New Alchimist attack framework targets Windows, macOS, Linux

รูปแบบการโจมตีใหม่ Framework Alchimist มุ่งเป้าไปที่ Windows, macOS, Linux

    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS

    เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน ผู้เชี่ยวชาญของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้

วิธีการสร้างการโจมตี

    Alchimist ช่วยให้ผู้ไม่ประสงค์ดีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่า Payload ที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้ เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT

Command snippets generated directly from the framework (Cisco)

 Payload ของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)

Alchimist's mechanisms for various communication protocols (Cisco)

    C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง

Insekt RAT

เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี

พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:

• Get file sizes รับข้อมูลขนาดไฟล์
• Get OS information. รับข้อมูลระบบปฏิบัติการ
• Run arbitrary commands via cmd.exe or bash. เรียกใช้คำสั่งโดยผ่าน cmd.exe หรือ bash
• Upgrade the current Insekt implant. อัพเกรด Insekt ปัจจุบัน
• Run arbitrary commands as a different user. รันคำสั่งด้วยชื่อผู้ใช้งานที่แตกต่างกัน
• Sleep for periods defined by the C2. ระยะเวลา sleep ที่กำหนดโดยการใช้ C2
• Start/stop taking screenshots. เริ่ม/หยุดการบันทึกภาพหน้าจอ

Running arbitrary commands on Windows and Linux (Cisco)

    นอกจากนี้ Insekt สามารถทำหน้าที่เป็น proxy (โดยใช้ SOCKS5) จัดการคีย์ SSH ทำการ scan port และ IP เขียนหรือแยกไฟล์ zip ไปยังดิสก์ และรัน shell โค้ดบน Host ทางทีม Cisco Talos ได้อธิบายในรายงานเกี่ยวกับ Insekt ใน Linux ว่ายังมีฟังก์ชันสำหรับแสดงรายการเนื้อหาของไดเร็กทอรี “.ssh” ในไดเร็กทอรี “Home” ของเหยื่อ และเพิ่มคีย์ SSH ใหม่ให้กับไฟล์ authorised_Keys” การใช้คุณสมบัตินี้ ทำให้ผู้ไม่ประสงค์ดีสามารถเชื่อมต่อกับเครื่องของเหยื่อจาก C2 ผ่าน SSH Alchimist ยังสามารถส่งคำสั่งที่กำหนดไว้ล่วงหน้าเช่นการสร้างผู้ใช้งานใหม่ ค้นหารายชื่อของผู้ดูแลระบบ เปิดใช้งานเทอร์มินัล และการปิดใช้งาน และการกำหนดค่าไฟร์วอลล์

การโจมตีบน macOS

    เนื่องจาก Insikt ยังไม่สามารถทำงานบน macOS ได้ ดังนั้น Alchimist จึงทดแทนช่องว่างนี้ด้วยการใช้ไฟล์ Mach-O ซึ่งเป็นไฟล์ 64 bit ที่เขียนด้วย GoLang ซึ่งเป็นเครื่องมือสำหรับโจมตีช่องโหว่ CVE-2021-4034 ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ในยูทิลิตี้ pkexec ของ Polkit เพื่อให้การโจมตีสำเร็จ แฮ็กเกอร์จะต้องติดตั้ง utility บนเครื่องเป้าหมายก่อน

Apple Releases Patch for New Actively Exploited iOS and iPadOS Zero-Day Vulnerability

Apple ออก Patch iOS 16.1 และ iPadOS 16 สำหรับแก้ไขช่องโหว่ Zero-Day บน iOS และ iPadOS

Apple ออกอัปเดต Patch iOS 16.1 และ iPadOS 16 เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีขณะนี้ ซึ่งเป็นช่องโหว่บน iOS และ iPadOSโดยช่องโหว่หลักที่กำลังถูกนำไปใช้ในการโจมตีอยู่ในปัจจุบัน เป็นช่องโหว่หมายเลข CVE-2022-42827 ซึ่งเป็นช่องโหว่ที่เกิดจาก Out-of-bounds write บน Kernel ซึ่งเป็นช่องโหว่ที่อาจถูกใช้โดยแอปพลิเคชั่นที่เป็นอันตรายเพื่อสั่งรันโค้ดที่เป็นอันตรายได้

อุปกรณ์ที่ได้รับผลกระทบจะมีตั้งแต่ iPhone 8 หรือสูงกว่า, iPad Pro ทุกรุ่น, iPad Air 3 หรือสูงกว่า, iPad 5 หรือสูงกว่า, และ iPad mini 5 หรือสูงกว่าและในการออกอัปเดต Patch ยังมีการแก้ไขช่องโหว่ Zero-Day ที่เกิดขึ้นตั้งแต่ต้นปีที่ผ่านมาอีก 8 รายการ ดังนี้

CVE-2022-22587 (IOMobileFrameBuffer) – เป็นช่องโหว่ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถรันโค้ดที่เป็นอันตรายได้โดย Kernel privileges

CVE-2022-22594 (WebKit Storage) – เว็บไซต์อาจสามารถเข้าถึงข้อมูลที่มีความสำคัญของผู้ใช้งานได้

CVE-2022-22620 (WebKit) – การประมวลผลเนื้อหาของเว็ปไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการรันโค้ดที่เป็นอันตรายได้

CVE-2022-22674 (Intel Graphics Driver) – ทำให้แอปพลิเคชันสามารถอ่านหน่วยความจำ Kernel ได้

CVE-2022-22675 (AppleAVD) – แอปพลิเคชันอาจสามารถรันโค้ดได้ตามที่ต้องการด้วย Kernel privileges

CVE-2022-32893 (WebKit) – การประมวลผลเนื้อหาของเว็ปไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการรันโค้ดที่เป็นอันตรายได้

CVE-2022-32894 (Kernel) – แอปพลิเคชันอาจสามารถรันโค้ดได้ตามที่ต้องการด้วย Kernel privileges

CVE-2022-32917 (Kernel) – แอปพลิเคชันอาจสามารถรันโค้ดได้ตามที่ต้องการด้วย Kernel privileges

