พบช่องโหว่เก่าถูกนำมาโจมตีด้วย Cring Ransomware

16 เมษายน 2021

NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

เมื่อวันที่ 8 เมษายน 2021 ที่ผ่านมา Kaspersky Lab บริษัทผู้พัฒนาซอฟต์แวร์ป้องกันไวรัส ได้รายงานเกี่ยวกับการโจมตีโดยใช้อุปกรณ์ Fortinet VPN ในเวอร์ชันที่ยังไม่ได้อัปเดตแพทซ์ซึ่งมีช่องโหว่ CVE-2018-13379 ทำให้แฮกเกอร์สามารถเข้าติดตั้ง Cring Ransomware เพื่อโจมตีเหยื่อได้

โดยหลังจากรายงานฉบับนี้เผยแพร่ FBI และ CISA ได้ประกาศแจ้งเตือนกลุ่ม APT เกี่ยวกับการตรวจหาช่องโหว่ CVE-2018-13379 ของ Fortinet SSL VPN appliance ด้วยเช่นกัน โดยการโจมตีนี้เริ่มเกิดขึ้นช่วงเดือนมกราคม – มีนาคม 2021 ซึ่งเป็นช่องโหว่ที่เกี่ยวกับแพทซ์ traversal บน FortiOS SSL VPN Web portal ช่องโหว่ดังกล่าวจะทำให้แฮกเกอร์สามารถ unauthenticated เพื่อเข้าไปอ่าน arbitrary system file รวมถึง session file ที่มี username และ password ที่เก็บไว้ในรูปของ plaintext ได้

ภาพประกอบ: วิธีการเข้าโจมตีของ Cring Ransomware

โดยเมื่อแฮกเกอร์เข้าสู่ระบบได้แล้วจะใช้ Mimikatz เพื่อเก็บข้อมูล account credentials ของ Windows user ที่ logged in มายังระบบที่ถูก compromised และจะเจาะ domain administrator account, move laterally across the network เพื่อปล่อย Cring ransomware ในแต่ละเครื่องโดยใช้ Cobalt Strike framework จากนั้น แฮกเกอร์จะปกปิดการดำเนินการต่าง ๆ โดยการปลอม malicious PowerShell script ในชื่อ “kaspersky” เพื่อหลบเลี่ยงการตรวจจับและให้แน่ใจว่า server hosting ของ ransomware payload จะตอบสนองต่อ request ที่มาจากประเทศในยุโรปเท่านั้น

Cring ransomware ถูกพบครั้งแรกช่วงเดือนมกราคม 2021 ซึ่งสามารถเข้ารหัสไฟล์ที่ระบุบนอุปกรณ์โดยใช้ strong encryption algorithm หลังจากที่ลบร่องรอยของ backup files ทั้งหมด จากนั้นทำการ terminating Microsoft Office และ Oracle Database processes เพื่อให้เกิดการเข้ารหัสแบบแสดง ransom note และเรียกค่าไถ่เป็นจำนวน 2 bitcions

ล่าสุด Fortinet ได้ชี้แจงว่าแพทซ์สำหรับช่องโหว่ CVE-2018-13379 ถูกปล่อยออกมาแล้วตั้งแต่เดือนพฤษภาคม 2019 แต่ในเดือนพฤศจิกายนที่ผ่านมายังมี VPN appliance จำนวนมากที่ไม่ได้รับการแพทซ์ และ IP Address ของ internet-facing device ที่มีช่องโหว่ ถูกซื้อขายใน dark web แต่อย่างไรก็ตามจะพยายามเร่งแก้ไขปัญหาโดยเร็วที่สุด

ที่มา: https://thehackernews.com/2021/04/hackers-exploit-unpatched-vpns-to.html และ

https://usa.kaspersky.com/about/press-releases/2021_na-cring-ransomware-infects-industrial-targets-through-vulnerability-in-vpn-servers

ปรึกษาเรา

บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว

พบ Backdoor ในไลบรารี่ XZ Utils อาจส่งผลกระทบต่อ Distros Linux
3 เมษายน 2024

Red Hat ตรวจพบไลบรารี xz ของ Linux ถูกฝังโค้ดอันตรายเพื่อเปิดทางให้เข้ายึดระบบจากระยะไกลได้ โดยพบว่าช่องโหว่นี้กระทบ Distros Linux กับเวอร์ชัน 5.6.0 และ 5.6.1
โดย NT cyfence
อ่านต่อ
IT 360º ไอที ง่ายๆ รอบๆ ตัว

พบการโจมตี Loop DoS รูปแบบใหม่ อาจส่งผลกระทบต่อระบบออนไลน์กว่า 300,000 ระบบ
2 เมษายน 2024

พบการโจมตี Loop DoS แบบใหม่ที่ใช้ User Datagram Protocol (UDP) ส่งผลกระทบต่อโฮสต์และระบบเครือข่ายประมาณ 300,000 ระบบ ซึ่งมีผู้ให้บริการด้านระบบเครือข่ายรายใหญ่หลายราย ได้รับผลกระทบ
โดย NT cyfence
อ่านต่อ
IT 360º ไอที ง่ายๆ รอบๆ ตัว

กองทุนการเงินระหว่างประเทศ (IMF) ถูกแฮก Email กว่า 11 บัญชี
19 มีนาคม 2024

กองทุนการเงินระหว่างประเทศ (International Monetary Fund: IMF) ได้เปิดเผยว่าเกิดเหตุการณ์แฮกบัญชีอีเมลกว่า 11 บัญชี จากการถูกโจมตีทางไซเบอร์เมื่อช่วงต้น 8 มีนาคม 2567 ที่ผ่านมา
โดย NT cyfence
อ่านต่อ

พบช่องโหว่เก่าถูกนำมาโจมตีด้วย Cring Ransomware

บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน)

หน้าแรก

กลุ่มบริการ

คลังความรู้ไอที

Why us