ผู้ไม่ประสงค์ดีใช้ช่องโหว่ใน PHP เพื่อฝัง Backdoor ในระบบ Windows ด้วย New Malware

    ผู้ไม่ประสงค์ดีที่ไม่ทราบชื่อได้ใช้ Backdor ที่เพิ่งค้นพบชื่อ Msupedge ในระบบ Windows ของมหาวิทยาลัยแห่งหนึ่งในไต้หวัน โดยคาดว่าใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดระยะไกลของ PHP ที่เพิ่งได้รับการแก้ไข (CVE-2024-4577)

    CVE-2024-4577 เป็นช่องโหว่การฉีดอาร์กิวเมนต์ใน PHP-CGI ที่สำคัญ ซึ่งได้รับการแก้ไขในเดือนมิถุนายน ช่องโหว่นี้ส่งผลกระทบต่อการติดตั้ง PHP บนระบบ Windows ที่ PHP ทำงานในโหมด CGI โดยเปิดโอกาสให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับการตรวจสอบสามารถเรียกใช้โค้ดที่กำหนดเองได้ และนำไปสู่การยึดระบบทั้งหมดหลังจากการโจมตีสำเร็จ

    ผู้คุกคามได้วางมัลแวร์ในรูปแบบของไฟล์ไดนามิกลิงก์ไลบรารีสองไฟล์ (weblog.dll และ wmiclnt.dll) โดยไฟล์แรกถูกโหลดโดยกระบวนการ httpd.exe ของ Apache

    คุณลักษณะที่โดดเด่นที่สุดของ Msupedge คือการใช้ทราฟฟิก DNS ในการสื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) แม้ว่ากลุ่มผู้คุกคามหลายกลุ่มจะใช้เทคนิคนี้ในอดีต แต่ก็ไม่ค่อยพบเห็นในโลกออนไลน์

Msupedge ใช้ประโยชน์จากการทำนิ่งท่อ (DNS tunneling) ซึ่งเป็นคุณสมบัติที่ดำเนินการตามเครื่องมือโอเพนซอร์ส dnscat2 ที่อนุญาตให้ข้อมูลถูกฝังอยู่ในคำสั่งและการตอบกลับ DNS เพื่อรับคำสั่งจากเซิร์ฟเวอร์ C&C ของมัน

    ผู้ไม่ประสงค์ดีสามารถใช้ Msupedge เพื่อดำเนินการคำสั่งต่างๆ โดยคำสั่งเหล่านี้จะถูกเรียกใช้ตามออคเทตที่สามของที่อยู่ IP ที่ถูกแปลงของเซิร์ฟเวอร์ C&C  Backdor นี้ยังรองรับคำสั่งหลายประเภท รวมถึงการสร้างกระบวนการ ดาวน์โหลดไฟล์ และจัดการไฟล์ชั่วคราว

การโจมตีผ่านช่องโหว่ PHP RCE

    ทีม Threat Hunter ของ Symantec ซึ่งเป็นผู้ตรวจสอบเหตุการณ์และพบมัลแวร์ตัวใหม่นี้ เชื่อว่าผู้ไม่ประสงค์ดีเข้าถึงระบบที่ถูกเจาะหลังจากใช้ประโยชน์จากช่องโหว่ CVE-2024-4577

ช่องโหว่ด้านความปลอดภัยนี้สามารถเลี่ยงการป้องกันที่ทีม PHP ได้ดำเนินการสำหรับช่องโหว่ CVE-2012-1823 ซึ่งถูกโจมตีในการโจมตีด้วยมัลแวร์หลายปีหลังจากที่ได้รับการแก้ไข โดยมีเป้าหมายที่เซิร์ฟเวอร์ Linux และ Windows ด้วยมัลแวร์ RubyMiner

"การเจาะระบบครั้งแรกน่าจะเกิดจากการใช้ประโยชน์จากช่องโหว่ PHP ที่เพิ่งได้รับการแก้ไข (CVE-2024-4577)" ทีม Threat Hunter ของ Symantec กล่าว

"Symantec พบว่ามีผู้คุกคามหลายกลุ่มสแกนหาช่องโหว่ในระบบในช่วงไม่กี่สัปดาห์ที่ผ่านมา จนถึงขณะนี้ เรายังไม่พบหลักฐานที่ช่วยให้เราสามารถระบุผู้กระทำผิดและแรงจูงใจเบื้องหลังการโจมตีนี้ยังคงไม่ทราบ"

    เมื่อวันศุกร์ หนึ่งวันหลังจากที่ผู้ดูแล PHP ปล่อยแพตช์สำหรับ CVE-2024-4577 ห้องปฏิบัติการ WatchTowr ได้เผยแพร่โค้ดการโจมตีแบบ Proof-of-Concept (PoC) ในวันเดียวกัน มูลนิธิ Shadowserver รายงานว่าพบความพยายามในการโจมตีในกับดัก (honeypots) ของพวกเขา

หนึ่งวันต่อมา น้อยกว่า 48 ชั่วโมงหลังจากการปล่อยแพตช์ แก๊งแรนซัมแวร์ TellYouThePass ก็เริ่มใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อฝังเว็บเชลล์และเข้ารหัสระบบของเหยื่อ

