18/12/2566

Ransomware DJVU สายพันธุ์ใหม่ ‘Xaro’ แฝงตัวเป็นไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์


    พบการแพร่กระจายของแรนซัมแวร์สายพันธุ์หนึ่งที่รู้จักกันในชื่อ DJVU ในรูปแบบของไฟล์ Crack ที่ใช้สำหรับซอฟแวร์ที่ผิดลิขสิทธิ์
    Ralph Villanueva ผู้เชี่ยวชาญด้านความปลอดภัยของ ระบุว่า “แม้ว่ารูปแบบการโจมตีลักษณะนี้จะไม่ใช่เรื่องใหม่ แต่ DJVU สายพันธุ์นี้จะต่อท้ายนามสกุลไฟล์ด้วย .xaro ไปยังไฟล์ที่ถูกโจมตี เพื่อเรียกค่าไถ่สำหรับตัวถอดรหัส ถูกพบว่ากำลังแพร่กระจายในระบบควบคู่ไปกับมัลแวร์สำหรับขโมยข้อมูลต่าง ๆ”
โดยแรนซัมแวร์สายพันธุ์ใหม่นี้ได้รับรหัสชื่อ Xaro จาก Cybereason
   DJVU ซึ่งเป็นแรนซัมแวร์สายพันธุ์หนึ่งของ STOP ransomware โดยปกติจะมาในรูปแบบที่ปลอมเป็นบริการ หรือแอปพลิเคชันที่ดูถูกต้องตามปกติ นอกจากนี้ยังเคยถูกใช้เป็นเพย์โหลดของ SmokeLoader อีกด้วย

จุดสังเกตที่สำคัญของการโจมตีจาก DJVU 
    คือการใช้มัลแวร์อื่น ๆ ร่วมด้วยเพิ่มเติม เช่น มัลแวร์สำหรับขโมยข้อมูล (เช่น RedLine Stealer และ Vidar) ซึ่งมักจะทำให้เกิดความเสียหายมากขึ้น ในการโจมตีครั้งล่าสุดที่บันทึกไว้โดย Cybereason มัลแวร์ Xaro จะเป็นไฟล์ archive ที่ถูกดาวน์โหลดมาจากแหล่งที่น่าสงสัย ซึ่งเป็นเว็บไซต์ปลอมที่ให้สามารถดาวน์โหลดฟรีซอฟแวร์ที่ดูเหมือนถูกต้องตามกฎหมาย การเปิดไฟล์ archive จะนำไปสู่การรันไบนารีติดตั้งซอฟต์แวร์ PDF writing ที่ชื่อว่า CutePDF ซึ่งในความเป็นจริงเป็นการติดตั้งมัลแวร์ที่รู้จักกันในชื่อ PrivateLoader
    โดย PrivateLoader นอกเหนือจากการนำไปสู่การติดตั้ง Xaro แล้ว มันจะทำการเชื่อมต่อกับ C2 Server เพื่อดาวน์โหลดมัลแวร์อื่น ๆ อีกจำนวนมาก เช่น RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig และ Fabookie ผู้เชี่ยวชาญด้านความปลอดภัยยังอธิบายเพิ่มเติมว่า "แนวทางการแพร่กระจายลักษณะนี้มักจะมาจากการดาวน์โหลด และติดตั้งมัลแวร์ PrivateLoader ที่เกิดจากเว็บไซต์ฟรีซอฟแวร์ หรือไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์"
    เป้าหมายของมัลแวร์ดูเหมือนจะเป็นการรวบรวมข้อมูลที่มีความสำคัญเพื่อการเรียกค่าไถ่ ตลอดจนเพื่อให้แน่ใจว่าการโจมตีจะประสบความสำเร็จ แม้ว่าจะมีเพย์โหลดใดเพย์โหลดหนึ่งถูกบล็อกโดยซอฟต์แวร์รักษาความปลอดภัย
    มัลแวร์ Xaro นอกเหนือจากการสร้างอินสแตนซ์ของ Vidar infostealer ยังสามารถเข้ารหัสไฟล์ในโฮสต์ที่ติดมัลแวร์ ก่อนที่จะทิ้งไฟล์เพื่อเรียกค่าไถ่ โดยจะขู่ให้เหยื่อติดต่อกลับในการจ่ายค่าไถ่เพื่อรับคีย์สำหรับถอดรหัสในราคา $980 ซึ่งจะลดลง 50% เป็น $490 หากติดต่อกลับภายใน 72 ชั่วโมง
    เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงของการดาวน์โหลดฟรีซอฟแวร์จากแหล่งที่มาที่ไม่น่าเชื่อถือ เช่น แคมเปญของ FakeUpdateRU ที่ใช้การแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมเพื่อติดตั้ง RedLine Stealer
โดยผู้โจมตีมักใช้ฟรีซอฟแวร์ปลอม เพื่อเป็นช่องทางในการแพร่กระจายมัลแวร์อย่างลับ ๆ และองค์กรควรเข้าใจถึงผลกระทบที่อาจเกิดขึ้นอย่างรวดเร็ว และกว้างขวางจากการติดมัลแวร์ และการปกป้องข้อมูล

