Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่

Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring

โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947

CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์

Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ

ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts

หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)

botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots

ที่มา : www.

โปรแกรมป้องกันไวรัสของ Trend Micro ได้แก้ไขข้อผิดพลาด ที่ส่งผลให้ Apex One endpoint ตรวจจับการอัปเดต Microsoft Edge ว่าเป็นมัลแวร์ และทำให้ registry ของ Windows ถูกแก้ไขอย่างไม่ถูกต้อง

ตามรายงานจากผู้ใช้งานหลายร้อยรายเมื่อต้นสัปดาห์นี้ในฟอรัมของบริษัท และบนเครือข่ายสังคมออนไลน์ ว่าเกิดการตรวจจับที่ผิดพลาดกับแพทช์การอัปเดตของ Microsoft Edge  โดย Trend Micro Apex One ระบุว่าการอัปเดตเบราว์เซอร์ลักษณะดังกล่าวเป็นไวรัส/มัลแวร์: TROJ_FRS.VSNTE222 และไวรัส/มัลแวร์: TSC_GENCLEAN

(more…)

พบช่องโหว่ Zero-day ในแอปพลิเคชัน 7-zip โดยช่องโหว่ที่พบนี้สามารถยกระดับสิทธิ์ผู้โจมตีให้เป็นผู้ดูแลระบบได้ ช่องโหว่นี้ถูกค้นพบโดยผู้ใช้ GitHub ที่ชื่อว่า Kagancapar โดยมีหมายเลข CVE-2022-29072

7-zip เป็นแอปพลิเคชันที่สามารถใช้งานได้หลายแพลตฟอร์ม แต่ช่องโหว่นี้ส่งผลกระทบกับ Windows โดยตรง เนื่องการโจมตีต้องอาศัย Windows help application ที่ชื่อว่า hh.

Microsoft พบมัลแวร์ตัวใหม่ซึ่งถูกใช้โดยกลุ่มแฮ็กเกอร์ Hafnium ที่คาดว่าได้รับการสนับสนุนจากจีน โดยตัวมันจะพยายามแฝงตัวอยู่บนเครื่องที่ควบคุมไว้โดยการสร้าง schedule tasks และซ่อนไว้

ก่อนหน้านี้กลุ่ม Hafnium ได้มุ่งเป้าการโจมตีไปที่บริษัทที่ทำธุรกิจด้านการป้องกันประเทศ ของสหรัฐฯ สถาบันที่มีการรวมกลุ่มผู้เชี่ยวชาญจากสาขาวิชาต่างๆทั้งภาครัฐ และเอกชน นักวิจัยผู้เชี่ยวชาญด้านการโจมตีทางไซเบอร์ นอกจากนี้ยังเป็นกลุ่มเดียวกับที่ Microsoft กล่าวหาว่าเกี่ยวข้องกับการโจมตีช่องโหว่ ProxyLogon ซึ่งส่งผลกระทบต่อ Microsoft Exchange ทุกเวอร์ชัน

พยายามแฝงตัวอยู่บนเครื่องที่ควบคุมด้วยการลบค่า Registry ของ Windows

Microsoft Detection and Response Team (DART) กล่าวว่า Microsoft ยังคงติดตามความเคลื่อนไหวกลุ่ม HAFNIUM ที่มักโจมตีโดยการใช้ช่องโหว่ Zero-day

จากข้อมูลล่าสุดพบการพยายามเชื่อมต่อไปยังเครื่องอื่นๆภายในเครือข่ายของเหยื่อ และหลีกเลี่ยงการตรวจจับโดยการซ่อน schedule tasks ที่ถูกสร้างขึ้นด้วยเครื่องมือที่เรียกว่า Tarrask

เครื่องมือที่ชื่อว่า Tarrask นี้จะใช้ช่องโหว่ของ Windows เพื่อซ่อน schedule tasks จาก "schtasks /query" และ Task Scheduler โดยการลบค่า Registry ของ Security Descriptor

กลุ่ม Hafnium จะใช้ schedule tasks ที่ถูกซ่อนเหล่านี้เพื่อเข้าถึงอุปกรณ์ที่ถูกแฮ็ก แม้ว่าจะทำการรีบูตแล้วก็ตาม มันจะทำการเชื่อมต่อใหม่ด้วยคำสั่ง cmd อีกครั้ง

วิธีป้องกันการโจมตีจาก Tarrask

schedule tasks "ที่ซ่อนอยู่" จะเห็นได้จากการตรวจสอบ Windows Registry โดยดูได้จาก Tasks ที่ไม่มีค่า SD (security descriptor)
ผู้ดูแลระบบสามารถเปิดใช้งาน Security.

