9 เมษายน 2566
หน่วยงานด้านรักษาความปลอดภัยทาง Cybersecurity Mandiant ได้ประกาศพบกลุ่ม Ransomware ใหม่ในชื่อ ALPHVหรือBlackcat ransomware ภายใต้ชื่อ “UNC4466” กำลังมุ่งเป้าโจมตีไปยังผู้ใช้ผลิตภัณฑ์ Veritas Backup Exec Version 21.0
ก่อนหน้าเมื่อ เดือนธันวาคม2021 กลุ่ม ALPHV เป็นส่วนหนึ่งของเครือข่าย Darkside และ Black matter หากแต่ได้ยุติบทบาทลงเนื่องด้วยถูกกวาดล้างอย่างหนักจากหน่วยงานของรัฐบาลสหรัฐอเมริกา
ช่องโหว่ที่เกิดขึ้นเมื่อเดือนตุลาคม 2022 รายละเอียดดังนี้
ถึงแม้ว่าทาง Veritas Backup ได้ออกแพทช์ใหม่เมื่อเดือน มีนาคม 2021 ด้วย Version 21.2 แต่ยังคงพบช่องโหว่ดังกล่าวในเครื่องที่ติดตั้ง “Symantec/Veritas Backup Exec ndmp” service มากกว่า บนเครือข่ายอินเตอร์เนต มากกว่า 8500 IP ซึ่งยังคงใช้ default port 10000, port 9000 and port 10001
โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีเข้าถึงจากระยะไกลมุ่งไปยัง Windows server platform ที่ติดตั้ง Veritas Backup Exec version21.0 โดยใช้ Metasploit Module ในการเข้าสวมสิทธิ จากนั้นใช้ tools “Advanced IP Scanner and ADRecon” เป็นเครื่องมือในการเจาะระบบ แล้วทำการใช้ BITS (Background Intelligent Transfer Service) เพื่อดาวน์โหลด tools ในชื่อ “LAZAGNE, LIGOLO, WINSW, RCLONE” เป็นการปิดฟังก์ชั่นความปลอดภัยของระบบ หลังจากนั้นเข้ารหัสด้วย ALPHV ransomware
ถ้าหากผู้โจมตี (UNC4466) ดำเนินการสำเร็จจะใช้ SOCKS5 Tunneling เป็นช่องทางสื่อสารกับ Command and control server (C2) และใช้ Tools ชื่อ Mimikatz, LaZagne และ Nanodump เพื่อปิดระบบ Microsoft Defender รวมถึงลบ Logs ต่างๆ ใน Windows ของ
ท้ายสุดทาง Mandiant แนะนำถึงแยกเครือข่ายให้จำกัดการเข้าถึงและเปิดฟังก์ชั่น Multi-factor authentication รวมถึงทำการตรวจสอบสิทธิ ทดสอบระบบสำรองข้อมูลเป็นประจำ หมั่นตรวจสอบ service ที่เปิดบริการการเข้าถึงจากภายนอก ทั้งนี้เพื่อเป็นการป้องกันผลกระทบต่อผู้โจมตีที่อาจเกิดขึ้นได้
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา