Pulse Secure VPN ก่อนปี 2019 เสี่ยงโดน Black Kingdom Ransomware

REDTEAM.PL บริษัทให้บริการด้าน Cyber security แห่งหนึ่งในประเทศโปแลนด์ เปิดเผยข้อมูลของ Black Kingdom กลุ่มผู้พัฒนา ransomware ที่มีเป้าหมายโจมตีบริษัท และองค์กรต่างๆ โดยใช้ช่องโหว่ที่ถูกจัดอยู่ในระดับ critical ชื่อ CVE-2019-11510 ซึ่งจะมีผลกระทบต่อ Pulse Secure VPN software โดยหลังจากช่องโหว่นี้ถูกเปิดเผย ก็ได้มีการออกแพทซ์เพื่อแก้ไขไปแล้วในช่วงเดือนเมษายนปี 2019 ที่ผ่านมา แต่อย่างไรก็ตามยังพบว่ามีผู้ใช้งานที่ไม่ได้อัปเดตอยู่เป็นจำนวนมาก จึงเป็นช่องทางให้กลุ่มแฮกเกอร์นำมาใช้โจมตีได้

Adam Ziaja นักวิจัยของ REDTEAM.PL ให้ข้อมูลว่าตรวจพบมัลแวร์ชนิดนี้จากการทำ “Honey Pot” ซึ่งเป็นระบบที่สร้างขึ้นเพื่อหลอกล่อให้แฮกเกอร์เข้ามาโจมตี จากนั้นจึงเริ่มวิเคราะห์เทคนิคที่แฮกเกอร์นำมาใช้ ซึ่งจากการสังเกตพฤติกรรม พบว่า ransomware ชนิดนี้มักจะแอบอ้างใช้ชื่อ scheduled task ที่เลียนแบบจาก Google Chrome

GoogleUpdateTaskMachineUSA - Black Kingdom task
GoogleUpdateTaskMachineUA - legitimate Google Chrome task

และพยายามจะ run script ที่ชื่อว่า “reverse.ps1” เพื่อให้เครื่องของเหยื่อ ติดต่อกลับมาที่ IP ในฝั่งแฮกเกอร์ ในที่นี้คือ IP 198.13.49.179 จากการตรวจสอบพบเป็น Public IP ที่อยู่ภายใต้การบริหารจัดการของ Choopa บริษัทลูกของ Vultr ซึ่งเป็นที่ทราบกันดีว่าเป็นผู้ให้บริการ virtual private servers (VPS) ราคาถูก ที่มักถูกใช้เพื่อนำไปก่ออาชญากรรมทางไซเบอร์ หรือใช้เพื่อเป็น malicious tools นอกจากนั้นอีกจุดสำคัญของ Black Kingdom คือมักจะทิ้ง ransomnote หรือข้อความเรียกค่าไถ่ที่จะนับถอยหลังเมื่อเหยื่อเปิดดู พร้อมกับคำขู่ที่ว่าหากไม่โอนเงินเข้าบัญชี bitcoin ภายในเวลาที่กำหนดจะทำการลบข้อมูลทั้งหมด หรือจะนำข้อมูลออกไปขาย ดังนั้น หากท่านกำลังใช้งาน Pulse Secure VPN แนะนำให้ตรวจสอบและทำการแพทซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าวด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/black-kingdom-ransomware-hacks-networks-with-pulse-vpn-flaws/


บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบข้อมูลบัญชี VPN ของ Fortinet กว่า 73,000 อุปกรณ์รั่วไหลทั่วโลก
พบข้อมูลบัญชี VPN ของอุปกรณ์ Fortinet รั่วไหลกว่า 73,000 รายการทั่วโลก ซึ่งอาจรวมถึงชื่อผู้ใช้ อีเมล และรหัสผ่านของผู้ใช้งานบางส่วน...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบเทคนิคโจมตี HTTP/2 Bomb ทำ Web Server ล่มในเวลาไม่ถึงนาที
พบช่องโหว่ใหม่ HTTP/2 Bomb ที่อาจทำให้เว็บไซต์ล่มได้ในเวลาไม่ถึงนาที แฮกเกอร์ใช้คอมพิวเตอร์เพียงเครื่องเดียวก็สามารถทำให้เซิร์ฟเวอร์ใช้ RAM จนเต็มได้ เว็บไซต์ที่ใช้ HTTP/2 หลายรายได้รับผล กระทบ...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบมัลแวร์โจมตี WordPress กว่า 2,000 เว็บ ผ่านโปรไฟล์ Steam
พบมัลแวร์ใหม่โจมตีเว็บไซต์ WordPress เกือบ 2,000 แห่ง โดยแฮกเกอร์ใช้เทคนิคซ่อนคำสั่งควบคุมด้วยตัวอักษร Unicode ที่มองไม่เห็นบนโปรไฟล์ Steam เพื่อหลบเลี่ยงการตรวจจับ...
อ่านต่อ >
Scroll to Top