Breaking News

ผู้เชี่ยวชาญเผยกลุ่มแฮ็กเกอร์อิหร่านใช้ช่องโหว่เซิร์ฟเวอร์ VPN ลอบเข้าฝัง Backdoor

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix

credit : clearsky

ClearSky ได้เปิดเผยรายงานพฤติกรรมของแฮ็กเกอร์ระดับรัฐจากจากอิหร่านที่มุ่งเน้นองค์กรด้าน ไอที โทรคมนาคม น้ำมันและแก๊ส อวกาศ รัฐบาลและหน่วยงานด้านความปลอดภัยต่างๆ โดยชี้ให้เห็นว่าปัจจุบันทีมแฮ็กเกอร์จากอิหร่านมีการพัฒนาขึ้นมาก เช่น ทำงานร่วมกันหลายกลุ่ม สามารถประยุกต์ใช้ช่องโหว่ที่ถูกเปิดเผยได้ภายในไม่กี่ชั่วโมง มีการใช้เครื่องมือโอเพ่นซอร์สอย่าง JuicyPotato และ Invoke the Hash และพยายามเลือกใช้เครื่องมือปกติที่มีอยู่บนเครื่องแล้ว หรือแม้กระทั่งการพัฒนาเครื่องมือของตัวเองขึ้นมาดังนี้

  • STSRCheck – ฐานข้อมูลเพื่อจับคู่ระหว่างพอร์ตที่เปิดอยู่ (รูปตัวอย่างด้านล่าง)
  • POWSSHNET – Backdoor สำหรับทำ RDP-over-SSH
  • VBScripts – ใช้สำหรับดาวน์โหลดไฟล์ TXT จากเซิร์ฟเวอร์ควบคุมและแปลงเป็นไฟล์ Executable
  • Socket-based Backdoor over cs.exe
  • Port.exe -ใช้สแกนพอร์ตที่กำหนดกับไอพีที่สนใจ
credit : Clearsky

อย่างไรก็ตามปัจจุบันนี้รายงานเผยถึงการทำ reconnaissance และฝัง Backdoor ซึ่งเป็นไปได้ว่าอาจจะใช้ขยายวงการโจมตีต่อไปในอนาคตด้วย อย่างเช่นปล่อยมัลแวร์ทำลายล้าง (Wiping Malware) เพื่อทำให้ธุรกิจหยุกชะงักหรือใช้เป็นฐานเข้าสู่เหยื่อที่สนใจ สำหรับช่องโหว่เซิร์ฟเวอร์ VPN ชื่อดังที่ถูกใช้ในแคมเปญของแฮ็กเกอร์เกอร์มีดังนี้

ดังนั้นผู้ใช้งานที่ได้รับผลกระทบควรจะอัปเดตอย่างเร่งด่วนครับ หรือแม้กระทั่งอัปเดตไปแล้วก็สามารถใช้ IoC (Indicator of Compromise) จาก ClearSky ไปสแกนหาการโจมตีที่อาจเกิดขึ้นภายในองค์กรไปแล้วได้ครับ

ที่มา :  https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รวมวิดีโอจากงาน Cisco Live APJC Virtual Event

สำหรับผู้ที่พลาดได้เข้าฟังบรรยาย Cisco Live Virtual Event APJC ที่จัดออนไลน์ไปเมื่อต้นเดือนที่ผ่านมา ขณะนี้ Cisco เปิดให้เข้าชมวิดีโอแบบ On-demand แล้ว สามารถเข้าไปอัปเดตโซลูชันล่าสุดของ Cisco ในปี …

6 ขั้นตอนวางระบบ Work from Home อย่างมั่นคงปลอดภัย

ภายใต้สถานการณ์ที่เชื้อ COVID-19 กำลังแพร่ระบาดอยู่ในขณะนี้ หลายบริษัทต่างเริ่มนโยบายให้พนักงานสามารถทำงานจากที่บ้านได้ อย่างไรก็ตาม การทำงานจากภายนอกสถานที่ไม่ใช่แค่เซ็ตอัประบบ VPN เพื่อให้พนักงานสามารถรีโมตเข้ามาใช้งานได้เพียงอย่างเดียว แต่ยังรวมไปถึงการวางมาตรการควบคุมให้การเชื่อมต่อและการเข้าถึงทรัพยากรให้มีความมั่นคงปลอดภัยด้วย Fortinet จึงได้ออกมาแนะนำ 6 ขั้นตอนการวางระบบ Work from …