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

15/12/2566

Microsoft ทำการปล่อย Patch Update ประจำเดือนธันวาคม December 2023


    ทาง Microsoft ได้ทำการปล่อย Patch Update ของเดือนธันวาคม 2023 โดยมีการแก้ไขช่องโหว่
จำนวน 34 รายการ และ 1 ช่องโหว่ที่เป็น Zero-Day
   โดยที่มีรายการช่องโหว่ที่ร้ายแรงที่เป็นการโจมตีจากระยะไกล (RCE) ถึง 8 ช่องโหว่ที่ได้รับการแก้ไขแล้วใน Patch นี้ แต่ยังเหลืออีก 3 ช่องโหว่ที่ยังคงไม่ได้รับการแก้ไขใด ๆ โดยรวมแล้ว

ช่องโหว่ที่ร้ายแรง 4 รายการที่ยังไม่ได้รับการแก้ไข ดังนี้:
  1. Power Platform (Spoofing) จำนวน 1 รายการ
  2. Internet Connection Sharing (RCE) จำนวน 2 รายการ
  3. Windows MSHTML Platform (RCE) จำนวน 1 รายการ
รายการที่ได้รับการแก้ไขใน Patch นี้จำนวน 34 รายการแล้วนั้น มีรายการต่าง ๆ ดังนี้:
  1. 10 Elevation of Privilege Vulnerabilities
  2. 8 Remote Code Execution Vulnerabilities
  3. 6 Information Disclosure Vulnerabilities
  4. 5 Denial of Service Vulnerabilities
  5. 5 Spoofing Vulnerabilities
Zero-day ที่ได้รับการแก้ไขใน Patch นี้:
    มีการเปิดเผยในข้อมูลของ Patch Tuesday ของเดือนธนัวาคม 2023 ที่แก้ไขช่องโหว่แบบ Zero-Day ของ AMD ที่ถูกพบเมื่อเดือนสิงหาคม 2023
    โดย CVE - 2023- 20588 - AMD:CVE-2023-20588 AMD Speculative Leaks vulnerability is a division-by-zero bug in specific AMD processors that could potentially return sensitive data.
ถ้าต้องการหาช่องทางในการแก้ไขสามารถศึกษารายละเอียดในการแก้ไขได้ที่ amd.com

