Microsoft Azure by Ingram Micro (Thailand)

ผู้เชี่ยวชาญเผยกลุ่มแฮ็กเกอร์อิหร่านใช้ช่องโหว่เซิร์ฟเวอร์ VPN ลอบเข้าฝัง Backdoor

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix

credit : clearsky

ClearSky ได้เปิดเผยรายงานพฤติกรรมของแฮ็กเกอร์ระดับรัฐจากจากอิหร่านที่มุ่งเน้นองค์กรด้าน ไอที โทรคมนาคม น้ำมันและแก๊ส อวกาศ รัฐบาลและหน่วยงานด้านความปลอดภัยต่างๆ โดยชี้ให้เห็นว่าปัจจุบันทีมแฮ็กเกอร์จากอิหร่านมีการพัฒนาขึ้นมาก เช่น ทำงานร่วมกันหลายกลุ่ม สามารถประยุกต์ใช้ช่องโหว่ที่ถูกเปิดเผยได้ภายในไม่กี่ชั่วโมง มีการใช้เครื่องมือโอเพ่นซอร์สอย่าง JuicyPotato และ Invoke the Hash และพยายามเลือกใช้เครื่องมือปกติที่มีอยู่บนเครื่องแล้ว หรือแม้กระทั่งการพัฒนาเครื่องมือของตัวเองขึ้นมาดังนี้

  • STSRCheck – ฐานข้อมูลเพื่อจับคู่ระหว่างพอร์ตที่เปิดอยู่ (รูปตัวอย่างด้านล่าง)
  • POWSSHNET – Backdoor สำหรับทำ RDP-over-SSH
  • VBScripts – ใช้สำหรับดาวน์โหลดไฟล์ TXT จากเซิร์ฟเวอร์ควบคุมและแปลงเป็นไฟล์ Executable
  • Socket-based Backdoor over cs.exe
  • Port.exe -ใช้สแกนพอร์ตที่กำหนดกับไอพีที่สนใจ
credit : Clearsky

อย่างไรก็ตามปัจจุบันนี้รายงานเผยถึงการทำ reconnaissance และฝัง Backdoor ซึ่งเป็นไปได้ว่าอาจจะใช้ขยายวงการโจมตีต่อไปในอนาคตด้วย อย่างเช่นปล่อยมัลแวร์ทำลายล้าง (Wiping Malware) เพื่อทำให้ธุรกิจหยุกชะงักหรือใช้เป็นฐานเข้าสู่เหยื่อที่สนใจ สำหรับช่องโหว่เซิร์ฟเวอร์ VPN ชื่อดังที่ถูกใช้ในแคมเปญของแฮ็กเกอร์เกอร์มีดังนี้

ดังนั้นผู้ใช้งานที่ได้รับผลกระทบควรจะอัปเดตอย่างเร่งด่วนครับ หรือแม้กระทั่งอัปเดตไปแล้วก็สามารถใช้ IoC (Indicator of Compromise) จาก ClearSky ไปสแกนหาการโจมตีที่อาจเกิดขึ้นภายในองค์กรไปแล้วได้ครับ

ที่มา :  https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย

Google ยกระดับ URL Protection บน Chrome ให้เป็นแบบเรียลไทม์

Google ประกาศเปิดตัว Safe Browsing ที่เพิ่มความสามารถในการป้องกันภัยคุกคามและรักษาความเป็นส่วนบุคคลได้แบบเรียลไทม์สำหรับผู้ใช้ Google Chrome ทั้งบน Desktop และ iOS รวมถึงอัปเดตฟีเจอร์ Password Checkup ใหม่บน …