อาชญากรรมไซเบอร์ในเดือนมกราคม 2024 จะมุ่งเน้นไปที่การโจมตีช่องโหว่ที่รู้จักกันดี (CVE) การขโมย
คริปโตเคอร์เรนซี และการอัปเดตเกี่ยวกับแรนซัมแวร์
ในช่วงเดือนที่ผ่านมามีการรั่วไหลของข้อมูลที่น่าสนใจหลายครั้งภายในระบบนิเวศน์ตลาดแรนซัมแวร์ โดยเกี่ยวข้องกับกลุ่มอาชญากรไซเบอร์อย่าง BlackCat และ Zeppelin กลุ่มแรนซัมแวร์ที่คุ้นเคยกันยังคงครองพื้นที่ในโลกไซเบอร์ทั้งในด้านปริมาณและการปรากฏตัว เช่น Play, BlackCat/AlphV, LockBit, Phobos (8base) และ Akira
เเละในส่วนอัปเดตของเดือนนี้ เราจะมาพูดถึงช่องโหว่บางส่วนที่ถูกกลุ่มอาชญากรไซเบอร์เหล่านี้ใช้เป็นอาวุธในการโจมตี โดยมีเป้าหมายที่เป็นองค์กรขนาดใหญ่ที่มีชื่อเสียงอย่าง Microsoft SQL และ SharePoint
ใช่ครับ ภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับคริปโตเคอเรนซี ดาต้าเป็นบริการ (DaaS) และการโจมตีบัญชีโซเชียลมีเดียพุ่งสูงในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยเฉพาะอย่างยิ่งกับกรณีการโจมตีบัญชีโซเชียลมีเดียของบุคคลสำคัญ ซึ่งสร้างความเสียหายอย่างมาก ดังนั้น การพูดคุยถึงกลลวงเหล่านี้และวิธีการโจมตีจึงเป็นเรื่องสำคัญ ซึ่ง ประเด็นที่น่าจับตามอง ได้แก่:
-
Crypto drainers: มัลแวร์ประเภทหนึ่งที่ออกแบบมาเพื่อขโมยคริปโตเคอเรนซีโดยตรง มักพบในเว็บไซต์ปลอม แอปพลิเคชัน หรือส่วนขยายเบราว์เซอร์ที่หลอกลวง โดยแอบอ้างเป็นบริการหรือผลิตภัณฑ์ที่น่าเชื่อถือ
-
DaaS (Data as a Service): รูปแบบธุรกิจที่นำข้อมูลผู้ใช้ไปขายต่อ โดยอาจเป็นข้อมูลที่ได้มาอย่างไม่ถูกต้องหรือละเมิดความเป็นส่วนตัว ซึ่งข้อมูลเหล่านี้อาจถูกนำไปใช้ในกิจกรรมที่เป็นอันตราย เช่น การโจมตีแบบฟิชชิ่งหรือการแอบอ้างตัวตน
-
การโจมตีบัญชีโซเชียลมีเดีย: แฮกเกอร์มักโจมตีบัญชีของบุคคลสำคัญหรือผู้ที่มีผู้ติดตามจำนวนมากเพื่อใช้ในการแพร่กระจายกลลวงหรือข่าวปลอม โดยเฉพาะอย่างยิ่งกลลวงที่เกี่ยวข้องกับคริปโตเคอเรนซี
ซึ่งวันนี้เราจะสรุปการพูดคุยของเราในเดือนนี้ซึ่งครอบคลุมการอัปเดตสั้น ๆ เกี่ยวกับโบรกเกอร์การเข้าถึงและเครื่องมือที่เป็นอันตรายที่กําหนดเป้าหมายแพลตฟอร์ม EDR พร้อมกับข่าวเชิงบวกเกี่ยวกับการบังคับใช้กฎหมายและการเปิดตัวตัวถอดรหัส Babuk
การใช้ประโยชน์จากช่องโหว่ N-Day และ 0-Day อย่างต่อเนื่อง
พบภัยคุกคามที่เกิดจากช่องโหว่ CVE-2023-29357 ใน Microsoft SharePoint เป็นเรื่องน่ากังวล โดยเฉพาะอย่างยิ่งเมื่อมีการยืนยันว่ามีผู้ไม่หวังดีจำนวนมากกำลังใช้ช่องโหว่นี้โจมตีระบบ
ในช่วงต้นเดือนมกราคม รายละเอียดเริ่มปรากฏขึ้นเกี่ยวกับการใช้ประโยชน์จากข้อบกพร่องซีโร่เดย์อย่างน้อยสองรายการในแพลตฟอร์ม Ivanti (Ivanti Connect Secure และ Ivanti Policy Secure Gateways) ช่องโหว่ที่ระบุใหม่ CVE-2023-46805 และ CVE-2024-21887 อนุญาตให้มีการโจมตีแบบแทรกคําสั่งโดยไม่ได้รับอนุญาต
ตามรายงานเบื้องต้น ช่องโหว่ของ Ivanti ตกเป็นเป้าหมายของกลุ่มภัยคุกคามที่เน้นการจารกรรม (UNC5221) และใช้เพื่อปล่อยมัลแวร์ต่างๆ รวมถึงแบ็คดอร์ เว็บเชลล์ และเครื่องเก็บเกี่ยวข้อมูลประจําตัว พร้อมด้วยเครื่องมือหลังการแสวงหาผลประโยชน์ เช่น PySoxy (พร็อกซีอุโมงค์) และ BusyBox ตัวอย่างที่มีช่องโหว่เกือบ 20,000 รายการของผลิตภัณฑ์ Ivanti ต่างๆ ได้รับการระบุว่าเปิดเผยต่อสาธารณะ
การกระจายอุปกรณ์ Ivanti ที่เปิดเผยทั่วโลก (ผ่าน Shodan)
ควรสังเกตว่าโค้ด PoC และโมดูล MetaSploit สําหรับข้อบกพร่องเหล่านี้พร้อมใช้งานแล้ว
New Ivanti PoC code on Github
คำแนะนำ
ข้อบกพร่องเหล่านี้ควรอยู่ในอันดับสูงในรายการลําดับความสําคัญหากยังไม่ได้รับการแก้ไข ผู้พิทักษ์ควรทบทวนคําแนะนําของ Ivanti และ CISA คําแนะนําของ CISA ยังให้ข้อกําหนดที่ชัดเจนสําหรับหน่วยงานของรัฐบาลกลาง (ตามคําสั่งความปลอดภัยทางไซเบอร์ของรัฐบาลกลางในปัจจุบัน)
การอัปเดตแรนซัมแวร์
เดือนนี้เราได้เห็นการพัฒนาที่น่าสนใจมากมายในระบบนิเวศของแรนซัมแวร์ พันธมิตรที่ถูกกล่าวหาก่อนหน้านี้ของ Zeppelin RaaS ที่เลิกใช้แล้วได้โฆษณาการขายตัวสร้างที่เกี่ยวข้องและไฟล์สนับสนุนในตลาดใต้ดิน ผู้ขายที่รู้จักกันในชื่อ “RET” เสนอแพ็คเกจในราคา 500.00 USD ผู้ขายรายเดียวกันนี้มีประวัติการขายเครื่องมือสไตล์ “AV/EDR-killer” เช่นกัน.
การขายนี้ช่วยลดอุปสรรคก่อนหน้านี้ในการเข้าสู่ข้อเสนอ RaaS ที่ได้มาจาก Zeppelin ก่อนที่จะมีการรั่วไหลนี้ (โฮสต์ในฟอรัม RAMP ที่มีชื่อเสียง) ผู้สร้างแรนซัมแวร์ Zeppelin ได้รับการเสนอโดยมีค่าธรรมเนียมเริ่มต้นอย่างน้อย 2000.00 USD ผู้ประสงค์ร้ายที่ต้องการรับรูปแบบส่วนลดของผู้สร้าง “ทดสอบถนน” จะดึงดูดข้อเสนอประเภทนี้อย่างมาก.
นอกจากนี้ เราเห็นความพยายามที่คล้ายกันในการทําการตลาดของ RaaS ด้วยการโพสต์ไปยังฟอรัมที่มีชื่อเสียงซึ่งเสนอซอร์สโค้ด BlackCat/ALPHV สําหรับขาย การโพสต์มาพร้อมกับภาพหน้าจอของสิ่งที่ดูเหมือนจะเป็นเครื่องมือพันธมิตรสําหรับการจัดส่งและการจัดการเพย์โหลดของ BlackCat.
ตู้เก็บของ BlackCat/ALPHV สําหรับขาย?
ต้องใช้เวลาก่อนที่จะเข้าใจถึงการเข้าถึงและผลกระทบของการรั่วไหลเหล่านี้โดยเฉพาะ การลดระดับแถบรอบชุดเครื่องมือเหล่านี้ย่อมดึงดูดอาชญากรที่กล้าได้กล้าเสียมากขึ้นซึ่งเครื่องมือเหล่านี้อาจไม่สามารถเข้าถึงได้มาก่อน
พอร์ทัลสําหรับชื่อสร้างสรรค์ “Going Insane Ransomware” ปรากฏขึ้นในเดือนนี้ สําหรับผู้ที่นึกถึงช่วงปลายทศวรรษ 1990 “Going Insane” ดูเหมือนจะโอบกอดสุนทรียศาสตร์ของ GeoCities ด้วยการจัดวางไซต์ของตนในยุค 90 อย่างแน่นอน
Going Insane เป็นมัลแวร์ประเภท แรนซัมแวร์ ที่เข้ารหัสไฟล์บนคอมพิวเตอร์ของเหยื่อและเรียกร้องค่าไถ่เพื่อถอดรหัส
กลุ่มกําลังสรรหาและโฆษณาโปรแกรมพันธมิตร (RaaS) ด้วยชุดคุณลักษณะต่อไปนี้ (ยกมา):
-
การเข้ารหัส AES ระดับทหาร
-
เข้ารหัสไฟล์ทั้งหมดทุกไฟล์ภายใต้การล็อคและคีย์”
-
แพร่กระจายในเครือข่าย แพร่เชื้อทุกอุปกรณ์ในเครือข่าย”
-
ขโมยกระเป๋าสตางค์
-
เบราว์เซอร์ขโมย
-
ขโมยข้อมูลระบบ
-
คุกกี้แยกวิเคราะห์อัตโนมัติ
-
ตรวจไม่พบอย่างเต็มที่ ข้าม AV ทั้งหมด
-
FUD (0 ตรวจพบ) ตลอดไป ig
คำเเนะนำ
SentinelOne Singularity™ Endpoint ตรวจจับและป้องกันการโจมตีที่เกี่ยวข้องกับ Zeppelin/Buran, ALPHV และ Insane RaaS ที่รู้จัก ผู้พิทักษ์และนักล่าภัยคุกคามอาจพบว่าตัวบ่งชี้เพิ่มเติมต่อไปนี้มีประโยชน์สําหรับแรนซัมแวร์ GIR
Drainers and Accounts Takeovers
เมื่อเร็ว ๆ นี้ การโจมตีการครอบครองบัญชีจํานวนมากได้แพร่กระจายผ่าน Twitter/X ซึ่งนําไปสู่การประนีประนอมของบัญชีที่มีชื่อเสียงหลายบัญชี บัญชีเหล่านี้ได้รับการจัดการเพื่อเผยแพร่เนื้อหาที่มีศูนย์กลางอยู่ที่การหลอกลวงสกุลเงินดิจิทัล ซึ่งจัดทําโดยกลุ่มที่เรียกว่า crypto-drainers หรือ Drainers as a Service (DaaS)
ผู้ที่ตกเป็นเหยื่อของการโจมตีเหล่านี้รวมถึงหน่วยงานที่โดดเด่น เช่น CertiK, SEC และ Mandiant ผู้จําหน่ายความปลอดภัยทางไซเบอร์
วิธีการที่ใช้ในการประนีประนอมบัญชีแตกต่างกันไป ตั้งแต่ข้อมูลประจําตัวแบบเดรัจฉานในกรณีที่ไม่มีการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ไปจนถึงการสลับซิมที่เปิดใช้งาน MFA
แม้ว่าแนวคิดของ Drainers และ DaaS จะไม่ใช่เรื่องใหม่ แต่การละเมิดที่มีรายละเอียดสูงเมื่อเร็ว ๆ นี้ได้ให้ความสําคัญกับกิจกรรมที่เป็นอันตรายเหล่านี้อีกครั้ง เห็นได้ชัดว่าผู้โจมตีมีแรงจูงใจในการกําหนดเป้าหมายบัญชีที่มีการเข้าชมสูงโดยมีเป้าหมายเพื่อเปลี่ยนเส้นทางผู้ใช้จํานวนมากขึ้นไปยังไซต์ที่มุ่งร้ายของพวกเขาตามที่ระบุโดยอัตราการคลิกผ่านที่เพิ่มขึ้นในโพสต์หลอกลวงที่เชื่อมโยงกับบัญชีที่ถูกแย่งชิงเหล่านี้
บัญชี Twitter/X ที่ถูกแย่งชิง – ส่งเสริมการหลอกลวงสกุลเงินดิจิทัล
เวกเตอร์เริ่มต้นสําหรับการโจมตีเหล่านี้มักจะผ่านฟิชชิ่งตามด้วยการครอบครองอุปกรณ์ผ่านเทคนิคต่างๆ เช่น การสลับซิม
ในที่สุดการโจมตีเหล่านี้มีผลกระทบมากกว่าการสูญเสียทางการเงินของผู้ที่ตกเป็นเหยื่อของการหลอกลวง แบรนด์ที่มีชื่อเสียงที่มีบัญชีถูกอาชญากรเหล่านี้ยึดครองมีความเสี่ยงที่จะเกิดความเสียหายต่อชื่อเสียงซึ่งอาจส่งผลกระทบทางการเงิน
เข้าถึงนายหน้าและเครื่องมือ
เรายังคงเห็นตลาดสําหรับการเข้าถึงระดับองค์กรและระดับองค์กรเจริญรุ่งเรืองจนถึงจุดที่ผู้ซื้อกําลังร้องขอโอกาสในการซื้อจากผู้ให้บริการมากมาย ขณะนี้ผู้ซื้อพยายามเสนอราคาสูงกว่ากันสําหรับการเข้าถึงโดยเสนอค่าธรรมเนียมที่มากขึ้นหรือรับเปอร์เซ็นต์ที่ต่ำกว่า
ผู้ซื้อ Corporate Access (แปลโดย AI)
ผู้ซื้อ Corporate Access (แปลโดย AI)
ผู้ที่ขายการเข้าถึงดังกล่าวกําลังทํากําไรจากการกําหนดเป้าหมายบริการที่ไม่มีการป้องกัน เช่น IAM และเก็บเกี่ยวผลตอบแทนมากมาย มันเป็นตลาดของผู้ขายอย่างแท้จริงในขณะนี้ ซึ่งเป็นสัญญาณที่น่าเป็นห่วงสําหรับผู้พิทักษ์
ในขณะเดียวกันเรายังคงสังเกตการตลาดและการใช้เครื่องมือสไตล์ “AV / EDR-killer” ที่กําหนดเอง เครื่องมือเช่น auKill และ BackStab มักพบในสิ่งประดิษฐ์ที่ทิ้งไว้หลังจากการโจมตีของแรนซัมแวร์ในระยะยาวหรือแม้แต่แคมเปญ ATP
ผู้จําหน่าย AV/EDR Killer (แปลโดย AI) มกราคม 2024
คำเเนะนำ
เครื่องมือที่เรียกว่า AV/EDR “นักฆ่า” มักจะอาศัยฟังก์ชัน BYOD (นําไดรเวอร์ของคุณเอง) และส่วนประกอบเพิ่มเติม เช่น Process Explorer, Zemana และอื่นๆ สิ่งนี้ทําให้มองเห็นได้ชัดเจนสําหรับแพลตฟอร์มที่ได้รับการปรับแต่งมาอย่างดีเช่น SentinelOne Singularity™ การตรวจสอบให้แน่ใจว่าองค์กรมีการมองเห็นที่ดีในกระบวนการปลายทางพร้อมกับการตรวจจับความผิดปกติสามารถให้การป้องกันเพิ่มเติมจากเครื่องมือดังกล่าว
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Drainers และ DaaS ขอแนะนําให้ผู้พิทักษ์ทบทวน The Rise of Drainer-as-a-Service | Drainer-as-a-Service ทําความเข้าใจ DaaS
การบังคับใช้กฎหมายและการหยุดชะงัก
แม้ว่าภูมิทัศน์ของอาชญากรรมไซเบอร์อาจดูน่ากลัว แต่ในช่วงไม่กี่เดือนที่ผ่านมามีชัยชนะสำคัญบางประการสำหรับกองกำลังความปลอดภัยไซเบอร์ นี่คือไฮไลต์บางส่วนจากปลายเดือนธันวาคมและมกราคม:
หัวหน้าแก๊งค์ ShinyHunters ถูกจำคุก 3 ปี พร้อมชดใช้ค่าเสียหาย
เซบาสเตียน ราอุลต์ (Sebastien Raoult) หัวหน้าแก๊งค์ ShinyHunters ผู้มีฉายา “Sezyo Kaizen” ถูกตัดสินจำคุก 3 ปี พร้อมชดใช้ค่าเสียหาย โดยเขาถูกพบว่ามีความผิดในการ:
-
เจาะเข้าระบบผู้พัฒนาเพื่อขโมยคีย์ API และข้อมูลประจำตัว: ShinyHunters มีประวัติอันยาวนานในการโจมตีระบบจัดเก็บซอร์สโค้ดของนักพัฒนาเพื่อขโมยคีย์ API และข้อมูลประจำตัวอื่นๆ
-
ขายข้อมูล บริษัทที่รั่วไหล: เซบาสเตียน ราอุลต์ ถูกตัดสินว่ามีความผิดในการขายหรือเอื้อให้เกิดการขายข้อมูลบริษัทที่รั่วไหลผ่านตลาดและชุมชนออนไลน์ต่างๆ
-
ใช้ตลาดมืดและฟอรั่มขายข้อมูล: ตลาดที่รู้จักกันดีที่เขาใช้ในการขายข้อมูล ได้แก่ Alpha, Empire และฟอรั่มอย่าง XSS และ RaidForums
นี่ถือเป็นชัยชนะครั้งสำคัญสำหรับความปลอดภัยไซเบอร์ การจับกุมและลงโทษผู้นำของ ShinyHunters แสดงให้เห็นว่าอาชญากรรมไซเบอร์มีราคาที่ต้องจ่าย และหน่วยงานบังคับใช้กฎหมายกำลังเข้มงวดกับกิจกรรมนี้มากขึ้น
นอกจากนี้ในเดือนที่ผ่านมาเครื่องมือถอดรหัสใหม่สําหรับตัวแปร Tortilla ของ Babuk (aka Babuk Tortilla) ได้รับการเผยแพร่ เครื่องมือนี้เป็นผลมาจากความร่วมมือระหว่าง Cisco Talos, Dutch Police และ Avast หลังจากการจับกุมนักแสดงที่เกี่ยวข้องกับ Babuk ตัวแปรเฉพาะนี้ Talos สามารถทํางานร่วมกับ Avast เพื่อขยายตัวถอดรหัสที่มีอยู่เพื่อรองรับข้อมูลเชิงลึกที่ได้รับใหม่เกี่ยวกับตัวแปร Babuk อื่น ๆ
เครื่องมือถอดรหัส Babuk Tortilla สามารถดาวน์โหลดได้ทาง th
บทสรุป
เดือนแรกของปี 2567 ได้เห็นแนวโน้มที่ต่อเนื่องที่เราได้เน้นย้ำตลอดไตรมาสสุดท้ายของปี 2566 ความพร้อมใช้งานที่เพิ่มขึ้นของเครื่องมือที่ลดอุปสรรคในการเข้าสู่อาชญากรไซเบอร์ยังคงช่วยกระตุ้นระบบนิเวศของอาชญากรรมซึ่งผู้แสดงภัยคุกคามที่ค่อนข้างไม่มีทักษะสามารถ ดำเนินการโจมตีที่มีความเสี่ยงต่ำ/ให้ผลตอบแทนสูงกับองค์กรที่ไม่ได้เตรียมตัวไว้
การเพิ่มขึ้นในข้อเสนอและการโจมตี ‘Drainer-as-a-Service’ ถือเป็นส่วนขยายของรูปแบบบริการที่ได้รับความนิยมโดย ‘Ransomware-as-a-Service’ เพื่อกำหนดเป้าหมายการใช้งานอย่างแพร่หลายและความนิยมของสกุลเงินดิจิทัล ซึ่งเป็นรูปแบบที่พยายามขโมยจาก บุคคลแต่ควบคุมทรัพย์สินของบริษัทเพื่อเข้าถึงผู้ชมจำนวนมากผ่านการครอบครองบัญชีโซเชียลมีเดีย ดังที่เราทราบบ่อยครั้งว่าที่ใดมีเงิน อาชญากรที่กล้าได้กล้าเสียจะมองหาหนทาง
องค์กรสามารถปรับปรุงมาตรการรักษาความปลอดภัย ปกป้องทรัพย์สินของตน และหลีกเลี่ยงการตกเป็นเหยื่อรายถัดไปผ่านการรับรู้ การฝึกอบรม และเทคโนโลยีความปลอดภัยที่เหมาะสม หากต้องการรับทราบข้อมูลและรับข้อมูลอัปเดตครั้งต่อไป โปรดติดตามเราบนโซเชียลมีเดีย หากต้องการดูว่า SentinelOne สามารถช่วยรักษาความปลอดภัยให้กับธุรกิจของคุณได้อย่างไร โปรดติดต่อเราหรือขอการสาธิตฟรี
Read more about Cyber Security
เเหล่งอ้างอิง : January 2024 Cybercrime Update
Leave a Reply