ใน Patch ธันวาคม 2023 จากทางผู้ผลิตอื่น ๆ นอกจากทาง Microsoft ยกตัวอย่างเช่น
December 2023 Patch Tuesday Security Updates
TagCVE IDCVE TitleSeverity
Azure Connected Machine AgentCVE-2023-35624Azure Connected Machine Agent Elevation of Privilege VulnerabilityImportant
Azure Machine LearningCVE-2023-35625Azure Machine Learning Compute Instance for SDK Users Information Disclosure VulnerabilityImportant
ChipsetsCVE-2023-20588AMD: CVE-2023-20588 AMD Speculative Leaks Security NoticeImportant
Microsoft Bluetooth DriverCVE-2023-35634Windows Bluetooth Driver Remote Code Execution VulnerabilityImportant
Microsoft DynamicsCVE-2023-35621Microsoft Dynamics 365 Finance and Operations Denial of Service VulnerabilityImportant
Microsoft DynamicsCVE-2023-36020Microsoft Dynamics 365 (on-premises) Cross-site Scripting VulnerabilityImportant
Microsoft Edge (Chromium-based)CVE-2023-35618Microsoft Edge (Chromium-based) Elevation of Privilege VulnerabilityModerate
Microsoft Edge (Chromium-based)CVE-2023-36880Microsoft Edge (Chromium-based) Information Disclosure VulnerabilityLow
Microsoft Edge (Chromium-based)CVE-2023-38174Microsoft Edge (Chromium-based) Information Disclosure VulnerabilityLow
Microsoft Edge (Chromium-based)CVE-2023-6509Chromium: CVE-2023-6509 Use after free in Side Panel SearchUnknown
Microsoft Edge (Chromium-based)CVE-2023-6512Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UIUnknown
Microsoft Edge (Chromium-based)CVE-2023-6508Chromium: CVE-2023-6508 Use after free in Media StreamUnknown
Microsoft Edge (Chromium-based)CVE-2023-6511Chromium: CVE-2023-6511 Inappropriate implementation in AutofillUnknown
Microsoft Edge (Chromium-based)CVE-2023-6510Chromium: CVE-2023-6510 Use after free in Media CaptureUnknown
Microsoft Office OutlookCVE-2023-35636Microsoft Outlook Information Disclosure VulnerabilityImportant
Microsoft Office OutlookCVE-2023-35619Microsoft Outlook for Mac Spoofing VulnerabilityImportant
Microsoft Office WordCVE-2023-36009Microsoft Word Information Disclosure VulnerabilityImportant
Microsoft Power Platform ConnectorCVE-2023-36019Microsoft Power Platform Connector Spoofing VulnerabilityCritical
Microsoft WDAC OLE DB provider for SQLCVE-2023-36006Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution VulnerabilityImportant
Microsoft Windows DNSCVE-2023-35622Windows DNS Spoofing VulnerabilityImportant
Windows Cloud Files Mini Filter DriverCVE-2023-36696Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityImportant
Windows DefenderCVE-2023-36010Microsoft Defender Denial of Service VulnerabilityImportant
Windows DHCP ServerCVE-2023-35643DHCP Server Service Information Disclosure VulnerabilityImportant
Windows DHCP ServerCVE-2023-35638DHCP Server Service Denial of Service VulnerabilityImportant
Windows DHCP ServerCVE-2023-36012DHCP Server Service Information Disclosure VulnerabilityImportant
Windows DPAPI (Data Protection Application Programming Interface)CVE-2023-36004Windows DPAPI (Data Protection Application Programming Interface) Spoofing VulnerabilityImportant
Windows Internet Connection Sharing (ICS)CVE-2023-35642Internet Connection Sharing (ICS) Denial of Service VulnerabilityImportant
Windows Internet Connection Sharing (ICS)CVE-2023-35630Internet Connection Sharing (ICS) Remote Code Execution VulnerabilityCritical
Windows Internet Connection Sharing (ICS)CVE-2023-35632Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityImportant
Windows Internet Connection Sharing (ICS)CVE-2023-35641Internet Connection Sharing (ICS) Remote Code Execution VulnerabilityCritical
Windows KernelCVE-2023-35633Windows Kernel Elevation of Privilege VulnerabilityImportant
Windows KernelCVE-2023-35635Windows Kernel Denial of Service VulnerabilityImportant
Windows Kernel-Mode DriversCVE-2023-35644Windows Sysmain Service Elevation of PrivilegeImportant
Windows Local Security Authority Subsystem Service (LSASS)CVE-2023-36391Local Security Authority Subsystem Service Elevation of Privilege VulnerabilityImportant
Windows MediaCVE-2023-21740Windows Media Remote Code Execution VulnerabilityImportant
Windows MSHTML PlatformCVE-2023-35628Windows MSHTML Platform Remote Code Execution VulnerabilityCritical
Windows ODBC DriverCVE-2023-35639Microsoft ODBC Driver Remote Code Execution VulnerabilityImportant
Windows Telephony ServerCVE-2023-36005Windows Telephony Server Elevation of Privilege VulnerabilityImportant
Windows USB Mass Storage Class DriverCVE-2023-35629Microsoft USBHUB 3.0 Device Driver Remote Code Execution VulnerabilityImportant
Windows Win32KCVE-2023-36011Win32k Elevation of Privilege VulnerabilityImportant
Windows Win32KCVE-2023-35631Win32k Elevation of Privilege VulnerabilityImportant
XAML DiagnosticsCVE-2023-36003XAML Diagnostics Elevation of Privilege VulnerabilityImportant