Ref : bleepingcomputer

Malware "More_eggs" แฝงมาใน Resumes โดยมีเป้าหมายเป็นผู้จัดหางาน

    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบการโจมตีแบบฟิชชิ่งที่แพร่กระจาย Malware More_eggs โดยปลอมเป็น Resumes ซึ่งเทคนิคนี้ถูกพบครั้งแรกเมื่อกว่าสองปีที่แล้ว โดยบริษัท eSentire บริษัทรักษาความปลอดภัยทางไซเบอร์ของแคนาดาเปิดเผยเมื่อสัปดาห์ที่แล้วว่า การโจมตีนี้มุ่งเป้าไปที่บริษัทที่ไม่ระบุชื่อในอุตสหกรรมด้านการให้บริการในเดือนพฤษภาคม 2567

    ตามรายงานระบุว่า "บุคคลที่เป็นเป้าหมายคือผู้จัดหางานที่ถูกแฮ็กเกอร์หลอกให้เข้าใจผิดว่าตนเป็นผู้สมัครงาน และหลอกล่อให้พวกเขาเข้าไปที่เว็บไซต์เพื่อดาวน์โหลดMalware"

    ผู้เชี่ยวชาญคาดว่า More_eggs เป็นผลงานของแฮ็กเกอร์ที่รู้จักกันในชื่อ Golden Chickens (หรือที่รู้จักกันในชื่อ Venom Spider) โดยเป็นโมดูล backdoor ที่สามารถเก็บรวบรวมข้อมูลที่มีความสำคัญได้ ซึ่งมันถูกเสนอขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบของ Malware-as-a-Service (MaaS)

    โดยเมื่อปีที่แล้ว eSentire ได้เปิดเผยตัวตนของบุคคลสองคนที่คาดว่าเป็นผู้ดำเนินการวิธีการโจมตีนี้

รูปแบบการโจมตีล่าสุดผู้โจมตีใช้วิธีการตอบกลับโพสต์งานบน LinkedIn ด้วยลิงก์ไปยังเว็บไซต์ดาวน์โหลด Resumes ปลอมที่จะดาวน์โหลดไฟล์ Windows Shortcut (LNK) ที่เป็นอันตราย

เป็นที่น่าสังเกตว่าพฤติกรรมของ More_eggs คือมุ่งเป้าการโจมตีไปที่ผู้เชียวชาญจัดหางานบน LinkedIn เพื่อหลอกล่อให้พวกเขาดาวน์โหลดMalware

    eSentire ระบุว่า "หากลองเข้าไปยัง URL เดิมในวันถัดไป จะนำไปสู่ Resumes ของบุคคลนั้น ๆ ในรูปแบบ HTML ธรรมดา โดยจะไม่มีการเปลี่ยนเส้นทาง หรือการดาวน์โหลดใด ๆ"

    ไฟล์ LNK ถูกนำมาใช้เพื่อโหลด DLL ที่เป็นอันตรายโดยใช้ประโยชน์จากโปรแกรมบน Microsoft ที่มีชื่อว่า ie4uinit.exe หลังจากนั้น library จะถูกเรียกใช้โดย regsvr32.exe เพื่อสร้างการฝังตัวเพื่อเก็บรวบรวมข้อมูลของโฮสต์ที่ติดMalware และวาง payload เพิ่มเติม รวมถึง JavaScript ของ More_eggs backdoor

    eSentire ระบุว่า "วิธีการโจมตีของ More_eggs นี้ยังคงมีการดำเนินการอยู่ และผู้ใช้งานยังคงใช้วิธีการ social engineering เช่น การปลอมเป็นผู้สมัครงานที่ต้องการตำแหน่งาน และหลอกล่อเหยื่อ (โดยเฉพาะผู้จัดหางาน) ให้ดาวน์โหลดMalwareของพวกเขา"

    "นอกจากนี้วิธีการโจมตีของ More_eggs ที่ใช้รูปแบบ MaaS ดูเหมือนจะเป็นการโจมตีที่เลือกเป้าหมายเฉพาะเจาะจง เมื่อเปรียบเทียบกับเครือข่ายการแพร่กระจายMalwareสแปมทั่วไป"

การพัฒนาดังกล่าวเกิดขึ้นภายหลังจากที่บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของวิธีการโจมตี drive-by download ที่ใช้เว็บไซต์ปลอมเพื่อใช้เครื่องมือ KMSPico Windows activator ในการแพร่กระจาย Vidar Stealer

    eSentire ระบุว่า "เว็บไซต์ kmspico[.]ws โฮสต์อยู่ที่เบื้องหลัง Cloudflare Turnstile ทำให้ต้องมีการกรอกข้อมูลจากมนุษย์ก่อน (การกรอกรหัส) เพื่อดาวน์โหลดไฟล์ ZIP สุดท้าย ซึ่งขั้นตอนเหล่านี้ไม่ปกติสำหรับหน้าดาวน์โหลดแอปพลิเคชันที่ถูกต้อง และถูกทำขึ้นเพื่อซ่อนหน้าเว็บ และ payload สุดท้ายจากโปรแกรมรวบรวมข้อมูลอัตโนมัติของผู้เชี่ยวชาญ"

    Trustwave SpiderLabs ระบุเมื่อสัปดาห์ที่แล้วว่า วิธีการโจมตี social engineering ในลักษณะที่คล้ายกัน มีการใช้งานเว็บไซต์ที่ดูเหมือนจะเป็นซอฟต์แวร์ที่ถูกต้อง เช่น Advanced IP Scanner เพื่อแพร่กระจาย Cobalt Strike

    นอกจากนี้ยังพบการใช้งานเครื่องมือฟิชชิ่งใหม่ที่ชื่อว่า V3B ที่ถูกนำมาใช้เพื่อโจมตีลูกค้าของธนาคาร European Union โดยมีเป้าหมายขโมยข้อมูล credentials และรหัสผ่านที่ใช้แบบครั้งเดียว (OTP)

