ผู้เชี่ยวชาญเผยกลุ่มแฮ็กเกอร์อิหร่านใช้ช่องโหว่เซิร์ฟเวอร์ VPN ลอบเข้าฝัง Backdoor

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix

ClearSky ได้เปิดเผยรายงานพฤติกรรมของแฮ็กเกอร์ระดับรัฐจากจากอิหร่านที่มุ่งเน้นองค์กรด้าน ไอที โทรคมนาคม น้ำมันและแก๊ส อวกาศ รัฐบาลและหน่วยงานด้านความปลอดภัยต่างๆ โดยชี้ให้เห็นว่าปัจจุบันทีมแฮ็กเกอร์จากอิหร่านมีการพัฒนาขึ้นมาก เช่น ทำงานร่วมกันหลายกลุ่ม สามารถประยุกต์ใช้ช่องโหว่ที่ถูกเปิดเผยได้ภายในไม่กี่ชั่วโมง มีการใช้เครื่องมือโอเพ่นซอร์สอย่าง JuicyPotato และ Invoke the Hash และพยายามเลือกใช้เครื่องมือปกติที่มีอยู่บนเครื่องแล้ว หรือแม้กระทั่งการพัฒนาเครื่องมือของตัวเองขึ้นมาดังนี้

• STSRCheck – ฐานข้อมูลเพื่อจับคู่ระหว่างพอร์ตที่เปิดอยู่ (รูปตัวอย่างด้านล่าง)
• POWSSHNET – Backdoor สำหรับทำ RDP-over-SSH
• VBScripts – ใช้สำหรับดาวน์โหลดไฟล์ TXT จากเซิร์ฟเวอร์ควบคุมและแปลงเป็นไฟล์ Executable
• Socket-based Backdoor over cs.exe
• Port.exe -ใช้สแกนพอร์ตที่กำหนดกับไอพีที่สนใจ

อย่างไรก็ตามปัจจุบันนี้รายงานเผยถึงการทำ reconnaissance และฝัง Backdoor ซึ่งเป็นไปได้ว่าอาจจะใช้ขยายวงการโจมตีต่อไปในอนาคตด้วย อย่างเช่นปล่อยมัลแวร์ทำลายล้าง (Wiping Malware) เพื่อทำให้ธุรกิจหยุกชะงักหรือใช้เป็นฐานเข้าสู่เหยื่อที่สนใจ สำหรับช่องโหว่เซิร์ฟเวอร์ VPN ชื่อดังที่ถูกใช้ในแคมเปญของแฮ็กเกอร์เกอร์มีดังนี้

• CVE-2019-11510 จาก Pulse Secure
• CVE-2018-13379 ใน Fortinet FortiOS VPN
• CVE-2019-1579 ใน Global Protect ของ Palo Alto Networks
• CVE-2019-19781 ใน Citrix ADC

ดังนั้นผู้ใช้งานที่ได้รับผลกระทบควรจะอัปเดตอย่างเร่งด่วนครับ หรือแม้กระทั่งอัปเดตไปแล้วก็สามารถใช้ IoC (Indicator of Compromise) จาก ClearSky ไปสแกนหาการโจมตีที่อาจเกิดขึ้นภายในองค์กรไปแล้วได้ครับ

ที่มา :  https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/