เอาแล้ว! Exchange Servers โดน Ransomware จากแฮกเกอร์ชาวจีนโจมตีเป็นครั้งแรก

Exchange Servers

ตอนนี้หลายองค์กรที่ใช้ Microsoft Exchange คงจะปวดหัวกันไปตาม ๆ กัน เพราะล่าสุดพบ ransomware ตัวใหม่ (แบบที่ไม่เคยเห็นมาก่อน) บนเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว หลังแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโจมตี Microsoft Exchange เพียงไม่กี่เดือนที่ผ่านมา

 

ทั้งนี้ Microsoft รายงานว่าพบ ransomware ตัวใหม่บนเซิร์ฟเวอร์เมื่อวันพฤหัส โดย ransomware ตัวนี้มีชื่อว่า Ransom: Win32 / Doejocrypt.a หรืออีกชื่อคือ DearCry

 

Microsoft

 

จาก WebShells ไปจนถึง Ransomware

 

ด้านบริษัท Kryptos Logic เผยว่า เมื่อวันศุกร์ที่ผ่านมาพบเซิร์ฟเวอร์ที่มีการติดตั้ง ransomware โดยกลุ่มแฮกเกอร์นามว่า Hafnium แล้ว ซึ่ง ransomware ที่พบนั้นก็คือตัวที่ชื่อว่า DearCry นอกจากนี้ Kryptos Logic ยังเผยอีกว่าแฮกเกอร์กลุ่มนี้ยังได้เปิดเผยไฟล์ Webshells* ต่อสาธารณชนถึง 6,970 รายการอีกด้วย

 

*Webshell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่น ๆในเครือข่าย

 

Kryptos Logic

 

Ransomware ถูกติดตั้งแบบ Manually

 

อย่างไรก็ตาม ผลกระทบจากการปล่อยไฟล์ Webshells คือใครก็ตามที่รู้แม้แค่ URL เดียวของไฟล์ Webshells ก็สามารถเข้าควบคุมเซิร์ฟเวอร์ได้แล้ว อีกทั้งแฮกเกอร์กลุ่มนี้ก็ยังใช้ไฟล์จาก WebShells เพื่อติดตั้ง ransomware อีกด้วย (WebShells ได้ถูกติดตั้งครั้งแรกโดยกลุ่มแฮกเกอร์ Hafnium ที่ได้รับการสนับสนุนจากประเทศจีน)

 

Kryptos Logic ยังบอกด้วยว่า การโจมตีครั้งนี้เป็นแบบ “human operated” ซึ่งหมายความว่าพวกแฮกเกอร์ได้ติดตั้ง ransomware ในเซิร์ฟเวอร์ของ Exchange แบบ manually ทีละครั้ง ดังนั้นเซิร์ฟเวอร์อีกเกือบ 7,000 เซิร์ฟเวอร์จึงยังไม่ได้รับผลกระทบจาก ransomware DearCry นี้

 

Microsoft Exchange หลีกเลี่ยง Ransomware ไม่ได้

 

ด้านผู้เชี่ยวชาญเรื่องความปลอดภัยกล่าวว่าไม่สามารถที่จะหลีกเลี่ยงการติดตั้ง Ransomware ของแก๊งแฮกเกอร์ได้เลย เนื่องจากมันอาจส่งผลต่อเซิร์ฟเวอร์ที่ใช้ประโยชน์จากช่องโหว่ Proxylogon อยู่ อีกทั้งมันไม่คุ้มที่จะติดตั้ง patch เพราะถ้าติดตั้ง patch แล้วมันจะไปลบ Webshells ที่เหลือทิ้ง อีกอย่างยังไงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ก็ต้องถูกบุกรุกอยู่ดี ไม่ว่าจะโดยแฮกเกอร์ Hafnium หรือกลุ่มแฮกเกอร์อื่น ๆ ที่หาวิธีเข้าถึงเซิร์ฟเวอร์ได้

 

Sophos

 

สำหรับแรนซัมแวร์ DearCry นั้น บริษัท Sophos กล่าวว่ามันเกี่ยวกับระบบ public-key cryptosystem (เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะ) ด้วย โดยใช้ public key ที่ฝังอยู่ในไฟล์ ransomware แล้วอนุญาตให้มีการ encrypt ไฟล์โดยไม่จำเป็นต้องเชื่อมต่อกับ command และ control server ก่อน ส่วนในการ decrypt ข้อมูลนั้น ผู้ที่ตกเป็นเหยื่อจะต้องได้รับ private key จากผู้โจมตีเท่านั้น ถึงจะทำการ decrypt หรือถอดรหัสข้อมูลได้