ชุดเครื่องมือนี้ถูกเสนอให้เช่าในราคา $130-$450 ต่อเดือน ผ่านรูปแบบของ Phishing-as-a-Service (PhaaS) ผ่านทาง dark web และช่องทาง Telegram ที่ถูกสร้างขึ้นโดยเฉพาะตั้งแต่เดือนมีนาคม 2023 มันถูกออกแบบมาเพื่อรองรับธนาคารมากกว่า 54 แห่งที่ตั้งอยู่ในประเทศออสเตรีย เบลเยียม ฟินแลนด์ ฝรั่งเศส เยอรมนี กรีซ ไอร์แลนด์ อิตาลี ลักเซมเบิร์ก และเนเธอร์แลนด์

    สิ่งที่สำคัญที่สุดของ V3B คือมี template ที่ปรับแต่ง และใช้ภาษาท้องถิ่นเพื่อจำลองกระบวนการตรวจสอบ และการยืนยันต่าง ๆ ที่เป็นที่นิยมในระบบธนาคารออนไลน์ (online banking) และระบบ e-commerce ในภูมิภาคนั้น

 นอกจากนี้ยังมีความสามารถขั้นสูงในการสื่อสารกับเหยื่อแบบเรียลไทม์ และรับรหัส OTP และรหัส PhotoTAN โดยใช้ความสามารถในการโจมตีแบบ QRLJacking (หรือที่เรียกว่าการโจมตีแบบ QR code login jacking) ในบริการต่าง ๆ เช่น WhatsApp ที่อนุญาตให้เข้าสู่ระบบผ่าน QR code

โดย Resecurity ระบุว่า "ผู้โจมตีได้มุ่งเป้าหมายไปที่สถาบันการเงินยุโรป และคาดว่ามีอาชญากรไซเบอร์หลายร้อยคนใช้ชุดเครื่องมือนี้เพื่อทำการหลอกเอาเงินจากบัญชีของเหยื่อ"

Ref : thehackernews

'SprySOCKS' Malware บน Linux ที่กำลังถูกนำมาใช้ในการโจมตีทางไซเบอร์

    ผู้ไม่ประสงค์ดีตั้งเป้าหมายการโจมตีและขโมยข้อมูลของประชากรชาวจีน โดยใช้ชื่อ 'Earth Lusca' โดยเป้าหมายการโจมตีเป็นหน่วยงานรัฐบาลในหลายประเทศ โดยใช้ backdoor Linux ตัวใหม่ที่ชื่อว่า 'SprySOCKS'

  รายงานการวิเคราะห์ backdoor ของ Trend Micro แสดงให้เห็นว่า มัลแวร์มีต้นกำเนิดมาจากระบบ Windows ที่ชื่อ Trochilus โดยมีฟังก์ชันการทำงานมากมายที่สามารถทำงานบนระบบ Linux ได้

อย่างไรก็ตาม มัลแวร์ดังกล่าวมีส่วนประกอบของ มัลแวร์หลาย ๆ ตัวร่วมกันเนื่องจากโปรโตคอลการสื่อสารของ command and control server (C2) ของ SprySOCKS คล้ายกับ RedLeaves ซึ่งเป็น backdoor ของ Windows ในทางตรงกันข้าม การใช้งาน shell แบบโต้ตอบดูเหมือนจะได้มาจาก Derusbi ซึ่งเป็นมัลแวร์บน Linux

การโจมตีของ Earth Lusca

    Earth Lusca ยังคงมีบทบาทอย่างต่อเนื่องตลอดครึ่งปีแรก โดยกำหนดเป้าหมายไปที่หน่วยงานรัฐบาลหลักที่มุ่งเน้นด้านการต่างประเทศ เทคโนโลยี และโทรคมนาคมในเอเชียตะวันออกเฉียงใต้ เอเชียกลาง คาบสมุทรบอลข่าน และทั่วโลก

    Trend Micro รายงานว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่ remote code execution ที่ไม่ต้องผ่านการยืนยันตัวตนมาเป็นเวลาหลายวัน ระหว่างปี 2019 ถึง 2022 ซึ่งส่งผลกระทบต่ออุปกรณ์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต

    ช่องโหว่เหล่านี้ถูกใช้ประโยชน์เพื่อติดตั้ง Cobalt Strike ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายที่ถูกโจมตีได้จากระยะไกล โดยการเข้าถึงนี้ใช้เพื่อโจมตีต่อไปภายในเครือข่ายเพื่อขโมยข้อมูลที่มีความสำคัญ ขโมยข้อมูล account credentials และการติดตั้ง payloads การโจมตีอื่นเพิ่มเติม เช่น ShadowPad

    ผู้ไม่ประสงค์ดียังใช้ Cobalt Strike เพื่อติดตั้ง SprySOCKS ซึ่งเป็นเวอร์ชันหนึ่งของ Linux ELF ที่เรียกว่า "mandibule" ซึ่งมาถึงเครื่องเป้าหมายในรูปแบบของไฟล์ชื่อ 'libmonitor.so.2'

    นักวิจัยของ Trend Micro ระบุว่าผู้โจมตีได้ปรับเปลี่ยน mandibule เป็นแบบที่ต้องการ แต่ในลักษณะที่ค่อนข้างเร่งรีบ เนื่องจากนักวิจัยพบ debug messages และสัญลักษณ์บางอย่างไว้เบื้องหลัง