เมื่อไม่กี่วันที่ผ่านมามีข้อมูลว่าบริษัทด้าน SI (Systems Integrator) รายใหญ่ในประเทศไทย ถูกโจมตีจาก Snatch Ransomware และมีข้อมูลรั่วไหลออกมาประมาณ 1.5 GB จากข่าวดังกล่าวยังไม่ได้รับการยืนยันว่าเป็นเรื่องจริงหรือไม่

Snatch Ransomware คืออะไร?

Snatch Ransomware ถูกตรวจพบมาเป็นเวลานานแล้ว โดยเป็นมัลแวร์ที่สามารถทำงานใน Safe Mode ของ Windows ได้ จึงทำให้มันสามารถ bypass การตรวจจับของ Antivirus ได้ นอกจากที่ Snatch Ransomware จะสามารถทำงานได้บน Safe Mode ได้แล้ว ยังพบว่าผู้โจมตียังใช้เครื่องมือ เช่น Process Hacker, IObit Uninstaller, PowerTool, และ PsExec ในการพยายามปิดการทำงานของ Antivirus อีกด้วย

วิธีการโจมตี

Snatch Ransomware เคยถูกพบว่าโจมตีเครื่องของเหยื่อด้วยวิธีการ Brute Force Attack ไปที่เครื่องที่มีการเปิด RDP ไว้จาก Internet จากนั้นเมื่อได้ account ของ domain administrator แฮ็กเกอร์จะโจมตีต่อไปยังเครื่อง Domain Controller

หลังจากนั้นผู้โจมตีจะนำเครื่องมือต่างๆมาติดตั้งลงเครื่องของเหยื่อที่ Path C:
Windows เมื่อติดตั้งเสร็จเรียบร้อยก็จะทำการเชื่อมต่อกลับไปยัง C2 Server ที่อยู่บน TOR Network ผ่านทาง RDP tunnel ที่สร้างขึ้น ถัดมาก็จะมีการสร้าง reverse shell กลับไปยัง C2 Server ผ่าน HTTPS/443 ไปที่ IP 91.229.77.161 ผ่าน Process cplXen.

Microsoft กำลังจะเปิดใช้งาน "Attack Surface Reduction" บน Microsoft Defender เป็นค่าเริ่มต้น เพื่อความปลอดภัยจากการโจมตีของแฮกเกอร์เพื่อขโมยข้อมูลของ Windows จาก LSASS Process

เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้ มักจะพยายามโจมตีไปยังอุปกรณ์อื่น ๆ ในระบบต่อโดยใช้ Credential ที่หามาได้ หรือใช้ประโยชน์จากช่องโหว่อื่น ๆ

วิธีการปกติที่มักถูกใช้ในการขโมย Credential บน Windows คือหลังจากได้สิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่ทำการโจมตีได้สำเร็จ ผู้โจมตีจะทำการ dump เอาข้อมูลบน memory ของ Process LSASS (Local Security Authority Server Service) ที่ทำงานอยู่บน Windows

ข้อมูลที่ได้มาจะประกอบไปด้วย NTLM hashes ของ Windows Credentials ของผู้ใช้ที่ลงชื่อเข้าใช้คอมพิวเตอร์ที่สามารถนำไปใช้ในการโจมตีแบบ Pass-the-Hash เพื่อลงชื่อเข้าใช้อุปกรณ์อื่น

(more…)

เมื่อวันอังคารที่ผ่านมา Microsoft ได้ออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ทั้งหมด 71 รายการใน Microsoft Windows และซอฟต์แวร์อื่นๆ รวมถึงการแก้ไขช่องโหว่การยกระดับสิทธิ์ ที่ใช้ประโยชน์จากช่องโหว่ที่สามารถใช้ร่วมกันกับช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเพื่อเข้าควบคุมระบบที่มีช่องโหว่