 

เซิร์ฟเวอร์ Exchange ติดมัลแวร์มาหลายวันแล้ว

 

ในบรรดาคนแรก ๆ ที่พบ DearCry คือ Mark Gillespie (ผู้เชี่ยวชาญด้านความปลอดภัย ทำหน้าที่ช่วยนักวิจัยระบุสายพันธุ์ของมัลแวร์) เขาเล่าว่าในวันอังคารที่แล้วเขาได้รับการสอบถามจากประเทศต่าง ๆ ที่ใช้เซิร์ฟเวอร์ Exchange เช่น สหรัฐอเมริกา  แคนาดา และออสเตรเลีย เกี่ยวกับมัลแวร์ที่ชื่อ “DEARCRY”

 

Mark Gillespie

 

หลังจากนั้นเขาก็เจอว่ามีคนไปโพสต์ในฟอรัมของเว็บ Bleeping Computer บอกว่า Ransomware กำลังถูกติดตั้งบนเซิร์ฟเวอร์ที่มีช่องโหว่โดยกลุ่ม Hafnium หลังจากนั้นเว็บ Bleeping Computer ก็ออกมายืนยันว่าเรื่องนี้เป็นความจริง

 

John Hultquist รองประธานบริษัท Mandiant กล่าวว่า วิธี *Piggybacking ของแฮกเกอร์ที่ติดตั้ง Webshells อาจเป็นวิธีที่เร็วกว่าและมีประสิทธิภาพกว่าในการติดตั้งมัลแวร์บนเซิร์ฟเวอร์ที่ยังไม่ได้ติดตั้ง patch และเป็นวิธีที่ดีกว่าการใช้ประโยชน์จากช่องโหว่ Proxylogon และตามที่ได้กล่าวไปแล้ว แม้ว่าเซิร์ฟเวอร์จะติดตั้ง patch แล้ว แต่พวกแฮกเกอร์ก็ยังสามารถโจมตีได้อยู่ดี เพราะ Webshells ไม่ได้ถูกลบออกไป

 

*Piggybacking คือ วิธีที่บุคคลที่ไม่ได้รับอนุญาต สามารถเข้าถึงระบบบางส่วนที่เกี่ยวข้องกับบุคคลที่ได้รับอนุญาต

 

อ่านบทความที่เกี่ยวข้อง:  ช่องโหว่ Zero-day ของ Microsoft Exchange ถูกใช้โจมตีรัฐบาลท้องถิ่นสหรัฐฯ

 

ที่มา:

 

ติดต่อเจ้าหน้าที่ เพื่อปรึกษาหรือขอคำแนะนำด้าน Cybersecurity

 

ช่องโหว่ Zero-day ของ Microsoft Exchange ถูกใช้โจมตีรัฐบาลท้องถิ่นสหรัฐฯ

จากการตรวจสอบช่องโหว่ Zero-day* ของ Microsoft Exchange เมื่อเร็ว ๆ นี้ พบช่องโหว่ 4 ช่องที่ถูกนำไปใช้ในการโจมตีหน่วยงานรัฐบาลท้องถิ่นของสหรัฐฯ โดยเมื่อวันที่ 2 มีนาคม Microsoft เตือนว่ามีช่องโหว่ Zero-day 4 ตัวที่ถูกติดตามจากผู้ไม่หวังดี คือ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065

 

ทั้งนี้หากใช้ช่องโหว่นี้ในทางที่ผิด เซิร์ฟเวอร์ที่ใช้ซอฟต์แวร์ Exchange Server ปี 2013, 2016 และ 2019 ก็สามารถถูกบุกรุกได้ง่าย ๆ อย่างไรก็ตาม Microsoft ได้แนะนำให้ลูกค้านำแพตช์มาแก้ไขช่องโหว่นี้ในทันที และการเปิดเผยช่องโหว่ Zero-days นี้ ก็ยิ่งทำให้ cyberattackers โจมตีได้ทันทีเช่นเดียวกัน

 

Web Shell

 

ผู้ร้ายใช้ช่องโหว่นี้เพื่อเข้าไปปรับ Web Shell

 

จากรายงานของ Cybersecurity team ของ FireEye* พบว่ามีการติดตามการโจมตีสถานที่ต่าง ๆ ที่ละเมิดข้อบกพร่องด้านความปลอดภัยของ Exchange อยู่หลายครั้ง ซึ่งในบรรดาเหยื่อรายล่าสุด ได้แก่ หน่วยงานรัฐบาลท้องถิ่น มหาวิทยาลัย บริษัทวิศวกรรม และผู้ค้าปลีกในสหรัฐอเมริกา