   มัลแวร์ทำงานภายใต้ชื่อ Process "kworker/0:22" เพื่อหลีกเลี่ยงการตรวจจับ โดยจะดูคล้ายกับการทำงานของ Linux kernel เพื่อถอดรหัส payload ขั้นที่สอง (SprySOCKS) และแฝงตัวอยู่บนระบบของเหยื่อที่ถูกโจมตี

ความสามารถของ SprySOCKS

    SprySOCKS backdoor ใช้เฟรมเวิร์กเครือข่ายประสิทธิภาพสูงที่เรียกว่า 'HP-Socket' สำหรับการใช้งาน ในขณะที่การสื่อสารกับ C2 นั้นได้รับการเข้ารหัสแบบ AES-ECB

ฟังก์ชันหลักของ backdoor ได้แก่:

• การรวบรวมข้อมูลระบบ (รายละเอียด OS, หน่วยความจำ, ที่อยู่ IP, ชื่อกลุ่ม, ภาษา, CPU)
• การเริ่มต้น interactive shell ที่ใช้กับ PTY subsystem
• แสดงรายการการเชื่อมต่อเครือข่าย
• การจัดการการกำหนดค่าพร็อกซี SOCKS
• การดำเนินการไฟล์ขั้นพื้นฐาน (การอัพโหลด, ดาวน์โหลด, รายการ, ลบ, เปลี่ยนชื่อ และสร้างไดเร็กทอรี)
• มัลแวร์ยังสร้างรหัสหมายเลขของเหยื่อ โดยใช้ MAC address ของอินเทอร์เฟซเครือข่ายที่ระบุไว้ในรายการแรก และคุณสมบัติ CPU บางส่วน จากนั้นแปลงเป็นสตริงเลขฐานสิบหกขนาด 28 ไบต์

    Trend Micro รายงานว่าได้ตัวอย่างของ SprySOCKS มาสองเวอร์ชัน คือ v1.1 และ v.1.3.6 ซึ่งแสดงให้เห็นว่ากำลังมีการพัฒนามัลแวร์อย่างต่อเนื่อง

คำแนะนำ

    ควรอัปเดตแพตซ์ความปลอดภัยบนเซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตอย่างสม่ำเสมอ ซึ่งในกรณีนี้อาจจะป้องกันการโจมตีเบื้องต้นจาก Earth Lusca ได้

Ref : bleepingcomputer

พบแฮกเกอร์ใช้ประโยชน์จากซอฟต์แวร์ WinRAR เพื่อติดตั้งแบ็คดอร์บนเครื่องเหยื่อ

    ผู้ไม่ประสงค์ดีเพิ่มฟังก์ชันการทำงานที่เป็นอันตรายลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX ลงไปเพื่อทำการติดตั้งแบ็คดอร์บนระบบของเป้าหมาย ซึ่งวิธีการนี้ส่งผลให้ผู้ไม่ประสงค์ดีสามารถหลบเลี่ยงการตรวจจับได้ โดยไฟล์ SFX จะมีไฟล์สำหรับเรียกใช้ PowerShell และตัวจัดการสิทธิ์การเข้าถึงของระบบ

    การโจมตีเริ่มต้นจากผู้ไม่ประสงค์ดีจะทำการฝังไฟล์ SFX ที่เข้ารหัสไว้ผ่าน WinRAR หรือ 7-Zip จากนั้นผู้ไม่ประสงค์ดีจะเข้าถึงระบบของเป้าหมายโดยการ compromised credentials และการใช้ Utility Manager (utilman[.] exe) ที่ถูกตั้งค่าให้กำหนดค่า debugger ใน Windows Registry ที่เป็นโปรแกรมเฉพาะ โดยจะเริ่มทำการ debug อัตโนมัติทุกครั้งที่เปิดโปรแกรม ต่อมาที่ utilman[.] exe จะเรียกใช้ไฟล์ SFX ที่ได้รับการออกแบบมาเพื่อเรียกใช้ PowerShell เพิ่มหลายคำสั่ง และสร้างไฟล์ SFX Archive เพื่อเปิดแบ็คดอร์บนระบบของเป้าหมาย

    ภายในไฟล์ SFX จะดูเหมือนว่าว่างเปล่า ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมตรวจจับและผู้ดูแลระบบได้อย่างง่ายดาย แต่เมื่อไฟล์ SFX ได้ทำการ Combined เข้ากับ Registry Key เฉพาะ แล้วนั้นอาจทำให้ผู้ไม่ประสงค์ดีสร้างแบ็คดอร์อย่างถาวรบนระบบของเป้าหมายได้

    เหตุผลที่ผู้ไม่ประสงค์ดีเลือกใช้ utilman[.] exe นั้น เนื่องจากการใช้ utilman[.] exe ทำให้ผู้ไม่ประสงค์ดีสามารถกำหนดค่าแบ็คดอร์ผ่านตัว Image File Execution Options (IFEO) debugger ใน Registry Key ของ Windows ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จาก IFEO Registry Key เพื่อเรียกใช้ไบนารี่ได้โดยไม่มีการตรวจสอบสิทธิ์และผ่านมาตรการรักษาความปลอดภัยบนระบบได้ แม้ว่าเป้าหมายจะไม่มีซอฟต์แวร์ WinRAR หรือ 7-Zip แต่ไฟล์ SFX ก็ยังสามารถแตกไฟล์และแสดงเนื้อหาบนเครื่องของเป้าหมายได้

คำแนะนำ

• ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ
• ควรให้ความสนใจเป็นพิเศษกับคลังข้อมูล SFX
• ควรสแกนไฟล์ SFX Archives เพื่อหาฟังก์ชันที่ซ่อนอยู่เพิ่มเติม
• ไม่ควรดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ

Ref : cyware

ผู้ไม่ประสงค์ดีจีนเริ่มใช้ช่องโหว่ของ Fortinet ในการโจมตีทางไซเบอร์

    มีการเปิดเผยรายงานการพบกลุ่มผู้ไม่ประสงค์ดีจีนกำลังใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ Fortinet FortiOS ที่มีความรุนแรงระดับกลาง ซึ่งปัจจุบันมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปเรียบร้อยแล้ว

    Mandiant ผู้เชี่ยวชาญทางด้าน Threat intelligence ระบุว่า การโจมตีดังกล่าวเป็นส่วนหนึ่งของการโจมตีขนาดใหญ่ที่ออกแบบมาเพื่อติดตั้ง backdoor ลงบนอุปกรณ์ Fortinet และ VMware เพื่อสร้างช่องทางสำหรับการแฝงตัวอยู่ภายในระบบของเป้าหมาย และกำลังติดตามการดำเนินการของกลุ่มดังกล่าวภายใต้ชื่อ UNC3886 ซึ่งคาดว่ามีความเกี่ยวข้องกับประเทศจีน "UNC3886" เป็นกลุ่มผู้ไม่ประสงค์ดีที่มีความสามารถเฉพาะตัวในการดำเนินการโจมตีอุปกรณ์บนเครือข่าย สังเกตได้จากเครื่องมือที่ใช้ในการโจมตี UNC3886 มุ่งเป้าหมายไปที่ Firewall และเทคโนโลยี virtualization ที่ยังไม่รองรับจากอุปกรณ์ EDR โดยมีความสามารถในการจัดการ Firmware ของ Firewall และใช้ประโยชน์จากช่องโหว่ที่ถูกพบ แสดงให้เห็นว่ากลุ่มผู้โจมตีมีความเชี่ยวชาญในเทคโนโลยีดังกล่าว

    ก่อนหน้านี้กลุ่มผู้ไม่ประสงค์ดีกลุ่มนี้ เกี่ยวข้องกับการโจมตีที่มุ่งเป้าหมายเป็นเซิร์ฟเวอร์ VMware ESXi และ เซิร์ฟเวอร์ Linux vCenter ซึ่งเป็นส่วนหนึ่งของแคมเปญ hyperjacking ที่ออกแบบมาเพื่อฝัง backdoor เช่น VIRTUALPITA และ VIRTUALPIE

    Mandiant เกิดขึ้นภายหลังจากที่ Fortinet เปิดเผยว่าหน่วยงานของภาครัฐ และองค์กรขนาดใหญ่ ได้รับผลกระทบจากการถูกโจมตีโดยการใช้ช่องโหว่บน Fortinet FortiOS ซึ่งอาจส่งผลให้ข้อมูลสูญหาย และเกิดความเสียหายในระบบปฏิบัติการได้

    โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-41328 (CVSS score: 6.5) เป็นช่องโหว่ path traversal บน FortiOS ซึ่งมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 7 มีนาคม 2023 ที่ผ่านมา

ตามรายงานจาก Mandiant ระบุว่าการโจมตีที่ UNC3886 ได้มุ่งเป้าไปที่อุปกรณ์ FortiGaet, FortiManager, และ FortiAnalyzer ของ Fortinert เพื่อติดตั้ง backdoor THINCRUST และ CASTLETAP ซึ่งจะสามารถทำได้หากอุปกรณ์ FortiManager ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

    THINCRUST เป็น backdoor ที่เขียนด้วยภาษา Python และสามารถรันคำสั่ง รวมถึงอ่าน และเขียนไฟล์บนดิสก์ได้ รวมถึงเพย์โหลดที่เพิ่มเข้ามาใหม่ เรียกว่า "/bin/fgfm" (หรือเรียกว่า CASTLETAP) ซึ่งจะทำการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกที่ถูกควบคุมโดยผู้โจมตี เพื่อรับคำสั่ง, ติดตั้งเพย์โหลด และส่งข้อมูลที่ขโมยออกมาไปที่ C2 Server

    นักวิจัยระบุว่า "เมื่อ CASTLETAP ถูกติดตั้งบนไฟร์วอลล์ FortiGate แล้ว ผู้โจมตีจะเชื่อมต่อกับเครื่อง ESXi และ vCenter เพื่อสร้างช่องทางการแฝงตัวบนระบบ ซึ่งทำให้สามารถเข้าถึง hypervisors และเครื่อง guest อื่น ๆ"

    ในกรณีที่อุปกรณ์ FortiManager มีการจำกัดการเข้าถึงจากอินเทอร์เน็ต ผู้ไม่หวังดีจะใช้เทคนิค Pivoting โดยการเชื่อมต่อจาก FortiGate Firewall ที่โจมตีด้วย CASTLETAP เพื่อฝัง reverse shell backdoor ชื่อ REPTILE ("/bin/klogd") บนระบบจัดการเครือข่ายเพื่อให้สามารถกลับเข้าถึงระบบได้อีกครั้ง

UNC3886 ใช้เครื่องมือชื่อ TABLEFLIP เพื่อเชื่อมต่อโดยตรงกับอุปกรณ์ FortiManager โดยไม่สนใจ ACL (access-control list) ที่กำหนดไว้ในอุปกรณ์ FortiGate

    การโจมตีนี้ไม่ใช่ครั้งแรกที่กลุ่มผู้ไม่หวังดีจากจีน มุ่งเป้าหมายไปยังอุปกรณ์เครือข่ายเพื่อแพร่กระจายมัลแวร์ โดยก่อนหน้านี้ก็พบการโจมตีโดยการใช้ช่องโหว่อื่น ๆ ในอุปกรณ์ Fortinet และ SonicWall