Multiple Campaigns Exploit VMware Vulnerability to Deploy Crypto Miners and Ransomware

 ผู้ไม่ประสงค์ดีทำการโจมตีจากช่องโหว่ของ VMware เพื่อติดตั้ง Crypto Miners และ Ransomware

    ช่องโหว่ของ VMware Workspace ONE Access กำลังถูกใช้ในการโจมตีเพื่อติดตั้ง cryptocurrency miners และ Ransomware

    Cara Lin นักวิจัยของ Fortinet FortiGuard Labs รายงานว่า ผู้ไม่ประสงค์ดีตั้งใจที่จะใช้ทรัพยากรของเหยื่อให้มากที่สุดไม่เพียงแค่ติดตั้ง RAR1Ransom เท่านั้น แต่ยังเพื่อแพร่กระจาย GuardMiner เพื่อทำการขุด Crypto Miners โดยช่องโหว่นี้ติดหมายเลข CVE-2022-22954 (Score CVSS: 9.8) ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งเกิดจาก server-side template injection แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขไปแล้วโดย VMware ในเดือนเมษายน พ.ศ. 2565 แต่ก็ยังมีการพยายามโจมตีอยู่อย่างต่อเนื่อง

    Fortinet ระบุว่าตรวจพบการโจมตีในเดือนสิงหาคม พ.ศ. 2565 ที่เป็นการพยายามโจมตีเพื่อติดตั้ง Mirai botnet บน Linux รวมถึง RAR1Ransom และ GuardMiner ซึ่งเป็นเวอร์ชันหนึ่งของ XMRig Monero miner

Mirai ถูกออกแบบมาเพื่อเปิดใช้การโจมตีแบบ DoS และ brute-force attacks โดยมุ่งเป้าไปที่อุปกรณ์ประเภท IoT การแพร่กระจายของ RAR1Ransom และ GuardMiner โดยใช้ PowerShell หรือเชลล์สคริปต์ขึ้นอยู่กับระบบปฏิบัติการ RAR1ransom จะใช้ประโยชน์จาก WinRAR เพื่อล็อคไฟล์โดยการใส่รหัสผ่าน

    นอกจากนี้ GuardMiner ยังมีความสามารถในการเผยแพร่ไปยังโฮสต์อื่น ๆ โดยใช้ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์อื่น ๆ รวมถึงช่องโหว่ใน Apache Struts, Atlassian Confluence และ Spring Cloud Gateway

Ref: thehackernews.com                   

Researchers Detail Critical RCE Flaw Reported in Popular vm2 JavaScript Sandbox

 

ช่องโหว่ RCE ใน vm2 JavaScript Sandbox

    ช่องโหว่ด้านความปลอดภัยที่ปัจจุบันได้รับการแก้ไขไปแล้วใน vm2 JavaScript (sandbox module) ทำให้ผู้โจมตีสามารถ bypass การป้องกันจาก sandbox และสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่กำลังรัน sandbox ได้

ช่องโหว่มีหมายเลข CVE-2022-36067 ชื่อว่า Sandbreak โดยมีระดับความรุนแรงสูงสุดที่ 10 โดยปัจจุบันได้รับการแก้ไขไปแล้วในเวอร์ชัน 3.9.11 ที่เผยแพร่เมื่อวันที่ 28 สิงหาคม 2022 ทั้งนี้ VM2 เป็น Node library

ที่ค่อนข้างได้รับความนิยม เพื่อใช้ในการเรียกใช้งาน untrusted code ด้วย allowlisted built-in modules นอกจากนี้ยังเป็นหนึ่งในซอฟต์แวร์ที่มีการดาวน์โหลดจำนวนมากที่สุดอีกด้วย โดยมีการดาวน์โหลดเกือบ 3.5 ล้านครั้งต่อสัปดาห์

    Oxeye ผู้ค้นพบช่องโหว่นี้ระบุว่า ช่องโหว่นี้เกิดจากกลไลของ Node.js ที่มีการนำมาใช้เพื่อ bypass ระบบ Sand box ซึ่งหมายความว่าหากสามารถโจมตีช่องโหว่ CVE-2022-36067 ได้สำเร็จ

    อาจทำให้ผู้โจมตี bypass vm2 sandbox และเรียกใช้คำสั่งตามที่ต้องการบนระบบที่โฮสต์ sandbox ได้โดย Sand box system นั้นเป็นระบบที่ออกแบบมาเพื่อเพิ่มความปลอดภัยของระบบ อย่างเช่น ตรวจสอบไฟล์ที่แนบมาผ่าน Email, ตรวจสอบเว็บเบราว์เซอร์ และตรวจสอบการทำงานของ Application ที่ทำงานอยู่ในบางระบบ ซึ่งจะทำให้เป็นอันตรายอย่างมากถ้าผู้ใช้งาน VM2 ที่มี่ช่องโหว่ดังกล่าว และยังไม่ได้อัปเดตแพทช์เป็นปัจจุบัน

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers

 

พบ Backdoors และเครื่องมือสอดแนมที่ถูกสร้างขึ้นเองโดย Polonium Hackers

    กลุ่มผู้ไม่ประสงค์ดีที่ชื่อว่า Polonium ซึ่งเชื่อมโยงกับการโจมตีที่มีเป้าหมายเป็นองค์กรระดับสูงจำนวนมาก และพบว่ามีการใช้ Backdoors ที่ถูกสร้างขึ้นเองกว่า 7 รูปแบบที่แตกต่างกันตั้งแต่เดือนกันยายน 2564

ESET ระบุว่าการโจมตีเหล่านี้มุ่งเป้าไปยังองค์กรในลักษณะต่าง ๆ เช่น วิศวกรรม เทคโนโลยีสารสนเทศ กฎหมาย การสื่อสาร การสร้างแบรนด์ และการตลาด สื่อ การประกันภัย และบริการทางสังคม

    โดย Polonium เป็นชื่อที่เกี่ยวกับองค์ประกอบทางเคมีที่ Microsoft เป็นคนตั้งให้ พฤติกรรมของกลุ่มนี้เกิดขึ้นครั้งแรกเมื่อต้นเดือนมิถุนายน เมื่อ Microsoft ระบุว่าได้ระงับบัญชี OneDrive ที่เป็นอันตรายมากกว่า 20 บัญชีที่ถูกสร้างโดยผู้ไม่ประสงค์ดี เพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2)

    การโจมตีคือการติดตั้ง CreepyDrive และ CreepyBox เพื่อใช้ในการขโมยข้อมูลที่มีความสำคัญออกไปยังบัญชี OneDrive และ Dropbox ที่ถูกควบคุมโดยผู้ไม่ประสงค์ดี และยังพบว่ามีการใช้ backdoor PowerShell ที่มีชื่อว่า CreepySnail การค้นพบล่าสุดของ ESET เกี่ยวกับ backdoor ที่ไม่เคยถูกพบก่อนหน้านี้อีก 5 รายการ ทำให้กลุ่มดังกล่าวน่าสนใจมากขึ้น เนื่องจากมีการพัฒนาปรับแต่ง และปรับปรุงมัลแวร์อย่างต่อเนื่อง

    การเปลี่ยนแปลงมากมายที่ Polonium นํามาใช้ แสดงให้เห็นถึงความพยายามในการสอดแนมเป้าหมายของกลุ่ม" Matías Porolli นักวิจัยของ ESET ระบุ "แต่ดูเหมือนว่ากลุ่มดังกล่าวจะไม่มีการดำเนินการในลักษณะของแรนซัมแวร์" รายการ hacking tools มีดังนี้

• CreepyDrive/CreepyBox - backdoor PowerShell อ่าน และรันคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ใน OneDrive หรือ Dropbox
• CreepySnail - backdoor PowerShell ที่ได้รับคำสั่งจากเซิร์ฟเวอร์ C2 ของผู้ไม่ประสงค์ดี
• DeepCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบัญชี Dropbox และใช้ขโมยข้อมูลออกไป
• MegaCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบริการจัดเก็บข้อมูลบนคลาวด์ขนาดใหญ่
• FlipCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในเซิร์ฟเวอร์ FTP และใช้ขโมยข้อมูลออกไป
• TechnoCreep - backdoor C# ที่ใช้ติดต่อกับเซิร์ฟเวอร์ C2 ผ่าน TCP เพื่อรันคำสั่ง และใช้ขโมยข้อมูลออกไป
• PapaCreep - backdoor C ++ ที่สามารถรับ และรันคำสั่งจากเซิร์ฟเวอร์ภายนอกผ่าน TCP

    PapaCreep ถูกค้นพบเมื่อเดือนกันยายน 2565 เป็นมัลแวร์ที่มีส่วนประกอบ 4 ส่วนที่แตกต่างกันสำหรับการเรียกใช้คำสั่ง และส่งคำสั่ง output รวมทั้งอัปโหลด และดาวน์โหลดไฟล์ ESET ระบุว่า ได้ค้นพบโมดูลอื่น ๆ เช่นการบันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ ถ่ายภาพผ่านเว็บแคม และ reverse shell

  แม้จะมีมัลแวร์จำนวนมากที่ใช้ในการโจมตี แต่ช่องทางที่ใช้ในการเข้าถึงในขั้นตอนแรกยังไม่เป็นที่ทราบแน่ชัด แม้จะมีข้อสงสัยว่าอาจเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ของ VPN "โมดูลที่เป็นอันตรายส่วนใหญ่มีขนาดเล็ก มีฟังก์ชันการทำงานที่จำกัด ผู้ไม่ประสงค์ดีจะแบ่งโค้ด backdoor โดยแบ่งฟังก์ชันการทำงานที่เป็นอันตรายไปยัง DLLs ที่มีขนาดเล็ก โดยคาดหวังว่าการป้องกัน หรือนักวิจัยจะไม่สังเกตเห็นการโจมตีได้ทั้งหมด"

Ref: The Hacker News

New PHP information-stealing malware targets Facebook accounts

Malware ใหม่ที่มีความสามารถในการโจมตีที่ PHP โดยมุ้งเป้าไปที่ บัญชีผู้ใช้งาน Facebook

    การโจมตีแบบ Phishing Ducktail ใหม่กำลังส่ง Malware เพื่อไปขโมยข้อมูล Windows แบบไม่เคยมีมาก่อนซึ่งถูกเขียนด้วย PHP เพื่อการขโมยบัญชี Facebook หรือข้อมูลใน Browser และกระเป๋าเงินแบบ Digital

    การโจมตีด้วย Ducktail พบครั้งแรกโดย ผู้เชี่ยวชาญด้านความปลอดภัย Withsecure ในเดือน กรกฎาคม 2022 โดยการโจมตีนี้ เกี่ยวข้องกับผู้ไม่ประสงค์ดีชาวเวียดนามรูปแบบการโจมตีจะอาศัยการใช้ Social Engineering ผ่านทาง LinkedIn โดยพยายามใช้ Malware .NET Core ปลอมแปลงเอกสาร PDF โดยใส่รายละะเอียดเกี่ยวกับการชำระเงิน เป้าหมายของการโจมตีเป็นผู้ใช้งานที่บันทึกบัญชีและรหัสผ่านไว้บน Browser โดยเน้นไปที่ผู้ใช้งาน Facebook

    Ducktail ได้แทนที่ Malware ที่สำหรับขโมยข้อมูล NET Core รุ่นเก่าที่ใช้ในการโจมตีก่อนหน้านี้ด้วย Malware ที่เขียนด้วย PHP การโจมตีเหล่านี้มักเกี่ยวกับเกมส์ ฟล์คำบรรยาย วิดีโอสำหรับผู้ใหญ่ และ MS Office ที่ Crack เมื่อดำเนินการเสร็จสิ้น การติดตั้งจะเกิดขึ้นในพื้นหลังในขณะที่เหยื่อเห็นป๊อปอัป Malware จะถูกแยกไปยังโฟลเดอร์ %LocalAppData%\Packages\PXT ซึ่งรวมถึงคำสั่ง PHP.exe สคริปต์ต่างๆ ที่ใช้ในการขโมยข้อมูล และเครื่องมือสนับสนุน

    Ducktail จะทำงานตามกำหนดเวลาตามช่วงเวลาปกติ ในเวลาเดียวกัน ไฟล์ TMP ที่สร้างขึ้นจะรันกระบวนการคู่ขนานเพื่อเรียกใช้คอมโพเนนต์

ขอแนะนำให้ผู้ใช้ระวัง Direct Massage บน LinkedIn และคำขอดาวน์โหลดไฟล์ด้วยความระมัดระวังเป็นพิเศษ โดยเฉพาะ Crack Gamemood และ Trainner

Ref: BleepingComputer

Over 45,000 VMware ESXi servers just reached end-of-life

 Ref: Bleepingcomputer

VMware ESXi กว่า 45,000 เครื่อง จะถูกห้ามใช้งานหลังจาก EOL

    เครื่อง Server VMware ESXi กว่า 45,000 เครื่องที่เป็นของทาง Lansweeper ที่ EOL โดยที่ WMware จะถอดการให้บริการออกจากระบบทันทีและจะไม่สนับสนุนในการอัพเดททั้ง Software และ ระบบ Security อีก เว้นแต่ว่าผู้ใช้งานที่ทำการซื้อสัญญาการสนับสนุน

   Lansweeper ทีมพัฒนา asset management and discovery software ได้ออกมาเตือนถึงการยกเลิกให้บริการแบบ Opensource ทันทีสำหรับผู้ใช้งานบนผลิตภัณฑ์ของทางทีมอยู่นั้น หลังจากวันที่ 15 ตุลาคม พ.ศ. 2565 บน VMware ESXi 6.5 และ VMware ESXi 6.7 สิ้นสุดอายุการใช้งานและจะได้รับการสนับสนุนด้านเทคนิคเท่านั้นแต่จะไม่ได้รับการอัปเดตด้านความปลอดภัยอาจจะทำให้ซอฟต์แวร์มีความเสี่ยงต่อช่องโหว่และจากทางทีมพัฒนาทำการคำนวนผู้ใช้งานมีจำนวนถึง 6,000 กว่าราย และพบServer VMware ESXi ที่ติดตั้งแล้ว 79,000 เครื่องจากผลการสำรวจของ Lansweeper เป็นเรื่องน่าตกใจอย่างยิ่งเพราะนอกจาก 57% ที่เข้าสู่ช่วงที่มีความเสี่ยงสูงแล้ว ยังมีการติดตั้งอีก 15.8% ที่ทำงานแม้กระทั่ง Version ที่เก่ากว่า ตั้งแต่ 3.5.0 ถึง 5.5.0 ซึ่งถึงกำหนด EOL เมื่อไม่นานมานี้

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวันที่ EOL ของผลิตภัณฑ์ซอฟต์แวร์ VMware ทั้งหมดสามารถตรวจสอบได้ที่ lifecyclevmware

  เมื่อผลิตภัณฑ์ถึงกำหนดวันที่หมดอายุ ผลิตภัณฑ์จะหยุดรับการอัปเดตความปลอดภัยตามปกติ ซึ่งหมายความว่าผู้ดูแลระบบควรวางแผนล่วงหน้าและอัปเกรดการปรับใช้ทั้งหมดเป็นรุ่นที่ใหม่กว่า แม้ไม่น่าจะเป็นไปได้ที่ VMware จะยังคงออก Patch ความปลอดภัยที่สำคัญสำหรับ Version เก่าเหล่านี้ แต่ก็ไม่รับประกันและอาจจะไม่ปล่อย Patch สำหรับช่องโหว่ใหม่ทั้งหมดที่ถูกค้นพบอย่างแน่นอน

    เมื่อเซิร์ฟเวอร์ ESXi ที่ไม่ได้รับการสนับสนุนทำงานต่อไปเป็นเวลานานโดยไม่มี Patch  เซิร์ฟเวอร์ดังกล่าวจะสะสมช่องโหว่ด้านความปลอดภัยจำนวนมากจนผู้ไม่ประสงค์ดีมีหลายวิธีในการเจาะข้อมูลการโจมตีเซิร์ฟเวอร์อาจทำให้การดำเนินธุรกิจหยุดชะงักอย่างรุนแรงและเป็นวงกว้าง 

    ซึ่งเป็นเหตุให้ Ransomware Gang มุ่งเป้าไปที่การกำหนดเป้าหมาย เช่นตัวอย่างในปีนี้ ESXi VM ตกเป็นเป้าหมายของ Black Basta , RedAlert , GwisinLocker , Hive และ Ransomware Gang ของ Cheers

ไม่นานมานี้ Mandiant ค้นพบว่าผู้ไม่ประสงค์ดีพบ  วิธีการใหม่ ในการ  สร้างความคงอยู่ของไฮเปอร์ไวเซอร์ VMware ESXi ที่ช่วยให้พวกเขาสามารถควบคุมเซิร์ฟเวอร์และโฮสต์ VM โดยไม่ถูกตรวจจับ

    จากทั้งหมดที่กล่าวมา ESXi ได้รับความสนใจอย่างมากจากผู้คุกคาม ดังนั้นการใช้ซอฟต์แวร์ Version ที่ล้าสมัยและมีช่องโหว่ย่อมเป็นความคิดที่แย่มากอย่างไม่ต้องสงสัย

แก้ปัญหา เปิดไฟล์ Lightroom ด้วย Windows Photo ไม่ได้ Play High Efficiency Video Coding (HEVC)

 พอดี Export File จาก Lightroom ลงเครื่อง แล้ว ใช้ Windows Photo เปิดไฟล์ไม่ได้ (มีหน้าจอแจ้งบอกว่า ให้ซื้อ Extension, แต่อ่าน Review ไม่กล้าซื้อ) เลยลองหาข้อมูลเพิ่มไปเรื่อย ๆ ประมาณว่า จะพบปัญหานี้ ด้วยเช่นกัน หาต้องการเปิดวิดีโอที่ถ่ายจาก iPhone