และสามารถดูข้อมูลเพิ่มเติมได้ที่ Microsoft Patch tuesday Reports December 2023

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

13/12/2566

Toyota Financial Services แจ้งเตือนไปยัง Toyota ทั่วโลก ถึงเหตุการณ์ข้อมูลลูกค้ารั่วไหล กระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน



    Toyota Financial Services เป็นบริษัทในเครือของ Toyota Motor Corporation ได้ออกมาประกาศแจ้งเตือนถึงลูกค้าเรื่องข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน
    เหตุการณ์นี้เกิดขึ้นเมื่อเดือนที่ผ่านมา โดยบริษัทถูกเข้าถึงระบบบางส่วนในยุโรป และแอฟริกาโดยไม่ได้รับอนุญาต ภายหลังจากที่ Medusa ransomware อ้างว่าโจมตีแผนกผู้ผลิตรถยนต์ของญี่ปุ่นสําเร็จ โดยผู้โจมตีได้เรียกค่าไถ่จำนวน 8,000,000 ดอลลาร์ เพื่อลบข้อมูลที่ขโมยมา และให้เวลา Toyota 10 วันในการติดต่อกลับ
    โดย Toyota ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า เมื่อทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ทำการออฟไลน์ระบบบางระบบเพื่อปิดช่องโหว่ ทำให้ส่งผลกระทบต่อการบริการลูกค้า ทั้งนี้ สันนิษฐานว่า Toyota ยังไม่ได้มีการเจรจาการจ่ายค่าไถ่กับผู้โจมตี ทำให้ขณะนี้ข้อมูลทั้งหมดถูกปล่อยออกมาบนดาร์กเว็บ
    จากการที่ Toyota Kreditbank GmbH ในเยอรมนี ซึ่งเป็นหนึ่งในหน่วยงานที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ได้ออกมายอมรับว่าผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ส่งผลให้ข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป โดยสำนักข่าว Heise ของเยอรมนี ได้รับตัวอย่างแถลงการณ์ที่ Toyota ส่งถึงลูกค้าชาวเยอรมัน แจ้งว่าข้อมูลรั่วไหลประกอบด้วยข้อมูลดังต่อไปนี้

ข้อมูลที่รั่วไหลออกไป
  • ชื่อ
  • ที่อยู่
  • ข้อมูลสัญญา
  • รายละเอียดการเช่าซื้อ
  • IBAN (หมายเลขบัญชีธนาคารระหว่างประเทศ)
    โดยข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง การหลอกลวง และการทำธุรกรรมทางการเงิน รวมถึงการขโมยข้อมูลส่วนบุคคล ดังนั้นจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น
    อย่างไรก็ตามการตรวจสอบยังไม่เสร็จสิ้น และยังมีความเป็นไปได้ที่ผู้โจมตีจะสามารถเข้าถึงข้อมูลเพิ่มเติม โดยทาง Toyota กำลังดำเนินการตรวจสอบอย่างละเอียด และหากพบว่ามีการเปิดเผยข้อมูลเพิ่มเติม คาดว่าบริษัทจะรีบแจ้งให้ผู้ที่ได้รับผลกระทบทราบโดยทันที

