แฮ็กเกอร์กลุ่ม Lazarus ใช้ช่องโหว่ ManageEngine เพื่อโจมตีองค์กรเป้าหมาย

กลุ่มแฮ็กเกอร์ Lazarus ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical (CVE-2022-47966) ใน ManageEngine ServiceDesk ของ Zoho เพื่อโจมตีผู้ให้บริการอินเทอร์เน็ต และองค์กรด้านการดูแลสุขภาพ

แคมเปญดังกล่าวเริ่มขึ้นเมื่อต้นปี 2023 และมุ่งเป้าไปที่การโจมตีหน่วยงานในสหรัฐอเมริกา และสหราชอาณาจักรเพื่อติดตั้งมัลแวร์ QuiteRAT และโทรจันที่ใช้ในการเข้าถึงจากระยะไกล (RAT) ตัวใหม่ ซึ่งนักวิจัยเรียกว่า CollectionRAT โดยได้รับความสนใจภายหลังจากที่นักวิจัยวิเคราะห์โครงสร้างพื้นฐานที่ถูกใช้แคมเปญการโจมตีนี้ ซึ่งผู้โจมตีเคยใช้สำหรับการโจมตีอื่น ๆ เช่นกัน

การโจมตีบริษัทอินเทอร์เน็ต

นักวิจัยของ Cisco Talos พบว่ากลุ่ม Lazarus ประสบความสำเร็จในการโจมตีผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรในช่วงต้นปี 2023 โดยใช้ประโยชน์จากช่องโหว่ CVE-2022-47966 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบต่อผลิตภัณฑ์ Zoho ManageEngine หลายรายการ

นักวิเคราะห์รายงานว่า Lazarus เริ่มใช้ช่องโหว่นี้เพียงห้าวันหลังจากที่มีการเปิดเผย Exploit ออกสู่สาธารณะ โดยพบแฮ็กเกอร์หลายรายใช้ประโยชน์จากช่องโหว่ดังกล่าวเช่นกัน จากรายงานที่ Rapid7, Shadowserver และ GreyNoise ตรวจพบ ทำให้ CISA ออกคำเตือนไปยังองค์กรต่าง ๆ ภายหลังจากการโจมตีสำเร็จ กลุ่ม Lazarus จะติดตั้งมัลแวร์ QuiteRAT จาก URL ภายนอกโดยใช้คำสั่ง curl

QuiteRAT ถูกพบในเดือนกุมภาพันธ์ 2023 ถูกระบุว่าเป็นโทรจันที่ใช้ในการเข้าถึงจากระยะไกลที่เรียบง่าย แต่ทรงประสิทธิภาพ ซึ่งดูเหมือนจะพัฒนาขึ้นมาจาก MagicRAT ซึ่งเป็นที่รู้จักกันดี โดยในช่วงครึ่งหลังของปี 2022 พบการกำหนดเป้าหมายไปยังผู้ให้บริการด้านพลังงานในสหรัฐอเมริกา, แคนาดา และญี่ปุ่น

มัลแวร์ Lazarus ตัวใหม่

ในรายงานฉบับอื่นของวันนี้ Cisco Talos ระบุว่า กลุ่ม Lazarus มีมัลแวร์ใหม่ที่ชื่อว่า collectionRAT โดยมัลแวร์ตัวนี้ถูกค้นพบภายหลังจากที่นักวิจัยได้ตรวจสอบโครงสร้างพื้นฐานที่แฮ็กเกอร์ใช้ในการโจมตีอื่น ๆ ซึ่งนักวิจัยระบุว่า CollectionRAT ดูเหมือนจะเกี่ยวข้องกับมัลแวร์ในตระกูล "EarlyRAT"

เมื่อต้นปีที่ผ่านมา Kaspersky ได้เชื่อมโยงความเกี่ยวข้องระหว่าง EarlyRAT กับ Andariel ("Stonefly") ซึ่งเชื่อกันว่าเป็นกลุ่มย่อยภายในทีมของ Lazarus ซึ่งความสามารถของ CollectionRAT ได้แก่ การดำเนินการคำสั่งตามผู้ใช้งาน, การจัดการไฟล์, การรวบรวมข้อมูลระบบ, การดึงข้อมูล และการสร้างเพย์โหลดใหม่ รวมถึงการลบตัวเองออกจากระบบ

องค์ประกอบที่น่าสนใจอีกประการหนึ่งใน CollectionRAT คือการรวมตัวกันของเฟรมเวิร์ก Microsoft Foundation Class (MFC) ซึ่งช่วยให้สามารถถอดรหัส และรันโค้ดได้ทันที, การหลีกเลี่ยงการตรวจจับ และขัดขวางการวิเคราะห์

สัญญาณเพิ่มเติมของวิวัฒนาการในกลยุทธ์ เทคนิค และขั้นตอนของกลุ่ม Lazarus ที่ Cisco Talos พบได้แก่ การใช้เครื่องมือ และเฟรมเวิร์กโอเพ่นซอร์ส เช่น Mimikatz สำหรับการขโมยข้อมูลประจำตัว, PuTTY Link (Plink) สำหรับการสร้าง remote tunneling และ DeimosC2 สำหรับ C2 Server โดยวิธีการเหล่านี้ช่วยให้ Lazarus แทบไม่ทิ้งร่องรอยการโจมตี จึงทำให้การติดตาม และการป้องกันทำได้ยากมากขึ้น

ที่มา: bleepingcomputer

นักวิจัยพบ Hacker มุ่งเป้าหมายการโจมตีไปยังช่องโหว่ผลิตภัณฑ์ Zoho ManageEngine

นักวิจัยพบ Hacker มุ่งเป้าหมายการโจมตีไปยังช่องโหว่ผลิตภัณฑ์ Zoho ManageEngine

นักวิจัยจาก Bitdefender บริษัทด้านความปลอดภัยไซเบอร์ได้เผยแพร่รายงานการพบกลุ่ม Hacker มุ่งเป้าหมายการโจมตีไปยังช่องโหว่ของผลิตภัณฑ์ Zoho ManageEngine (CVE-2022-47966)

โดยช่องโหว่มีหมายเลข CVE-2022-47966 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ที่สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) และสามารถเข้าถึงระบบได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Zoho ManageEngine ต่าง ๆ มากมาย เช่น Access Manager Plus, ADManager Plus, ADSelfService Plus, Password Manager Pro, Remote Access Plus และ Remote Monitoring and Management (RMM) ซึ่งปัจจุบันได้มีการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว

โดยนักวิจัยระบุว่า เริ่มพบเห็นการโจมตีภายหลังจากที่ Horizon3.ai ได้ปล่อย proof-of-concept (PoC) ซึ่งเป็นตัวอย่างในการโจมตีออกมา ซึ่งคาดว่า Hacker ได้เริ่มโจมตีเป้าหมายด้วยช่องโหว่ดังกล่าวเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล และหลบเลี่ยงการตรวจสอบจาก XML signature และ Apache Santuario เพื่อทำการติดตั้ง Netcat และ Cobalt Strike Beacon บนเครื่องเหยื่อ รวมไปถึง AnyDesk เพื่อดาวน์โหลดเพย์โหลดอันตราย เช่น Buhti Ransomware เพื่อเข้ารหัสอุปกรณ์ในเครือข่ายของเหยื่อต่อไป

อีกทั้งยังพบว่ากลุ่ม Hacker ที่ใช้ช่องโหว่ดังกล่าวในการโจมตี มีลักษณะของการกำหนดกลุ่มเป้าหมายในการโจมตี ซึ่งสังเกตุจากลักษณะการโจมตี ที่จะใช้ช่องโหว่ดังกล่าวในการเป็นจุดเริ่มต้นของการเข้าถึงระบบของเหยื่อ หลังจากนั้นจะเริ่มทำการโจมตีตามโหลดเพย์ต่อไป โดยพบว่าเป้าหมายที่ถูกโจมตีส่วนใหญ่อยู่ในออสเตรเลีย แคนาดา อิตาลี เม็กซิโก เนเธอร์แลนด์ ไนจีเรีย ยูเครน สหราชอาณาจักร และสหรัฐอเมริกา

 

ที่มา : thehackernews.

Fortinet and Zoho Urge Customers to Patch Enterprise Software Vulnerabilities

Fortinet และ Zoho ManageEngine ประกาศแจ้งเตือนช่องโหว่ใหม่ แนะนำให้รีบอัปเดตโดยด่วน

ช่องโหว่ FortiADC

Fortinet ประกาศการพบช่องโหว่ใหม่ใน FortiADC (Application Delivery Controller) หมายเลข CVE-2022-39947 (คะแนน CVSS: 8.6 ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ของคำสั่ง OS ใน FortiADC ที่ทำให้ผู้โจมตีที่สามารถเข้าถึง web GUI สามารถสั่งรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5
ทาง Fortinet แนะนำให้ผู้ใช้อัปเกรดเป็น FortiADC เวอร์ชัน 6.2.4 และ 7.0.2 เพื่อปิดช่องโหว่โดยด่วน

ช่องโหว่ ManageEngine

Zoho ManageEngine ได้ประกาศการพบช่องโหว่ใหม่ใน Password Manager Pro, PAM360 และ Access Manager Plus หมายเลข CVE-2022-47523 (ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า
ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
ManageEngine Access Manager Plus เวอร์ชัน 4308หรือต่ำกว่า
โดยทาง Zoho ManageEngine แนะนำให้ผู้ใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่รีบอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews.