แฮกเกอร์ชาวจีนใช้ประโยชน์จากข้อบกพร่องของ Ivanti VPN เพื่อติดตั้งมัลแวร์ใหม่
2024.03.01
แฮกเกอร์ชาวจีนใช้ประโยชน์จากข้อบกพร่องของ Ivanti VPN เพื่อติดตั้งมัลแวร์ใหม่
กลุ่มจารกรรมทางไซเบอร์ที่ต้องสงสัยอย่างน้อยสองกลุ่มที่เชื่อมโยงกับจีน ซึ่งติดตามในชื่อ UNC5325และ UNC3886 มีสาเหตุมาจากการใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยในอุปกรณ์ Ivanti Connect Secure VPN
UNC5325 ใช้ CVE-2024-21893 ในทางที่ผิด เพื่อส่งมัลแวร์ใหม่หลายประเภทที่เรียกว่า LITTLELAMB.WOOLTEA, PITSTOP, PITDOG, PITJET และ PITHOOK รวมถึงพยายามรักษาการเข้าถึงอุปกรณ์ที่ถูกบุกรุกอย่างต่อเนื่อง Mandiant กล่าว
บริษัทข่าวกรองภัยคุกคามที่ Google เป็นเจ้าของได้ประเมินด้วยความมั่นใจปานกลางว่า UNC5325 มีความเกี่ยวข้องกับ UNC3886 เนื่องจากซอร์สโค้ดซ้อนทับกันใน LITTLELAMB.WOOLTEA และ PITHOOK ด้วยมัลแวร์ที่ใช้โดยรุ่นหลัง
เป็นที่น่าสังเกตว่า UNC3886 มีประวัติในการใช้ประโยชน์จากข้อบกพร่องแบบ Zero-day ในโซลูชันของ Fortinet และ VMware เพื่อปรับใช้อุปกรณ์ปลูกถ่ายที่หลากหลาย เช่น VIRTUALPITA, VIRTUALPIE, THINCRUST และ CASTLETAP
UNC3886 มีเป้าหมายหลักไปที่ฐานอุตสาหกรรมด้านกลาโหม เทคโนโลยี และองค์กรโทรคมนาคมที่ตั้งอยู่ในสหรัฐอเมริกาและภูมิภาค [เอเชียแปซิฟิก]” นักวิจัยของ Mandiant กล่าว
การใช้ประโยชน์อย่างแข็งขันของ CVE-2024-21893 ซึ่งเป็นช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF) ในองค์ประกอบ SAML ของ Ivanti Connect Secure, Ivanti Policy Secure และ Ivanti Neurons สำหรับ ZTA โดย UNC5325 กล่าวกันว่าเกิดขึ้นในช่วงต้นเดือนมกราคม 19 ต.ค. 2024 โดยกำหนดเป้าหมายอุปกรณ์จำนวนจำกัด
ห่วงโซ่การโจมตีเกี่ยวข้องกับการรวม CVE-2024-21893 เข้ากับช่องโหว่ Command Injection ที่เปิดเผยก่อนหน้านี้ ซึ่งติดตามในชื่อCVE -2024-21887 เพื่อเข้าถึงอุปกรณ์ที่มีความเสี่ยงโดยไม่ได้รับอนุญาต ซึ่งท้ายที่สุดนำไปสู่การปรับใช้ BUSHWALKเวอร์ชันใหม่
บางกรณียังเกี่ยวข้องกับการใช้ส่วนประกอบ Ivanti ที่ถูกต้องตามกฎหมายในทางที่ผิด เช่น ปลั๊กอิน SparkGateway เพื่อลดเพย์โหลดเพิ่มเติม ซึ่งรวมถึงปลั๊กอิน PITFUEL เพื่อโหลดอ็อบเจ็กต์ที่ใช้ร่วมกันที่เป็นอันตรายชื่อรหัส LITTLELAMB.WOOLTEA ซึ่งมาพร้อมกับความสามารถในการคงอยู่ในเหตุการณ์การอัพเกรดระบบ แพตช์ และการรีเซ็ตเป็นค่าจากโรงงาน
“ในขณะที่ความพยายามที่จำกัดในการรักษาความคงอยู่นั้นไม่ประสบความสำเร็จจนถึงปัจจุบัน เนื่องจากขาดตรรกะในโค้ดของมัลแวร์ในการบัญชีสำหรับคีย์การเข้ารหัสที่ไม่ตรงกัน มันแสดงให้เห็นเพิ่มเติมถึงความยาวของ UNC5325 ที่จะรักษาการเข้าถึงเป้าหมายที่มีลำดับความสำคัญและเน้นย้ำถึง ความสำคัญของการตรวจสอบให้แน่ใจว่าอุปกรณ์เครือข่ายมีการอัพเดตและแพตช์ล่าสุด” บริษัทชี้ให้เห็น
นอกจากนี้ยังทำหน้าที่เป็นแบ็คดอร์ที่รองรับการดำเนินการคำสั่ง การจัดการไฟล์ การสร้างเชลล์ พร็อกซี SOCKS และช่องทางการรับส่งข้อมูลเครือข่าย
นอกจากนี้ ยังพบอีกว่าปลั๊กอิน Spark Gateway ที่เป็นอันตรายอีกตัวหนึ่งชื่อ PITDOG ซึ่งฉีดออบเจ็กต์ที่ใช้ร่วมกันซึ่งเรียกว่า PITHOOK เพื่อดำเนินการฝังอย่างต่อเนื่องที่เรียกว่า PITSTOP ซึ่งออกแบบมาเพื่อการดำเนินการคำสั่งเชลล์ การเขียนไฟล์ และการอ่านไฟล์บนอุปกรณ์ที่ถูกบุกรุก
Mandiant อธิบายว่าผู้แสดงภัยคุกคามได้แสดงให้เห็นถึง “ความเข้าใจที่เหมาะสมยิ่งเกี่ยวกับอุปกรณ์และความสามารถในการล้มล้างการตรวจจับตลอดแคมเปญนี้” และใช้เทคนิคการใช้ชีวิตนอกพื้นดิน (LotL) เพื่อบินไปใต้เรดาร์
บริษัทรักษาความปลอดภัยทางไซเบอร์แห่งนี้กล่าวว่า คาดว่า “UNC5325 รวมถึงหน่วยงานจารกรรมจีน-Nexus อื่นๆ จะยังคงใช้ประโยชน์จากช่องโหว่แบบ Zero Day บนอุปกรณ์เครือข่าย รวมถึงมัลแวร์เฉพาะอุปกรณ์ เพื่อรับและรักษาการเข้าถึงสภาพแวดล้อมเป้าหมาย”
พบลิงก์ระหว่างโวลต์ไต้ฝุ่นกับ UTA0178
การเปิดเผยดังกล่าวเกิดขึ้นในขณะที่บริษัท Dragos บริษัทรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรมระบุ ว่า Volt Typhoon (หรือที่รู้จักในชื่อ Voltzite) ที่จีนสนับสนุนนั้นเป็นกิจกรรมการลาดตระเวนและการแจกแจงที่มุ่งเป้าไปที่บริษัทไฟฟ้าในสหรัฐฯ หลายแห่ง บริการฉุกเฉิน ผู้ให้บริการโทรคมนาคม ฐานอุตสาหกรรมด้านการป้องกัน และบริการดาวเทียม
Reference : https://thehackernews.com/2024/02/chinese-hackers-exploiting-ivanti-vpn.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05