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

12/12/2566

Krasue RAT (กระสือ) ใช้ Rootkit โจมตีไปยัง Linux server ของบริษัทโทรคมนาคมในประเทศไทย


    Treath Hunter จากบริษัทความปลอดภัยทางไซเบอร์ Group-IB ค้นพบ Trojan ที่ใช้สำหรับเข้าถึงจากระยะไกล RAT (Remote Access Trojan) โดยตั้งชื่อว่า Krasue (กระสือ) ซึ่งมีการกำหนดเป้าหมายไปยังระบบ Linux ของบริษัทโทรคมนาคม ซึ่งพบว่ามีการซ่อนตัวมาตั้งแต่ปี 2021
    อีกทั้งยังพบว่าไบนารีของ Krasue RAT มี Rootkit ถึง 7 รูปแบบที่รองรับ Linux kernel หลายเวอร์ชัน และอิงตามโค้ดจาก Project open-source 3 Project
    Krasue RAT จะแฝงตัวในเครื่องเป้าหมาย ซึ่งอาจจะใช้วิธีการเข้าถึงระบบของเหยื่อผ่านทาง Botnet หรือจากข้อมูลที่ถูกขายมาจากผู้โจมตีรายอื่น ที่ใช้สำหรับเพื่อเข้าถึงเป้าหมายโดยเฉพาะ
    Group-IB ยังระบุเพิ่มเติมอีกว่า Krasue RAT อาจถูกใช้ภายหลังจากการโจมตีสำเร็จ เพื่อแฝงตัวในเครื่องเป้าหมาย แต่ยังไม่สามารถระบุได้ว่าใช้วิธีการใดในการแพร่กระจาย ซึ่งอาจจะผ่านทางช่องโหว่ต่าง ๆ หรือการดาวน์โหลดโปรแกรม หรือไบนารีที่ไม่ปลอดภัยซึ่งอาจปลอมเป็นโปรแกรมที่ดูเหมือนถูกต้องตามปกติ โดยเป้าหมายในการโจมตีคือบริษัทโทรคมนาคมในประเทศไทยเท่านั้น


Rootkit
    จากการวิเคราะห์ของ Group-IB พบว่า Rootkit ภายในไบนารีของ Krasue RAT คือ Linux Kernel Module (LKM) ที่ปลอมแปลงเป็นไดรเวอร์ VMware หลังจากถูกเรียกใช้งาน ซึ่ง rootkit ระดับ Kernel นั้นตรวจพบ และลบได้ยาก เนื่องจาก Rootkit ทำงานในระดับความปลอดภัยเดียวกันกับระบบปฏิบัติการ
    โดย rootkit ดังกล่าวรองรับ Linux Kernel เวอร์ชัน 2.6x/3.10.x ซึ่งช่วยให้ไม่ถูกตรวจจับ เนื่องจากเซิร์ฟเวอร์ Linux รุ่นเก่ามักมีการป้องกันด้านความปลอดภัยที่ต่ำ
    Treath Hunterของ Group-IB พบว่า Rootkit ทั้ง 7 เวอร์ชันมีความสามารถในการเรียกใช้ system call และ function call hooking ที่เหมือนกัน รวมถึงใช้ชื่อปลอม “VMware User Mode Helper” ชื่อเดียวกัน


    Treath Hunterได้ตรวจสอบโค้ด และพบว่า rootkit นั้นใช้ Rootkit LKM แบบ open-source สามแบบ โดยเฉพาะ Diamorphine, Suterusu และ Rooty ซึ่งทั้งหมดนี้มีให้บริการมาตั้งแต่ปี 2017 Krasue Rootkit สามารถซ่อน Port หรือยกเลิกการซ่อน Port ทำให้สามารถซ่อนตัว, ใช้สิทธิ์รูท และเรียกใช้คำสั่ง kill สำหรับ ID ของ Process ใด ๆ ก็ได้ นอกจากนี้ยังสามารถปกปิดร่องรอยด้วยการซ่อนไฟล์ และไดเร็กทอรีที่เกี่ยวข้องกับ Malware Krasue สามารถเชื่อมต่อกลับไปยัง
command and control (C2) server ด้วยคำสั่งต่อไปนี้ :
  • ping - ตอบกลับด้วย `pong`
  • master - ตั้งค่า master upstream C2
  • info - รับข้อมูลเกี่ยวกับMalware: main pid, child pid และสถานะ เช่น “root : ได้รับสิทธิ์ root” “god : ไม่สามารถลบ process ได้” “hidden : ซ่อน process ” “module : โหลด Rootkit”
  • restart - รีสตาร์ท child process
  • respawn - รีสตาร์ท main process
  • god die - ** ลบตัวเอง
  • shell - รัน shell commands ด้วย `/bin/sh`
    Group-IB พบ IP addresses ของ C2 ที่แตกต่างกัน 9 รายการ ที่ hardcode ลงใน Malware โดยมี IP addresses หนึ่งรายการ ที่ใช้ Port : 554 ซึ่งเป็นการเชื่อมต่อ RTSP (Real Time Streaming Protocol) ทั้งนี้การเชื่อมต่อผ่าน Port : 554 RTSP ไม่ได้พบบ่อยนัก ทำให้เป็นอีกจุดสังเกตุในการตรวจสอบ Krasue Rootkit
    RTSP เป็น network control protocol ที่ออกแบบมาสำหรับ streaming media servers ซึ่งช่วยสร้าง และควบคุมเซสชันการเล่นสื่อสำหรับสตรีมวิดีโอ และเสียง การนำทางสื่อ การจัดการสตรีมการประชุม และอื่น ๆ แม้ว่า Treath Hunter จะยังไม่ทราบที่มาของ Malware Krasue แต่พบว่า Krasue Rootkit มีความคล้ายคลึงกับ Linux malware ที่เรียกว่า XorDdos อาจเป็นไปได้ว่าผู้พัฒนา Krasue ก็สามารถเข้าถึงโค้ด XorDdos ได้เช่นกัน ทั้งนี้ปัจจุบันบริษัทรักษาความปลอดภัยทางไซเบอร์ได้ให้ข้อมูล YARA rules เพื่อการตรวจจับ และสนับสนุนให้ Treath Hunter คนอื่นเผยแพร่สิ่งที่พวกเขารู้เกี่ยวกับMalwareตัวดังกล่าว

YARA rules
  • auwd.bin - 902013bc59be545fb70407e8883717453fb423a7a7209e119f112ff6771e44cc
  • auwd.bin - b6db6702ca85bc80599d7f1d8b1a9b6dd56a8e87c55fc831dc9c689e54b8205d
  • auwd.bin (packed) - ed38a61a6b7af436120465d352baa4cdf4ed8f01a7db7245b6254353e52f818f
  • auwd.bin (packed) - afbc79dfc4c7c4fd9b71b5fea23ef12adf0b84b1af22a993ecf91f3d829967a4
Rootkit
Rootkit v2.6.32-642:
97f08424b14594a5a39d214bb97823690f1086c78fd877558761afe0a032b772
Rootkit v2.6.32-220:
38ba7790697da0a736c80fd9a04731b8b0bac675cca065cfd42a56dde644e353
Rootkit v2.6.32-71:
e0748b32d0569dfafef6a8ffd3259edc6785902e73434e4b914e68fea86e6632
Rootkit v2.6.18:
4428d7bd7ae613ff68d3b1b8e80d564e2f69208695f7ab6e5fdb6946cc46b5e1
Rootkit v2.6.39:
c9552ba602d204571b9f98bd16f60b6f4534b3ad32b4fc8b3b4ab79f2bf371e5
Rootkit v3.10.0-514:
3e37c7b65c1e46b2eb132f98f65c711b4169c6caeeaecc799abbda122c0c4a59
Rootkit v3.10.0-327:
8a58dce7b57411441ac1fbff3062f5eb43a432304b2ba34ead60e9dd4dc94831


ที่ ไม่มีความคิดเห็น:

08/12/2566

กลุ่ม APT28 ใช้ช่องโหว่ใน Outlook เพื่อขโมยบัญชี Microsoft Exchange


    Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม ผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML

การโจมตีช่องโหว่ Outlook
    CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การยกระดับสิทธิ์ Elevation of Privilege (EoP) ใน Outlook บน Windows ซึ่ง Microsoft ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน Patch Tuesday เดือนมีนาคม 2023
    การโจมตีโดยใช้ช่องโหว่ Outlook ของกลุ่ม APT28 เริ่มขึ้นตั้งแต่เดือนเมษายน 2022 ผ่าน Outlook notes ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อขโมย NTLM hashes โดยบังคับให้อุปกรณ์เป้าหมายตรวจสอบสิทธิ์การแชร์ SMB ที่ ผู้ไม่ประสงค์ดีควบคุม โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ หลังจากนั้นก็จะทำการแพร่กระจายไปในระบบของเป้าหมาย (lateral movement) และเปลี่ยนสิทธิ์กล่องจดหมายบน Outlook เพื่อดำเนินการขโมยอีเมลแบบกำหนดเป้าหมาย
    ถึงแม้ว่าจะมีการออกแพตซ์อัปเดตด้านความปลอดภัย และคำแนะนำในการป้องกัน แต่ช่องทางในการโจมตียังคงมีความอันตราย รวมถึงช่องโหว่ bypass of the fix (CVE-2023-29324) ที่ถูกเผยแพร่ในเดือนพฤษภาคม 2023 ก็ทำให้มีความเสี่ยงในการโจมตีเพิ่มยิ่งขึ้น
    Recorded Future ได้แจ้งเตือนในเดือนมิถุนายน 2023 ที่ผ่านมา จากการพบกลุ่ม APT28 ได้ใช้ช่องโหว่ของ Outlook ในการโจมตีไปยังองค์กรสำคัญของยูเครนในเดือนตุลาคม 2022 และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส (ANSSI) ได้เปิดเผยว่ากลุ่ม APT28 ได้ใช้ช่องโหว่ Zero-Day ในการโจมตีหน่วยงานภาครัฐ, ธุรกิจ, มหาวิทยาลัย, สถาบันวิจัย และสถาบันวิจัยในฝรั่งเศส

คำแนะนำในการป้องกันตามลำดับความสำคัญ มีดังนี้ :
  • อัปเดตแพตซ์ความปลอดภัยสำหรับช่องโหว่ CVE-2023-23397 และ CVE-2023-29324
  • ใช้ script จาก Microsoft เพื่อตรวจสอบว่ามีการกำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Exchange หรือไม่
  • รีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกโจมตี และเปิดใช้งาน MFA (multi-factor authentication) สำหรับผู้ใช้ทั้งหมด
  • จำกัดการรับส่งข้อมูลผ่าน SMB โดยการบล็อกการเชื่อมต่อไปยังพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด
  • ปิดการใช้งาน NTLM บนระบบ
    เนื่องจากกลุ่ม APT28 เป็นกลุ่ม ผู้ไม่ประสงค์ดีที่มีความสามารถสูง และสามารถปรับรูปแบบการโจมตีได้ตลอดเวลา วิธีการป้องกันการโจมตีที่ดีที่สุดคือการลดพื้นที่ที่มีความเสี่ยงในการถูกโจมตีให้ได้มากที่สุด รวมถึงหมั่นตรวจสอบซอฟต์แวร์ทั้งหมดในระบบ ว่าได้รับการอัปเดตอย่างสม่ำเสมอหรือไม่

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)