2 ช่องโหว่ระดับ Critical, 68 ช่องโหว่ระดับ Important และอีก 1 ช่องโหว่ระดับต่ำ โดย 3 ช่องโหว่ในนี้ถูกระบุว่าเป็นช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะเรียบร้อยแล้ว

ส่วน 4 ช่องโหว่ zero-days มีดังนี้

CVE-2021-40449 (CVSS score: 7.8) - Win32k Elevation of Privilege Vulnerability
CVE-2021-41335 (CVSS score: 7.8) - Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-40469 (CVSS score: 7.2) - Windows DNS Server Remote Code Execution Vulnerability
CVE-2021-41338 (CVSS score: 5.5) - Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

ที่ด้านบนสุดของรายการคือ CVE-2021-40449 ช่องโหว่ use-after-free ในไดรเวอร์เคอร์เนล Win32k ที่ Kaspersky ตรวจพบว่ามีการใช้ในการโจมตีเป็นวงกว้างในช่วงปลายเดือนสิงหาคม และต้นเดือนกันยายน 2564 โดยมุ่งเป้าไปที่บริษัทไอที บริษัทผู้ค้าอาวุธ และหน่วยงานทางการทูต โดย Kaspersky ตั้งชื่อกลุ่มผู้โจมตีว่า "MysterySnail"

"ความคล้ายคลึงกันของโค้ด และการนำ C2 [command-and-control] กลับมาใช้ใหม่ที่เราค้นพบ ทำให้เราสามารถเชื่อมโยงการโจมตีเหล่านี้กับผู้โจมตีที่รู้จักกันในชื่อ IronHusky และ Chinese-speaking APT กิจกรรมดังกล่าวย้อนหลังไปถึงปี 2012" นักวิจัยของ Kaspersky Boris Larin และ Costin Raiu กล่าว

การโจมตีนี้จะนำไปสู่การใช้โทรจันเพื่อการเข้าถึงระยะไกลที่สามารถรวบรวม และขโมยข้อมูลระบบจากเครื่องที่ถูกโจมตีก่อนที่จะพยายามติดต่อไปยังเซิร์ฟเวอร์ C2

ช่องโหว่อื่น ๆ ได้แก่ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 และ CVE-2021-40461), SharePoint Server (CVE-2021-40487 และ CVE- 2021-41344) และ Microsoft Word (CVE-2021-40486) รวมถึงช่องโหว่ที่อาจนำไปสู่การเปิดเผยข้อมูลใน Rich Text Edit Control (CVE-2021-40454)

CVE-2021-26427 ซึ่งมีคะแนน CVSS 9.0 และถูกพบโดย US National Security Agency "เซิร์ฟเวอร์ Exchange เป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮกเกอร์ที่ต้องการเจาะเครือข่ายธุรกิจ" Bharat Jogi จาก Qualys กล่าว

October Patch Tuesday แก้ไขอีกช่องโหว่สองจุดที่พึ่งถูกค้นพบใน Print Spooler CVE-2021-41332 และ CVE-2021-36970 ด้วย

ซอฟต์แวร์แพตช์จากผู้ให้บริการรายอื่น

นอกจากไมโครซอฟต์แล้ว ผู้ให้บริการรายอื่นๆยังได้ออกแพตซ์เพื่อแก้ไขช่องโหว่หลายรายการ ได้แก่

Adobe
Android
Apple
Cisco
Citrix
Intel
Linux distributions Oracle Linux, Red Hat, and SUSE
SAP
Schneider Electric
Siemens, and
VMware

ที่มา: thehackernews.