หาข้อมูลเพิ่มไปเรื่อย ๆ จนพบว่ามี Extension ตัวนี้ (ฟรี) ทดสอบติดตั้ง แล้วสามารถใช้งานได้

HEVC Video Extensions from Device Manufacturer

https://apps.microsoft.com/store/detail/hevc-video-extensions-from-device-manufacturer/9N4WGH0Z6VHQ?hl=en-us&gl=us

ลองดูกันได้ครับ

Caffeine service lets anyone launch Microsoft 365 phishing attacks

Caffeine ผู้ให้บริการ Phishing Platform Phishing-as-a-service (PhaaS)

    Platform Phishing-as-a-service (PhaaS) ที่มีชื่อว่า Caffeine เป็นบริการในการให้เหล่าผู้ไม่ประสงค์ดีใช้บริการในการส่ง Phishingด้วยการลงทะเบียนและทำการช่วยบริจาคให้กับผู้ให้บริการ Platform และสามารถเข้าใช้บริการในการส่ง Phishing ในรูปแบบของตนเองได้

    Caffeine จะไม่เปิดเผยตัวตนออกมาภายนอกแต่อย่างใดเหล่าผู้ไม่ประสงค์ดีจะต้องไปค้นหาด้วยตนเองและทำการลงทะเบียนและบริจาคให้กับผู้ให้บริการ ด้วยเหตุนี้จึงทำให้ทางเหล่านักตรวจหาไม่สามารถหาต้นทางได้ง่าย ลักษณะเด่นอีกประการหนึ่งของ Platform นี้กำหนดเป้าหมายไปยังแพลตฟอร์มรัสเซียและจีน ในขณะที่แพลตฟอร์ม PhaaS ส่วนใหญ่มักจะเน้นที่การหลอกลวงสำหรับบริการของตะวันตก Mandiant ค้นพบและทดสอบอย่างละเอียดถี่ถ้วน และในวันนี้รายงานว่ามันเป็น PhaaS ที่มีฟีเจอร์มากมายที่น่ากังวล

    บริษัทรักษาความปลอดภัยทางไซเบอร์รายแรกพบหลังจากตรวจสอบ Platform ขนาดใหญ่ที่ดำเนินการผ่านบริการโดยกำหนดเป้าหมายเป็นหนึ่งในลูกค้าของ Mandiant เพื่อขโมยข้อมูลประจำตัวของบัญชี Microsoft 365 Caffeine จำเป็นต้องมีการสร้างบัญชี หลังจากนั้นผู้ไม่ประสงค์ดีจะสามารถเข้าถึง "Dashboard" ได้ทันที ซึ่งประกอบด้วยเครื่องมือสร้างฟิชชิ่งและแดชบอร์ดภาพรวม

  ขั้นต่อไป ต้องซื้อใบอนุญาตการสมัครสมาชิก ซึ่งมีค่าใช้จ่าย 250 ดอลลาร์ต่อเดือน 450 ดอลลาร์สำหรับสามเดือน หรือ 850 ดอลลาร์สำหรับหกเดือน ขึ้นอยู่กับการจ่ายของผู้จะใช้บริการ

  นั่นคือประมาณ 3-5 เท่าของค่าสมัครสมาชิก PhaaS ทั่วไป และผู้ให้บริการพยายามชดเชยโดยเสนอระบบป้องกันการตรวจจับและป้องกันการวิเคราะห์ และบริการสนับสนุนลูกค้า

คุณลักษณะขั้นสูงบางอย่างที่แพลตฟอร์มนำเสนอ ได้แก่:

• กลไกในการปรับ URL แบบไดนามิกเพื่อช่วยในการสร้างหน้าเว็บที่มีการเติมข้อมูลเฉพาะเหยื่อล่วงหน้าแบบไดนามิก
• หน้าเปลี่ยนเส้นทางการโจมตี
• ตัวเลือกรายการบล็อก IP สำหรับการบล็อกทางภูมิศาสตร์ การบล็อกตามช่วง CIDR ฯลฯ

   หลังจากตั้งค่าพารามิเตอร์หลักแล้ว ผู้ปฏิบัติงานจะต้องปรับใช้ฟิชชิ่ง ซึ่งปัจจุบันอยู่ที่หน้าเข้าสู่ระบบ Microsoft 365 จากนั้นเลือกเทมเพลตฟิชชิ่ง

   แพลตฟอร์มนี้ยังช่วยให้ผู้ให้บริการสามารถใช้การจัดการอีเมล Python หรือ PHP ของตนเองเพื่อส่งอีเมลฟิชชิ่งไปยังเป้าหมายได้ช่วยลดความจำเป็นในการใช้เครื่องมือภายนอก

   Caffeine จึงเป็นอีกทางเลือกหนึ่งที่เพิ่มเข้ามาในตัวเลือกที่มีให้สำหรับอาชญากรไซเบอร์ที่มีทักษะต่ำในการค้นหาแพลตฟอร์มอัตโนมัติซึ่งอาจกลายเป็นปัญหาใหญ่ได้หากมีการเพิ่มเทมเพลตลงในคอลเลกชั่น

Reff: bleepingcomputer

Fortinet says critical auth bypass bug is exploited in attacks

Fortinet เตือนผู้ใช้งาน(ผู้ดูแลระบบ) แก้ไขช่องโหว่ ที่สามารถหลีกเลี่ยงการผ่านการตรวจสอบสิทธิ์ ในทันที

    ทาง Fortinet ได้ยืนยันช่องโหว่ในด้านความปอลดภัยที่ สามารถ หลีกเลี่ยงการตรวจสอบสิทธิ์การเข้าถึงระบบ ว่ามีการถูกใช้เป็นช่องทางในการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี

    ข้อบกพร่องด้าวความปลอดภัย CVE-2022-40684 ที่เป็นช่องโหว่ด้านความปลอดภัย ที่สามารถหลีกเลี่ยงการตรวจสิทธิ์ความถูกต้องในการเข้าถึงด้วยสิทธิ์ของผู้ดูแล จากผู้ไม่ประสงค์ดีใช้งาน ควบคุม Remote จากระยะไกลทำให้สามารถเข้าถึงระบบ Firewall ของ FortiGate, Fortiproxy และ FortiSwitch Manager

    "การเลี่ยงผ่านการตรวจสอบสิทธิ์โดยใช้เส้นทางอื่นหรือช่องโหว่ของช่อง [CWE-288] ใน FortiOS, FortiProxy และ FortiSwitchManager อาจอนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับอนุญาตดำเนินการบนอินเทอร์เฟซการดูแลระบบผ่านคำขอ HTTP หรือ HTTPS ที่สร้างขึ้นเป็นพิเศษ" Fortinet กล่าวและให้ำทำการตรวจสอบในบันทึกอุปกรณ์ของคุณ

ผลิตภัณฑ์ที่มีช่องโหว่ของ Fortinet ที่อาจจะโดนโจมตีมีรายการดังนี้

• FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
• FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
• FortiSwitchManager : 7.2.0, 7.0.0

ทาง Fortinet เน้นย้ำให้ผู้ใช้งานทำการอัพเดท Patch ความปลอดภัยเป็น

• FortiOS 7.0.7 หรือ 7.2.2 หรือ ใหม่กว่า
• FortiProxy 7.0.7 หรือ 7.2.1 หรือใหม่กว่า
• FortiSwitchManager 7.2.1 หรือใหม่กว่า

    ผู้เชี่ยวชาญด้านความปลอดภัยของ Horizon3 Attack ได้พัฒนาโค้ดที่ใช้ช่องโหว่ดังกล่าวเป็นแนวทาง PoCด้วยการค้นหาผ่านทาง Shodan สามารถเข้าถึง Firewall ของ FortiGate ได้มากกกว่า 140,000 เครื่องบน Internet และมีโอกาศถูกโจมตีหาก User Interface ถูกเปิดเผยด้วย

    หากต้องการป้องกันการโจมตีจากผู้ไม่ประสงค์ดีจากระยะไกลไม่ให้ข้ามการตรวจสอบสิทธิ์และการเข้าสู่ระบบอุปกรณ์ที่มีช่องโหว่ ผู้ดูแลระบบควรปิดใช้งานอินเทอร์เฟซการดูแลระบบ HTTP/HTTPS หรือจำกัดที่อยู่ IP ที่สามารถเข้าถึงอินเทอร์เฟซการดูแลระบบ

  โดยใช้ Local in Policy ข้อมูลโดยละเอียดเกี่ยวกับวิธีปิดใช้งานอินเทอร์เฟซผู้ดูแลระบบที่มีช่องโหว่สำหรับ FortiOS, FortiProxy และ FortiSwitchManager หรือจำกัดการเข้าถึงตามที่อยู่ IP สามารถพบได้ในคำแนะนำ Fortinet PSIRT

Hundreds of Microsoft SQL servers backdoored with new malware

 

พบเซิร์ฟเวอร์ Microsoft SQL โดนโจมตีด้วย “Maggie Malware” นับหลายร้อยเครื่อง

    เซิร์ฟเวอร์ Microsoft SQL หลายร้อยแห่งทั่วโลกติด Malware ใหม่ โดยผู้เชี่ยวชาญด้านความปลอดภัย Johann Aydinbas และ Axel Wauer จาก DCSO CyTec ได้พบ Malware ตัวใหม่ที่ใช้ชื่อ Maggie ซึ่งได้พบว่ามีเซิร์ฟเวอร์ Microsoft SQL ติด Malware นี้ไปแล้วกว่า 250 เซิร์ฟเวอร์ทั่วโลก ซึ่งส่วนใหญ่อยู่ในเกาหลีใต้ อินเดีย เวียดนาม จีนรัสเซีย ไทย เยอรมนี และสหรัฐอเมริกา

    โดย Malware นี้จะมาในรูปแบบของ “Extended Stored Procedure” ซึ่งเป็นขั้นตอนการจัดเก็บที่เรียกใช้ฟังก์ชันจากไฟล์ DLL(“ sqlmaggieAntiVirus_64.dll ”) เมื่อโหลดเข้าสู่เซิร์ฟเวอร์ ผู้โจมตีจะสามารถควบคุมได้โดยใช้คำสั่ง SQL และมีฟังก์ชันการทำงานที่หลากหลายเพื่อเรียกใช้คำสั่งและโต้ตอบกับไฟล์ และ Backdoor ยังสามารถบังคับให้ล็อกอินเข้าสู่เซิร์ฟเวอร์ MSSQL อื่น ๆ เพื่อเพิ่ม Backdoor ฮาร์ดโค้ดพิเศษ

    นอกจากนี้ Backdoor ยังมีความสามารถในการบังคับให้เข้าสู่ระบบเซิร์ฟเวอร์ MS SQL อื่น ๆ ในขณะที่เพิ่มผู้ใช้Backdoor แบบฮาร์ดโค้ดพิเศษในกรณีที่การเข้าสู่ระบบ ของผู้ดูแลระบบที่ bruteforce ได้สำเร็จ จากการค้นพบนี้ ระบุเซิร์ฟเวอร์กว่า 250เซิร์ฟเวอร์ ที่ได้รับผลกระทบทั่วโลก โดยเน้นที่ภูมิภาคเอเชียแปซิฟิกอย่างชัดเจน และ Maggie Malware รองรับคำสั่งได้มากกว่า 51 คำสั่ง

    เพื่อรวบรวมข้อมูลระบบและเรียกใช้โปรแกรม นอกจากนี้ยังสามารถรองรับฟังก์ชันที่เกี่ยวข้องกับเครือข่าย เช่น การเปิดใช้งาน TermService การเรียกใช้พร็อกซีเซิร์ฟเวอร์ Socks5

    หรือการตั้งค่าการส่งต่อพอร์ตเพื่อให้ Maggie ทำหน้าที่เป็นบริดจ์เฮดในเซิร์ฟเวอร์สภาพแวดล้อมเครือข่าย ทั้งนี้ ในขณะนี้ยังคงไม่ทราบรายละเอียดหลังจากที่ถูกโจมตีด้วย Maggie แล้วจะส่งผลอย่างไร การฝัง Malware ในเซิร์ฟเวอร์ และใครอยู่เบื้องหลังการโจมตีเหล่านี้

Ref : bleepingcomputer

Hackers use PowerPoint files for 'mouseover' malware delivery

พบกลุ่มผู้ไม่ประสงค์ดีใช้ PowerPoint ในการโจมตีแบบ mouseover เพื่อติดตั้ง Malware

    ผู้เชี่ยวชาญด้านความปลอดภัยจาก Cluster25 รายงานถึงการโจมตีจากกลุ่ม APT28 (หรือ 'Fancy Bear') ซึ่งเป็นกลุ่มผู้ไม่ประสงค์ดีจาก Russian GRU (Main Intelligence Directorate of the Russian General Staff)

    ใช้เทคนิคการรันโค้ดโดยอาศัยการเคลื่อนไหวของเมาส์บน Slide Present ใน Microsoft PowerPoint เพื่อเรียกใช้สคริปต์ PowerShell ในการส่ง Malwaer ที่มีชื่อว่า Graphite ซึ่งไฟล์ Microsoft PowerPoint ที่ใช้โจมตีประกอบไปด้วยสองสไลด์ ทั้งสองสไลด์มีคำแนะนำเป็นภาษาอังกฤษ และฝรั่งเศสสำหรับใช้งานการประชุมทางวิดีโอของ Zoom โดยมี Hyper Link ที่ทำหน้าที่เป็น Trigger สำหรับการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตรายผ่านยูทิลิตี้ SyncAppvPublishingServer

ลักษณะการทำงาน

• เมื่อเป้าหมายเปิดเอกสาร Microsoft PowerPoint ในโหมด Presentation และวางเมาส์บนไฮเปอร์ลิงก์สคริปต์ PowerShell ที่เป็นอันตรายจะทำงาน โดยดาวน์โหลดไฟล์ JPEG (“DSC0002.jpeg”) จากบัญชี Microsoft OneDrive

• ในไฟล์ JPEG เป็นไฟล์ DLL (lmapi2.dll) ที่เข้ารหัส ในแต่ละไฟล์สตริงในที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วจะถูกวางไว้ในไดเร็กทอรี 'C:\ProgramData\' ซึ่งจะถูก Execute ในภายหลังผ่าน rundll32.exe นอกจากนี้ยังมีการสร้าง Registry เพื่อให้ตัวมันสามารถแฝงตัวอยู่บนระบบได้อีกด้วย
• ต่อมา lmapi2.dll จะดึงข้อมูล และถอดรหัสไฟล์ JPEG ไฟล์ที่สอง ซึ่งแต่ละไฟล์ที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วมันจะถูกโหลดลงใน Memory ของระบบในส่วนของ Thread (หน่วยการทำงานย่อยที่อยู่ใน Process) ใหม่ที่ถูกสร้างโดย DLL ก่อนหน้านี้ ผลลัพธ์ที่ได้คือมัลแวร์ Graphite ในรูปแบบ portable executable (PE)
• เมื่อมันแวร์ถูกติดตั้งสำเร็จ มันจะใช้ Microsoft Graph API และ OneDrive เพื่อสื่อสารกับ C2 Server นอกจากนี้ผู้โจมตียังเข้าถึง Service โดยใช้ Fix Client ID เพื่อรับโทเค็น OAuth2
• ด้วยโทเค็น OAuth2 ที่ได้รับมา มัลแวร์จะทำการ Query Microsoft Graph APIs โดยวิธีการการแจกแจงไฟล์ย่อยที่อยู่ใน Subdirectory ของ OneDrive

    จุดประสงค์ของมัลแวร์ Graphite คือการอนุญาตให้ผู้โจมตีโหลดมัลแวร์อื่น ๆ ลงใน Memory ของระบบ โดยใช้ประโยชน์จาก Microsoft Graph API เพื่อใช้ OneDrive เป็น C2 Server

Ref : BleepingComputer

Okta: Credential stuffing accounts for 34% of all login attempts

   Okta ระบุพบการพยายามโจมตีด้วยวิธีการ Credential stuffing กับบัญชีผู้ใช้งานกว่า 34% ของการเข้าใช้งานทั้งหมดการโจมตีในรูปแบบ Credential stuffing ถูกพบเพิ่มขึ้นเป็นจำนวนมากในช่วงไตรมาสแรกของปี 2565 ซึ่งปริมาณการพยายามเข้าใช้งานบัญชีในลักษณะดังกล่าวแซงหน้าการพยายามเข้าสู่ระบบตามปกติจากผู้ใช้งานทั่วไปในบางประเทศการโจมตีประเภทนี้เป็นการใช้ประโยชน์จากรหัสผ่านที่รั่วไหลออกมาจากบริการต่าง ๆ ก่อนหน้านี้ เพื่อพยายามเข้าสู่ระบบในบริการอื่น ๆ ที่ผู้ใช้งานอาจใช้ login name และ password เดียวกัน

    รายงานจาก FBI เมื่อเร็ว ๆ นี้พบว่า การโจมตีลักษณะนี้มีจำนวนเพิ่มขึ้นเนื่องจากปริมาณข้อมูลบัญชีผู้ใช้งานจากระบบต่าง ๆ ที่รั่วไหลมากขึ้นและเครื่องมือของแฮ็กเกอร์ที่สามารถนำบัญชีเหล่านั้นนำมาใช้ทดสอบกับเว็บไซต์ต่าง ๆ ได้ง่ายขึ้น

    Okta รายงานว่าพบพฤติกรรมการพยายามเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้งบนแพลตฟอร์มของพวกเขาในช่วง 3 เดือนแรกของปี 2022 โดยคิดเป็นประมาณ 34% ของการเข้าใช้งานทั้งหมด ซึ่งหมายความว่าหนึ่งในสามของความพยายามเข้าสู่ระบบเป็นพฤติกรรมที่เป็นอันตรายเนื่องจากการโจมตีส่วนใหญ่เป็นการพยายามสุ่มใช้ข้อมูลส่วนตัวจำนวนมากในระยะเวลาอันสั้น แพลตฟอร์มที่ถูกโจมตีจะมีปริมาณของการใช้งานเพิ่มขึ้นอย่างรวดเร็วถึงสิบเท่าตัวอย่างในรายงานของ Okta คือการโจมตีอย่างต่อเนื่องเกือบสองเดือน จนสิ้นสุดในเดือนมกราคม 2022

    Okta รายงานว่าส่วนใหญ่ความพยายามจะมุ่งเป้าไปที่บัญชีของบริษัทประเภท ค้าปลีก, eCommerce นอกจากนี้ยังมีบัญชีของบริษัทที่เกี่ยวข้องกับการศึกษาพลังงาน บริการทางการเงิน และซอฟต์แวร์

    ตัวอย่างล่าสุดของการโจมตีด้วยวิธี credential stuffing บนแพลตฟอร์ม e-commerce กับลูกค้าของ North Face ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของผู้ใช้ได้ประมาณ 200,000 บัญชีการป้องกันการโจมตีด้วยวิธี credential stuffing เป็นความรับผิดชอบหลักของแพลตฟอร์มต่าง ๆ ที่ควรใช้การตรวจสอบในเชิงรุก เช่น การแบนบัญชีผู้ใช้งานชั่วคราวสำหรับบัญชีที่น่าสงสัยส่วนในฝั่งของผู้ใช้งาน ควรเปิดการใช้งาน multi-factor authentication และการตั้งค่ารหัสผ่านที่รัดกุม และไม่ซ้ำกันสำหรับบัญชีออนไลน์ทั้งหมดซึ่งส่วนใหญ่สามารถป้องกันได้เพียงพอต่อการโจมตีด้วยวิธีนี้

Credential stuffing accounts for 34% of all login attempts

Microsoft confirms new Exchange zero-days are used in attacks

Microsoft ยืนยันพบ Exchange Zero-days ชนิดใหม่ออกอาละวาด

มีการออกมายืนยันจากทาง Microsoft แล้วว่า ตรวจพบ Zero-Days ที่เป้าหมายการโจมตีเป็น 

Microsoft Exchange Server 2013, 2016 และ 2019 ถึง 2 ช่องโหว่

• ช่องโหว่ที่ 1 ถูกระบุให้เป็น CVE-2022-41040 เป็นช่องโหว่บน Server-Side Request Forgery (SSRF)
• ช่องโหว่ที่ 2 ถูกระบุให้เป็น CVE-2022-41082 เป็นช่องโหว่ที่อนุญาตให้มีการเรียกรันคำสั่งจากระยะไกล เมื่อ PowerShell จากผู้ไม่ประสงค์ดีทาง

    Microsoft ยังกล่าวเสริมอีกว่าช่องโหว่ CVE-2022-41040 สามารถโจมตีได้ก็ต่อเมื่อมีการยืนยันสิทธิ์ในการเข้าถึงจากผู้ดูแลระบบเท่านั้นถึงจะเข้าใช้งานได้และในช่วงเวลานี้ขอยืนยันว่าทางผู้ใช้งานไม่ต้องทำการอันใดกับ Server เนื่องจากทาง Microsoft เองได้ดำเนินการหาทางแก้ไขและค่อยตรวจสอบตลอดเวลาและจะดำเนินการช่วยเหลือในกรณีที่เกิดเหตุขึ้นให้ได้มากที่สุด

  ตามรายงานที่พบของ GTSC หน่วยงานรักษาความปลอดภัยทางไซเบอร์ของประเทศเวียดนามตกเป็นเป้าหมายรายแรกของการโจมตีดังกล่าวโดยที่ Zero-Days นั้นแฝงใว้กับเว็บเชลล์ของจีน Chopper เพื่อการตรวจสอบเฝ้าสังเกตุพฤติกรรมของผู้ใช้จากผู้ไม่ประสงค์ดีโดยที่ GTSC ยังสันนิฐานว่าการโจมตีครั้งนี้มาจากประเทศจีนเพราะด้วยการเข้าระบบล็อกอินของ WebShell เป็นการใช้งานด้วย รูปแบบชุดอักษรจากทาง Microsoft ภาษาจีนโดยที่กลุ่มผู้ไม่ประสงค์ดีกลุ่มนี้ใช้งาน Open Source Antsword Chinese

   ทาง GTSC ได้รายงานข้อบกพร่องทั้งสองช่องให้ทาง Microsoft ผ่านทาง Zero Day Initiative โดยที่ผู้ใช้งาน Microsoft Exchangeในองค์กรของผู้ใช้ควรตรวจสอบและป้องกันการใช้งานตามคำแนะนำของทาง Microsoft ดังนี้

• 1. Open the IIS Manager.
• 2. Expand the Default Web Site.
• 3. Select Autodiscover.
• 4. In the Feature View, click URL Rewrite.
• 5.In the Actions pane on the right-hand side, click Add Rules.
• 6.Select Request Blocking and click OK.
• 7. Add String “.*autodiscover\.json.*\@.*Powershell.*” (excluding quotes) and click OK.
• 8. Expand the rule and select the rule with the Pattern ".*autodiscover\.json.*\@.*Powershell.*" and click Edit under Conditions.
• 9. Change the condition input from {URL} to {REQUEST_URI}

และยังแนะนำให้ดำเนินการ ปิด Port ที่ใช้งาน Remote PowerShell ระยะไกลเพื่อป้องกันการโจมตีที่

• HTTP: 5985
• HTPPS: 5986

และให้ดำเนินการตรวจสอบ Exchange Server ของผู้ใช้งานตรวจสอบ Server ของตนเองโดยใช้คำสั่ง

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Ref: bleepingcomputer