Ransomware ALPHV ໂຈມຕີກຸ່ມຜູ້ໃຊ້ Veritas Backup Exec ແນະນຳໃຫ້ update ເປັນ Version 21.2 ແລະ ເປີດໃຊ້ງານ Multi-factor authentication

ໜ່ວຍ​ງານ​ດ້ານ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ​ຂອງ Cybersecurity Mandiant ໄດ້​ປະ​ກາດ​ພົບ​ກຸ່ມ​ Ransomware ໃໝ່ ມີ​​ຊື່ວ່າ​ ALPHV (Blackcat ransomware) ຫຼື ພາຍໃຕ້​ຊື່ວ່າ​ “UNC4466” ທີ່ກຳ​ລັງ​ເປົ້າໝາຍ​ໂຈມ​ຕີ​​ຜູ້​ໃຊ້​ຜະລິດຕະພັນ​ Veritas Backup Exec Version 21.0.

ໜ່ວຍ​ງານ​ດ້ານ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ​ຂອງ Cybersecurity Mandiant ໄດ້​ປະ​ກາດ​ພົບ​ກຸ່ມ​ Ransomware ໃໝ່ ມີ​​ຊື່ວ່າ​ ALPHV (Blackcat ransomware) ຫຼື ພາຍໃຕ້​ຊື່ວ່າ​ “UNC4466” ທີ່ກຳ​ລັງ​ເປົ້າໝາຍ​ໂຈມ​ຕີ​​ຜູ້​ໃຊ້​ຜະລິດຕະພັນ​ Veritas Backup Exec Version 21.0.

ກ່​ອນ​ໜ້າ​ນີ້​, ໃນເດືອນ​ທັນວາ ​2021 ກຸ່ມ​ ALPHV ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ເຄືອ​ຂ່າຍ​ຂອງ Darkside ແລະ​ Black matter ໄດ້​ຢຸດຕິ​ບົດ​ບາດ​ລົງ​ ເນື່ອງ​ຈາກ​ຖືກ​ກວາດລ້າງ​ຢ່າງ​ໜັກ​ຈາກ​ໜ່ວຍ​ງານ​ຂອງ​ລັດຖະບານ​ສະ​ຫະລັດ​ອາ​ເມ​ລິ​ກາ​.

ບັນດາຊ່ອງ​ໂຫວ່​ທີ່ຖືກໂຈມຕີໃນ​ເດືອນ ​ຕຸລາ​ 2022 ມີລາຍ​ລະອຽດ​ດັ່ງ​ນີ້​:

  • CVE-2021-27876 – CVE-2021-27878 (CVSS:8.1/8.2/8.8): ແມ່ນ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ກວດ​ສອບ​ authentication SHA ຊຶ່ງ​ຍິນ​ຍອມ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ຈາກ​ໄລຍະ​ໄກ​ສາມາດ​ເຂົ້າ​ເຖິງ​ສິດ​ໃຊ້​ງານ​ຈາກ​ພາຍນອກ​ໄດ້ ​ໂດຍ​ບໍ່​ຕ້ອງ​ຜ່ານ​ການ​ກວດ​ສອບ​ສິດ​.

ເຖິງແມ່ນວ່າ​ທາງ​ Veritas Backup ໄດ້​ອອກ​ແພັດແກ້ໄຂ (Patch) ໃໝ່​ ໃນ​ເດືອນ​ມີ​ນາ 2021 ດ້ວຍ​ Version 21.2 ແຕ່​ຍັງ​​ພົບ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໃນ​ເຄື່ອງ​ທີ່​ຕິດ​ຕັ້ງ​ “Symantec/Veritas Backup Exec ndmp” service​ ເທິງ​ເຄືອ​ຂ່າຍ​ອິນ​ເຕີ​​ເນັດ​ ຫຼາຍກວ່າ 8500 IP ຊຶ່ງ​ຍັງໃຊ້​ default port 10000, port 9000 ແລະ port 10001.

​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ເຂົ້າ​ເຖິງ​ຈາກ​ໄລຍະ​ໄກ​ ມີເປົ້າໝາຍເປັນ Windows server platform ທີ່​ຕິດ​ຕັ້ງ​ Veritas Backup Exec version21.0 ໂດຍ​ໃຊ້​ Metasploit Module ໃນ​ການ​ເຂົ້າ​ສວມ​ສິດ​​ ຈາກ​ນັ້ນ​ໃຊ້​ tools “Advanced IP Scanner and ADRecon” ເປັນ​ເຄື່ອງ​ມື​ໃນ​ການ​ເຈາະ​ລະບົບ​ ແລ້ວ​​ໃຊ້​ BITS (Background Intelligent Transfer Service) ເພື່ອ​ດາວ​​ໂຫຼດ​ tools ໃນ​ຊື່​ “LAZAGNE, LIGOLO, WINSW, RCLONE” ເປັນ​ການ​ປິດ​ຟັງ​ຊັ່ນ​ຄວາມ​ປອດ​ໄພຂອງ​ລະບົບ​ ຫຼັງ​ຈາກ​ນັ້ນ​ເຂົ້າ​ລະ​ຫັດ​ດ້ວຍ​ ALPHV ransomware.

ຖ້າ​ຫາກ​ຜູ້​ໂຈມ​ຕີ​ UNC4466 ດຳ​ເນີນ​ການ​ສຳ​ເລັດ​ ຈະ​ໃຊ້​ SOCKS5 Tunneling ເປັນ​ຊ່ອງ​ທາງ​ສື່​ສານ​ກັບ​ Command and control server (C2) ແລະ ​ໃຊ້​ Tools ຊື່​ Mimikatz, LaZagne ແລະ​ Nanodump ເພື່ອ​ປິດ​ລະບົບ​ Microsoft Defender ລວມ​ເຖິງ​ລຶບ​ Logs ຕ່າງ​ໆ​ ໃນ​ Windows.

ສຸດທ້າຍ​ທາງ​ Mandiant ແນະ​ນຳ​​ໃຫ້ແຍກ​ເຄືອ​ຂ່າຍ​ ເພື່ອຈໍາ​ກັດ​ການ​ເຂົ້າ​ເຖິງ ​ແລະ ​ເປີດ​ຟັງ​​ຊັ່ນ​ Multi-factor authentication ລວມ​ເຖິງ​ກວດ​ສອບ​ສິດ​,​ ທົດສອບ​ລະບົບ​ສຳ​ຮອງ​ຂໍ້​ມູນ​ເປັນ​ປະຈຳ​, ໝັ່ນ​ກວດ​ສອບ​ service ທີ່​ເປີດ​ບໍລິການ​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ພາຍນອກ​ ​ເພື່ອ​ເປັນ​ການ​ປ້ອງ​ກັນ​ຜົນ​ກະທົບ​ຈາກ​ຜູ້​ໂຈມ​ຕີ​ທີ່​ອາດ​ເກີດ​ຂຶ້ນ​ໄດ້​.ເອກະສານອ້າງອີງ:​ https://cybertron.co.th/veritas/

835 Views