่น ๆ เป็นต้น

Web shells สามารถใช้ภาษาโปรแกรมมิ่งเขียนขึ้นมาได้หลายภาษาเช่น Go จนไปถึง PHP ด้วยวิธีนี้การนี้ทำให้ผู้ประสงค์ร้ายสามารถซ่อน Web shells ภายในโค้ดของเว็บไซต์ใดๆ ภายใต้ชื่ออื่นๆ เช่น index.