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

เมื่อวันพฤหัสที่ 10 มิถุนายน 2564 ที่ผ่านมานี้ นักวิจัยได้พบกลุ่มจารกรรมทางไซเบอร์กลุ่มใหม่ ที่อยู่เบื้องหลังปฏิบัติการการโจมตีหน่วยงานทางการทูตและบริษัทโทรคมนาคมในแอฟริกาและตะวันออกกลาง ตั้งแต่ปี 2017 เป็นอย่างน้อย โดยมีชื่อแคมเปญว่า “BackdoorDiplomacy” เป็นการใช้ประโยชน์จากช่องโหว่ที่เปิดเผยทางอินเทอร์เน็ต เช่น เว็บเซิร์ฟเวอร์ เพื่อทำการแฮ็กข้อมูลทางไซเบอร์ต่าง ๆ รวมถึงการทำ Lateral Movement ไปยังเครื่องอื่น ๆ ภายในเครือข่ายเพื่อฝัง backdoor ที่ชื่อว่า “Turian” ที่มีความสามารถในรวมข้อมูลของระบบ จับภาพหน้าจอ ขโมยข้อมูลที่สำคัญ (more…)

เมื่อวันพุธที่ผ่านมา ( 9 มิถุนายน 2564 ) พบฐานข้อมูลบนคลาวด์เป็นข้อมูลที่ถูกขโมยมากว่า 1.2 TB ประกอบไปด้วยข้อมูล cookie และ credentials ที่มาจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows จำนวน 3.2 ล้านเครื่อง จากมัลแวร์ที่ไม่เคยพบมาก่อน ที่เรียกว่า “nameless”

ในบล็อกของ NordLocker บริษัทซอฟต์แวร์เข้ารหัสไฟล์ที่รวมกับที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัสแบบ end-to-end ได้กล่าวไว้ว่า ไวรัสสามารถหลบซ่อนการตรวจจับพร้อมกับข้อมูลที่ขโมยกว่า 6 ล้านไฟล์ ที่ขโมยมาจากเครื่องเดสก์ท็อป และยังสามารถถ่ายภาพผู้ใช้งานได้หากอุปกรณ์นั้นมีเว็บแคม โดยมัลแวร์จะแพร่กระจายผ่านซอฟต์แวร์ Adobe PhotoShop ที่ละเมิดลิขสิทธิ์ เครื่องมือ Crack Windows และเกมส์ละเมิดลิขสิทธิ์ต่าง ๆ ซึ่งกลุ่มแฮ็กเกอร์ได้ทำการเปิดเผยข้อมูลดังกล่าวโดยไม่ได้ตั้งใจและผู้ให้บริการคลาวด์ได้รับแจ้งว่าให้ทำการ take down โฮสต์ดังกล่าวไป ซึ่งข้อมูลที่ถูกขโมยนั้นอยู่ระหว่าง ปี 2018 ถึง 2020 โดยมี cookie กว่า 2 พันล้านรายการ

Sean Nikkel นักวิเคราะห์ภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ได้กล่าวว่า เรายังคงต้องประสบกับปัญหาทางข้อมูลถูกโจมตีหรือรั่วไหล ตราบใดที่ผู้คนไม่ได้ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีทั้งหมด ซึ่งหากบริษัทจัดเก็บข้อมูลไว้บนระบบคลาวด์ จะมีตัวเลือกมากมายสำหรับการรักษาความปลอดภัยบนคลาวด์ และควรจัดหมวดหมู่ของข้อมูลว่าข้อมูลนั้นจำเป็นหรือเป็นข้อมูลที่ไม่ควรเปิดเผย และควรจัดเก็บข้อมูลให้เป็นไปตามการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้เกิดช่องโหว่ต่าง ๆ และอย่างน้อยที่สุด ให้ทำการเข้ารหัสที่ปลอดภัยให้กับข้อมูล และตรวจสอบ หรือทดสอบระบบเป็นระยะ ๆ

Law Floyd ผู้อำนวยการฝ่ายบริการคลาวด์ของ Telos กล่าวเสริมว่า ผู้เชี่ยวชาญด้านความปลอดภัยควรใช้การควบคุมการเข้าถึงที่เข้มงวดกับฐานข้อมูล และตรวจสอบให้แน่ใจว่า port ที่เปิดให้เข้าถึงฐานข้อมูลนั้นเป็น port ที่จำเป็นเท่านั้น และควรสร้าง policy ที่เหมาะสม รวมทั้งตรวจสอบให้แน่ใจว่าบุคลากรได้รับการศึกษาเกี่ยวกับ policy เหล่านี้อย่างเหมาะสม

ที่มา : scmagazine