Rapid7 พบว่าผู้ไม่หวังดีกำลังพัฒนา และเผยแพร่เครื่องมือที่ใช้ในการโจมตีได้รวดเร็วขึ้นกว่าที่ผ่านมา โดยมีช่องโหว่มากถึง 28 รายการ ที่ถูกนำมาใช้ในการโจมตีเพียง 7 วัน ภายหลังจากมีการเปิดเผยข้อมูลออกสู่สาธารณะ ซึ่งเพิ่มขึ้น 12% จากปี 2021 และเพิ่มขึ้น 87% จากปี 2020

    กลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับประเทศจีนได้กลายเป็นผู้เชี่ยวชาญเฉพาะด้านในการใช้ช่องโหว่ zero-day และการแพร่กระจายมัลแวร์ที่ปรับแต่งให้เหมาะสม เพื่อขโมยข้อมูลประจำตัวผู้ใช้งาน และแฝงตัวบนระบบเครือข่ายของเป้าหมาย

    Mandiant ระบุว่า "การโจมตีนี้เป็นหลักฐานที่ชี้ให้เห็นว่าผู้โจมตีที่มีความเชี่ยวชาญ กำลังใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึง และค้นหาข้อมูลของเป้าหมาย โดยเฉพาะเทคโนโลยีที่ไม่รองรับการป้องกันจากอุปกรณ์ EDR"

Ref : thehackernews

พบผู้ไม่ประสงค์ดีเริ่มใช้ช่องโหว่ใหม่ใน FortiNAC เพื่อสร้าง backdoor บน servers ของเป้าหมาย

    นักวิจัยจาก GreyNoise และ CronUp ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่รายงานพบการ พบเริ่มใช้ช่องโหว่ใหม่ใน FortiNAC (CVE-2022-39952) ในการโจมตีเพื่อสร้าง backdoor บน servers ของเป้าหมาย ภายหลังจากที่ทาง Horizon3 ได้ปล่อย proof-of-concept exploit code (PoC) ที่ใช้ในการโจมตีช่องโหว่ดังกล่าวออกมา โดยเป็นการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิสูงสุด (Root)

    CVE-2022-39952 มีคะแนน CVSS v3 อยู่ที่ 9.8/10 ระดับความรุนแรงสูงมาก เป็นช่องโหว่ใน FortiNAC ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ FortiNAC เป็นโซลูชันในการควบคุมการเข้าถึงเครือข่ายที่ช่วยให้องค์กรมองเห็นภาพรวมของเครือข่ายแบบเรียลไทม์ รวมถึงการบังคับใช้นโยบายด้านความปลอดภัย และตรวจจับ และป้องกันภัยคุกคาม รวมไปถึง GreyNoise และ CronUp ยังพบว่าการโจมตีอุปกรณ์ FortiNAC จำนวนมากผ่านช่องโหว่ CVE-2022-39952 มาจาก IP หลากหลายแห่ง โดยใช้กระบวนการโจมตีเดียวกับ PoC exploit ที่ Horizon3 ปล่อยออกมา คือการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิ root และเรียกกลับไปยัง IP ของ Hacker

    Fortinet กล่าวว่าปัจจุบัน ยังไม่มีวิธีการอื่นในการป้องกัน หรือหลีกเลี่ยงช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่โดยเร็วที่สุด

Ref: bleepingcomputer

WhiskerSpy Backdoor แพร่กระจายผ่านตัวติดตั้ง trojan video codec

 นักวิจัยจาก Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์ พบ Backdoor ตัวใหม่ ในชื่อ WhiskerSpy ที่ถูกเผยแพร่โดยกลุ่ม Hacker ที่มีชื่อว่า Earth Kitsune ซึ่งมุ่งเป้าหมายการโจมตีไปยังกลุ่มผู้สนับสนุนประเทศเกาหลีเหนือ โดย Trend Micro ได้เริ่มติดตามการดำเนินกิจกรรมของกลุ่ม Hacker ดังกล่าวมาตั้งแต่ปี 2019

การโจมตีแบบ Watering hole attack

 นักวิจัยพบว่า Hacker จะเลือกเป้าหมายการโจมตีไปยังกลุ่มผู้เยี่ยมชมเว็บไซต์ที่มีเนื้อหาสนับสนุนประเทศเกาหลีเหนือ โดยพบว่า Hacker จะกำหนดเป้าหมายการโจมตีไปยัง ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address มาจาก ประเทศจีน, ประเทศญี่ปุ่น และประเทศบราซิล จากการตรวจสอบเพิ่มเติมพบว่า ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address จากประเทศบราซิล ถูกใช้เพื่อทดสอบการโจมตีแบบ watering hole โดยใช้การเชื่อมต่อแบบ VPN เท่านั้น ซึ่งเป้าหมายที่แท้จริงก็คือ ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address จากประเทศจีน และประเทศญี่ปุ่น Hacker จะทำการโจมตีเว็บไซต์ดังกล่าว และฝังสคริปต์ที่เป็นอันตราย ที่จะขอให้เป้าหมายทำการติดตั้งซอฟต์แวร์ video codec (ที่มีการฝัง Backdoor เอาไว้) เพื่อให้สามารถที่จะเปิดสื่อวิดีโอได้ และทำเหยื่อไม่สงสัย

 ซึ่งเป้าหมายจะได้รับข้อความแสดงข้อผิดพลาดด้านล่าง ซึ่งเป็นการแจ้งให้ติดตั้งซอฟต์แวร์ video codec แต่ในความจริงแล้วซอฟต์แวร์ video codec ดังกล่าวคือ MSI executable เพื่อเรียกใช้คำสั่ง PowerShell ในการดาวน์โหลด WhiskerSpy นั้นเอง

 รวมไปถึงยังพบว่า Hacker ยังได้ใช้วิธีการฝังตัวเองในระบบ (Persistence) โดยการ ติดตั้งโปรแกรมอันตรายในส่วนขยายของ Google Chrome ที่มีชื่อว่า Google Chrome Helper ซึ่งจะทำหน้าที่ในการอนุญาตให้ดำเนินการเพย์โหลดอันตรายทุกครั้งที่เบราว์เซอร์เริ่มทำงาน นอกจากนี้ยังได้ใช้ประโยชน์จากช่องโหว่ของ OneDrive ในการแนบไฟล์อันตราย (fake “vcruntime140.dll”) ในไดเร็กทอรี OneDrive อีกด้วย

รายละเอียด WhiskerSpy

 WhiskerSpy เป็นเพย์โหลดหลักที่ใช้ในแคมเปญการโจมตีล่าสุดของกลุ่ม Earth Kitsune โดยเรียกใช้คำสั่งจาก command and control (C2) server ซึ่งจะทำการเชื่อมต่อเป็นระยะ ๆ เพื่ออัปเดตสถานะ โดยใช้ 16-byte AES key สำหรับการเข้ารหัส

มีความสามารถดังต่อไปนี้

• ใช้ shellcode ในการตอบโต้ และสั่งการ
• ดาวน์โหลดไฟล์
• อัพโหลดไฟล์
• ลบไฟล์
• รวบรวมรายการ files
• ดาวน์โหลดคำสั่งการ และส่งออกข้อมูล
• แทรก shellcode ใน process ของระบบ
• ถ่ายภาพหน้าจอ

 นอกจากนี้ยังพบว่า WhiskerSpy เวอร์ชันก่อนหน้านี้ ได้ ใช้ FTP protocol แทน HTTP สำหรับการสื่อสารกับ C2 server แต่พบว่าเวอร์ชันดังกล่าวนั้นมีข้อบกพร่อง จึงได้มีการพัฒนาจนกลายเป็นเวอร์ชันปัจจุบัน

Ref: bleepingcomputer

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers

 

พบ Backdoors และเครื่องมือสอดแนมที่ถูกสร้างขึ้นเองโดย Polonium Hackers

    กลุ่มผู้ไม่ประสงค์ดีที่ชื่อว่า Polonium ซึ่งเชื่อมโยงกับการโจมตีที่มีเป้าหมายเป็นองค์กรระดับสูงจำนวนมาก และพบว่ามีการใช้ Backdoors ที่ถูกสร้างขึ้นเองกว่า 7 รูปแบบที่แตกต่างกันตั้งแต่เดือนกันยายน 2564

ESET ระบุว่าการโจมตีเหล่านี้มุ่งเป้าไปยังองค์กรในลักษณะต่าง ๆ เช่น วิศวกรรม เทคโนโลยีสารสนเทศ กฎหมาย การสื่อสาร การสร้างแบรนด์ และการตลาด สื่อ การประกันภัย และบริการทางสังคม

    โดย Polonium เป็นชื่อที่เกี่ยวกับองค์ประกอบทางเคมีที่ Microsoft เป็นคนตั้งให้ พฤติกรรมของกลุ่มนี้เกิดขึ้นครั้งแรกเมื่อต้นเดือนมิถุนายน เมื่อ Microsoft ระบุว่าได้ระงับบัญชี OneDrive ที่เป็นอันตรายมากกว่า 20 บัญชีที่ถูกสร้างโดยผู้ไม่ประสงค์ดี เพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2)

    การโจมตีคือการติดตั้ง CreepyDrive และ CreepyBox เพื่อใช้ในการขโมยข้อมูลที่มีความสำคัญออกไปยังบัญชี OneDrive และ Dropbox ที่ถูกควบคุมโดยผู้ไม่ประสงค์ดี และยังพบว่ามีการใช้ backdoor PowerShell ที่มีชื่อว่า CreepySnail การค้นพบล่าสุดของ ESET เกี่ยวกับ backdoor ที่ไม่เคยถูกพบก่อนหน้านี้อีก 5 รายการ ทำให้กลุ่มดังกล่าวน่าสนใจมากขึ้น เนื่องจากมีการพัฒนาปรับแต่ง และปรับปรุงมัลแวร์อย่างต่อเนื่อง

    การเปลี่ยนแปลงมากมายที่ Polonium นํามาใช้ แสดงให้เห็นถึงความพยายามในการสอดแนมเป้าหมายของกลุ่ม" Matías Porolli นักวิจัยของ ESET ระบุ "แต่ดูเหมือนว่ากลุ่มดังกล่าวจะไม่มีการดำเนินการในลักษณะของแรนซัมแวร์" รายการ hacking tools มีดังนี้

• CreepyDrive/CreepyBox - backdoor PowerShell อ่าน และรันคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ใน OneDrive หรือ Dropbox
• CreepySnail - backdoor PowerShell ที่ได้รับคำสั่งจากเซิร์ฟเวอร์ C2 ของผู้ไม่ประสงค์ดี
• DeepCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบัญชี Dropbox และใช้ขโมยข้อมูลออกไป
• MegaCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในบริการจัดเก็บข้อมูลบนคลาวด์ขนาดใหญ่
• FlipCreep - backdoor C# อ่านคำสั่งจากไฟล์ข้อความที่จัดเก็บไว้ในเซิร์ฟเวอร์ FTP และใช้ขโมยข้อมูลออกไป
• TechnoCreep - backdoor C# ที่ใช้ติดต่อกับเซิร์ฟเวอร์ C2 ผ่าน TCP เพื่อรันคำสั่ง และใช้ขโมยข้อมูลออกไป
• PapaCreep - backdoor C ++ ที่สามารถรับ และรันคำสั่งจากเซิร์ฟเวอร์ภายนอกผ่าน TCP

    PapaCreep ถูกค้นพบเมื่อเดือนกันยายน 2565 เป็นมัลแวร์ที่มีส่วนประกอบ 4 ส่วนที่แตกต่างกันสำหรับการเรียกใช้คำสั่ง และส่งคำสั่ง output รวมทั้งอัปโหลด และดาวน์โหลดไฟล์ ESET ระบุว่า ได้ค้นพบโมดูลอื่น ๆ เช่นการบันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ ถ่ายภาพผ่านเว็บแคม และ reverse shell

  แม้จะมีมัลแวร์จำนวนมากที่ใช้ในการโจมตี แต่ช่องทางที่ใช้ในการเข้าถึงในขั้นตอนแรกยังไม่เป็นที่ทราบแน่ชัด แม้จะมีข้อสงสัยว่าอาจเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ของ VPN "โมดูลที่เป็นอันตรายส่วนใหญ่มีขนาดเล็ก มีฟังก์ชันการทำงานที่จำกัด ผู้ไม่ประสงค์ดีจะแบ่งโค้ด backdoor โดยแบ่งฟังก์ชันการทำงานที่เป็นอันตรายไปยัง DLLs ที่มีขนาดเล็ก โดยคาดหวังว่าการป้องกัน หรือนักวิจัยจะไม่สังเกตเห็นการโจมตีได้ทั้งหมด"

Ref: The Hacker News

Hundreds of Microsoft SQL servers backdoored with new malware

 

พบเซิร์ฟเวอร์ Microsoft SQL โดนโจมตีด้วย “Maggie Malware” นับหลายร้อยเครื่อง

    เซิร์ฟเวอร์ Microsoft SQL หลายร้อยแห่งทั่วโลกติด Malware ใหม่ โดยผู้เชี่ยวชาญด้านความปลอดภัย Johann Aydinbas และ Axel Wauer จาก DCSO CyTec ได้พบ Malware ตัวใหม่ที่ใช้ชื่อ Maggie ซึ่งได้พบว่ามีเซิร์ฟเวอร์ Microsoft SQL ติด Malware นี้ไปแล้วกว่า 250 เซิร์ฟเวอร์ทั่วโลก ซึ่งส่วนใหญ่อยู่ในเกาหลีใต้ อินเดีย เวียดนาม จีนรัสเซีย ไทย เยอรมนี และสหรัฐอเมริกา

    โดย Malware นี้จะมาในรูปแบบของ “Extended Stored Procedure” ซึ่งเป็นขั้นตอนการจัดเก็บที่เรียกใช้ฟังก์ชันจากไฟล์ DLL(“ sqlmaggieAntiVirus_64.dll ”) เมื่อโหลดเข้าสู่เซิร์ฟเวอร์ ผู้โจมตีจะสามารถควบคุมได้โดยใช้คำสั่ง SQL และมีฟังก์ชันการทำงานที่หลากหลายเพื่อเรียกใช้คำสั่งและโต้ตอบกับไฟล์ และ Backdoor ยังสามารถบังคับให้ล็อกอินเข้าสู่เซิร์ฟเวอร์ MSSQL อื่น ๆ เพื่อเพิ่ม Backdoor ฮาร์ดโค้ดพิเศษ

    นอกจากนี้ Backdoor ยังมีความสามารถในการบังคับให้เข้าสู่ระบบเซิร์ฟเวอร์ MS SQL อื่น ๆ ในขณะที่เพิ่มผู้ใช้Backdoor แบบฮาร์ดโค้ดพิเศษในกรณีที่การเข้าสู่ระบบ ของผู้ดูแลระบบที่ bruteforce ได้สำเร็จ จากการค้นพบนี้ ระบุเซิร์ฟเวอร์กว่า 250เซิร์ฟเวอร์ ที่ได้รับผลกระทบทั่วโลก โดยเน้นที่ภูมิภาคเอเชียแปซิฟิกอย่างชัดเจน และ Maggie Malware รองรับคำสั่งได้มากกว่า 51 คำสั่ง

    เพื่อรวบรวมข้อมูลระบบและเรียกใช้โปรแกรม นอกจากนี้ยังสามารถรองรับฟังก์ชันที่เกี่ยวข้องกับเครือข่าย เช่น การเปิดใช้งาน TermService การเรียกใช้พร็อกซีเซิร์ฟเวอร์ Socks5

    หรือการตั้งค่าการส่งต่อพอร์ตเพื่อให้ Maggie ทำหน้าที่เป็นบริดจ์เฮดในเซิร์ฟเวอร์สภาพแวดล้อมเครือข่าย ทั้งนี้ ในขณะนี้ยังคงไม่ทราบรายละเอียดหลังจากที่ถูกโจมตีด้วย Maggie แล้วจะส่งผลอย่างไร การฝัง Malware ในเซิร์ฟเวอร์ และใครอยู่เบื้องหลังการโจมตีเหล่านี้

Ref : bleepingcomputer