 

อีกทั้งในเดือนนี้ได้มีการสังเกตเห็นว่า cyberattacker รายหนึ่งได้ใช้ช่องโหว่นี้เพื่อเข้าไปปรับ web shell* บนเซิร์ฟเวอร์ของ Exchange ที่มีช่องโหว่ และเพื่อ “establish persistence และ secondary access” โดยที่ cyberattackers รายนั้นก็พยายามที่จะลบ administrator accounts บนเซิร์ฟเวอร์ของ Exchange อีกด้วย

 

Exchange Server

 

ผู้ร้ายอาจใช้ช่องโหว่ Exchange Server เข้าถึงกลไกต่าง ๆ

 

นอกจากนี้การขโมยข้อมูล การบีบอัดข้อมูล และการใช้ PowerShell* เพื่อขโมย email inboxes ทั้งหมดก็ถูกบันทึกไปด้วยเช่นกัน อีกทั้งยังมีการใช้เครื่องมือ Covenant, Nishang และ PowerCat เพื่อทำการ remote access เข้ามาด้วย FireEye เสริมว่าหน่วยงานรัฐบาลของเอเชียตะวันออกเฉียงใต้ และบริษัทโทรคมนาคมในเอเชียกลางอาจเกี่ยวข้องกับแคมเปญนี้ พร้อมบ่งชี้ว่าผู้คุกคามเหล่านี้มีแนวโน้มที่จะใช้ช่องโหว่ของ Exchange Server เพื่อเข้าถึงกลไกต่าง ๆ

 

ผู้ใช้ Microsoft Exchange ควรอัปเดตซอฟต์แวร์ทันที

 

ก่อนหน้านี้ Microsoft ได้อ้างถึงการโจมตีของ Hafnium ซึ่งเป็นกลุ่มภัยคุกคามขั้น advanced หรือ APT (Advanced Persistent Threat) ที่รัฐบาลจีนให้การสนับสนุนอยู่ ว่าเคยมีส่วนเกี่ยวข้องกับการโจมตีบริษัทป้องกันภัย ภาคกฎหมาย นักวิจัย และรถถังของสหรัฐ

 

เซิร์ฟเวอร์

 

FireEye คาดว่าจะมีกลุ่มบุกรุกเพิ่มขึ้น ซึ่งเป็นปัญหาที่น่าจะเกิดขึ้นต่อไป จนกว่าเซิร์ฟเวอร์ที่มีช่องโหว่จะได้รับการแก้ไข ด้าน Kaspersky* กล่าวว่า มีความเสี่ยงสูงที่ Microsoft Exchange จะถูก ransomware และถูกขโมยข้อมูล จึงอยากขอให้ผู้ใช้ Microsoft Exchange ทุกคนอัปเดตซอฟต์แวร์โดยเร็วที่สุด

 

อย่างไรก็ตามในสัปดาห์นี้หน่วยงาน Cybersecurity และ Infrastructure Security Agency (CISA) ได้ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางจัดการกับช่องโหว่ของ Microsoft Exchange ทันที

 

บทความที่เกี่ยวข้อง: Robinhood บริษัทการเงินของอเมริกา เจอแฮกบัญชีเกือบ 2,000 บัญชี

 

ชื่อต่าง ๆ ในบทความ:

 

Zero-day คือ ชื่อเรียกช่องโหว่หรือจุดอ่อนในระบบคอมพิวเตอร์ประเภทหนึ่ง ซึ่งเกิดขึ้นจากความผิดพลาดในขั้นตอนการออกแบบและพัฒนาระบบ ที่ผู้พัฒนาไม่สามารถตรวจสอบพบก่อนนำระบบนั้นมาใช้งานจริง

FireEye ผู้ให้บริการทางด้าน Cyber Security ชื่อดังระดับโลก คลอบคลุมทุก Solutions

Web shell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่น ๆ

PowerShell คือ อินเทอร์เฟซสำหรับเข้าถึงเซอร์วิสต่าง ๆ บนระบบปฏิบัติการ ถูกออกแบบขึ้นเพื่อรันงานต่าง ๆ แบบอัตโนมัติ และเป็น Command Shell รูปแบบใหม่จาก Microsoft

Kaspersky คือกลุ่มผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัสที่พัฒนาโดยบริษัท Kaspersky Lab

 

ที่มา: zdnet.com

 

ติดต่อเจ้าหน้าที่ เพื่อปรึกษาหรือขอคำแนะนำด้าน Cybersecurity