Ransomware ALPHV ໂຈມຕີກຸ່ມຜູ້ໃຊ້ Veritas Backup Exec ແນະນຳໃຫ້ update ເປັນ Version 21.2 ແລະ ເປີດໃຊ້ງານ Multi-factor authentication
ກ່ອນໜ້ານີ້, ໃນເດືອນທັນວາ 2021 ກຸ່ມ ALPHV ເປັນສ່ວນໜຶ່ງຂອງເຄືອຂ່າຍຂອງ Darkside ແລະ Black matter ໄດ້ຢຸດຕິບົດບາດລົງ ເນື່ອງຈາກຖືກກວາດລ້າງຢ່າງໜັກຈາກໜ່ວຍງານຂອງລັດຖະບານສະຫະລັດອາເມລິກາ.
ບັນດາຊ່ອງໂຫວ່ທີ່ຖືກໂຈມຕີໃນເດືອນ ຕຸລາ 2022 ມີລາຍລະອຽດດັ່ງນີ້:
- CVE-2021-27876 – CVE-2021-27878 (CVSS:8.1/8.2/8.8): ແມ່ນຂໍ້ຜິດພາດໃນການກວດສອບ authentication SHA ຊຶ່ງຍິນຍອມໃຫ້ຜູ້ໂຈມຕີຈາກໄລຍະໄກສາມາດເຂົ້າເຖິງສິດໃຊ້ງານຈາກພາຍນອກໄດ້ ໂດຍບໍ່ຕ້ອງຜ່ານການກວດສອບສິດ.
ເຖິງແມ່ນວ່າທາງ Veritas Backup ໄດ້ອອກແພັດແກ້ໄຂ (Patch) ໃໝ່ ໃນເດືອນມີນາ 2021 ດ້ວຍ Version 21.2 ແຕ່ຍັງພົບຊ່ອງໂຫວ່ດັ່ງກ່າວໃນເຄື່ອງທີ່ຕິດຕັ້ງ “Symantec/Veritas Backup Exec ndmp” service ເທິງເຄືອຂ່າຍອິນເຕີເນັດ ຫຼາຍກວ່າ 8500 IP ຊຶ່ງຍັງໃຊ້ default port 10000, port 9000 ແລະ port 10001.
ຊ່ອງໂຫວ່ດັ່ງກ່າວເຮັດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງຈາກໄລຍະໄກ ມີເປົ້າໝາຍເປັນ Windows server platform ທີ່ຕິດຕັ້ງ Veritas Backup Exec version21.0 ໂດຍໃຊ້ Metasploit Module ໃນການເຂົ້າສວມສິດ ຈາກນັ້ນໃຊ້ tools “Advanced IP Scanner and ADRecon” ເປັນເຄື່ອງມືໃນການເຈາະລະບົບ ແລ້ວໃຊ້ BITS (Background Intelligent Transfer Service) ເພື່ອດາວໂຫຼດ tools ໃນຊື່ “LAZAGNE, LIGOLO, WINSW, RCLONE” ເປັນການປິດຟັງຊັ່ນຄວາມປອດໄພຂອງລະບົບ ຫຼັງຈາກນັ້ນເຂົ້າລະຫັດດ້ວຍ ALPHV ransomware.
ຖ້າຫາກຜູ້ໂຈມຕີ UNC4466 ດຳເນີນການສຳເລັດ ຈະໃຊ້ SOCKS5 Tunneling ເປັນຊ່ອງທາງສື່ສານກັບ Command and control server (C2) ແລະ ໃຊ້ Tools ຊື່ Mimikatz, LaZagne ແລະ Nanodump ເພື່ອປິດລະບົບ Microsoft Defender ລວມເຖິງລຶບ Logs ຕ່າງໆ ໃນ Windows.
ສຸດທ້າຍທາງ Mandiant ແນະນຳໃຫ້ແຍກເຄືອຂ່າຍ ເພື່ອຈໍາກັດການເຂົ້າເຖິງ ແລະ ເປີດຟັງຊັ່ນ Multi-factor authentication ລວມເຖິງກວດສອບສິດ, ທົດສອບລະບົບສຳຮອງຂໍ້ມູນເປັນປະຈຳ, ໝັ່ນກວດສອບ service ທີ່ເປີດບໍລິການການເຂົ້າເຖິງຈາກພາຍນອກ ເພື່ອເປັນການປ້ອງກັນຜົນກະທົບຈາກຜູ້ໂຈມຕີທີ່ອາດເກີດຂຶ້ນໄດ້.
ເອກະສານອ້າງອີງ: https://cybertron.co.th/veritas/ລາຍການຮູບ
