Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

Ransomware ALPHV ໂຈມຕີກຸ່ມຜູ້ໃຊ້ Veritas Backup Exec ແນະນຳໃຫ້ update ເປັນ Version 21.2 ແລະ ເປີດໃຊ້ງານ Multi-factor authentication

Ransomware ALPHV ໂຈມຕີກຸ່ມຜູ້ໃຊ້ Veritas Backup Exec ແນະນຳໃຫ້ update ເປັນ Version 21.2 ແລະ ເປີດໃຊ້ງານ Multi-factor authenticationໜ່ວຍ​ງານ​ດ້ານ​ຮັກສາ​ຄວາມ​ປອດໄ​ພ​ຂອງ Cybersecurity Mandiant ໄດ້​ປະ​ກາດ​ພົບ​ກຸ່ມ​ Ransomware ໃໝ່ ມີ​​ຊື່ວ່າ​ ALPHV (Blackcat ransomware) ຫຼື ພາຍໃຕ້​ຊື່ວ່າ​ “UNC4466” ທີ່ກຳ​ລັງ​ເປົ້າໝາຍ​ໂຈມ​ຕີ​​ຜູ້​ໃຊ້​ຜະລິດຕະພັນ​ Veritas Backup Exec Version 21.0.

ກ່​ອນ​ໜ້າ​ນີ້​, ໃນເດືອນ​ທັນວາ ​2021 ກຸ່ມ​ ALPHV ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ເຄືອ​ຂ່າຍ​ຂອງ Darkside ແລະ​ Black matter ໄດ້​ຢຸດຕິ​ບົດ​ບາດ​ລົງ​ ເນື່ອງ​ຈາກ​ຖືກ​ກວາດລ້າງ​ຢ່າງ​ໜັກ​ຈາກ​ໜ່ວຍ​ງານ​ຂອງ​ລັດຖະບານ​ສະ​ຫະລັດ​ອາ​ເມ​ລິ​ກາ​.

ບັນດາຊ່ອງ​ໂຫວ່​ທີ່ຖືກໂຈມຕີໃນ​ເດືອນ ​ຕຸລາ​ 2022 ມີລາຍ​ລະອຽດ​ດັ່ງ​ນີ້​:

  • CVE-2021-27876 – CVE-2021-27878 (CVSS:8.1/8.2/8.8): ແມ່ນ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ກວດ​ສອບ​ authentication SHA ຊຶ່ງ​ຍິນ​ຍອມ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ຈາກ​ໄລຍະ​ໄກ​ສາມາດ​ເຂົ້າ​ເຖິງ​ສິດ​ໃຊ້​ງານ​ຈາກ​ພາຍນອກ​ໄດ້ ​ໂດຍ​ບໍ່​ຕ້ອງ​ຜ່ານ​ການ​ກວດ​ສອບ​ສິດ​.

ເຖິງແມ່ນວ່າ​ທາງ​ Veritas Backup ໄດ້​ອອກ​ແພັດແກ້ໄຂ (Patch) ໃໝ່​ ໃນ​ເດືອນ​ມີ​ນາ 2021 ດ້ວຍ​ Version 21.2 ແຕ່​ຍັງ​​ພົບ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໃນ​ເຄື່ອງ​ທີ່​ຕິດ​ຕັ້ງ​ “Symantec/Veritas Backup Exec ndmp” service​ ເທິງ​ເຄືອ​ຂ່າຍ​ອິນ​ເຕີ​​ເນັດ​ ຫຼາຍກວ່າ 8500 IP ຊຶ່ງ​ຍັງໃຊ້​ default port 10000, port 9000 ແລະ port 10001.

​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ເຂົ້າ​ເຖິງ​ຈາກ​ໄລຍະ​ໄກ​ ມີເປົ້າໝາຍເປັນ Windows server platform ທີ່​ຕິດ​ຕັ້ງ​ Veritas Backup Exec version21.0 ໂດຍ​ໃຊ້​ Metasploit Module ໃນ​ການ​ເຂົ້າ​ສວມ​ສິດ​​ ຈາກ​ນັ້ນ​ໃຊ້​ tools “Advanced IP Scanner and ADRecon” ເປັນ​ເຄື່ອງ​ມື​ໃນ​ການ​ເຈາະ​ລະບົບ​ ແລ້ວ​​ໃຊ້​ BITS (Background Intelligent Transfer Service) ເພື່ອ​ດາວ​​ໂຫຼດ​ tools ໃນ​ຊື່​ “LAZAGNE, LIGOLO, WINSW, RCLONE” ເປັນ​ການ​ປິດ​ຟັງ​ຊັ່ນ​ຄວາມ​ປອດ​ໄພຂອງ​ລະບົບ​ ຫຼັງ​ຈາກ​ນັ້ນ​ເຂົ້າ​ລະ​ຫັດ​ດ້ວຍ​ ALPHV ransomware.

ຖ້າ​ຫາກ​ຜູ້​ໂຈມ​ຕີ​ UNC4466 ດຳ​ເນີນ​ການ​ສຳ​ເລັດ​ ຈະ​ໃຊ້​ SOCKS5 Tunneling ເປັນ​ຊ່ອງ​ທາງ​ສື່​ສານ​ກັບ​ Command and control server (C2) ແລະ ​ໃຊ້​ Tools ຊື່​ Mimikatz, LaZagne ແລະ​ Nanodump ເພື່ອ​ປິດ​ລະບົບ​ Microsoft Defender ລວມ​ເຖິງ​ລຶບ​ Logs ຕ່າງ​ໆ​ ໃນ​ Windows.

ສຸດທ້າຍ​ທາງ​ Mandiant ແນະ​ນຳ​​ໃຫ້ແຍກ​ເຄືອ​ຂ່າຍ​ ເພື່ອຈໍາ​ກັດ​ການ​ເຂົ້າ​ເຖິງ ​ແລະ ​ເປີດ​ຟັງ​​ຊັ່ນ​ Multi-factor authentication ລວມ​ເຖິງ​ກວດ​ສອບ​ສິດ​,​ ທົດສອບ​ລະບົບ​ສຳ​ຮອງ​ຂໍ້​ມູນ​ເປັນ​ປະຈຳ​, ໝັ່ນ​ກວດ​ສອບ​ service ທີ່​ເປີດ​ບໍລິການ​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ພາຍນອກ​ ​ເພື່ອ​ເປັນ​ການ​ປ້ອງ​ກັນ​ຜົນ​ກະທົບ​ຈາກ​ຜູ້​ໂຈມ​ຕີ​ທີ່​ອາດ​ເກີດ​ຂຶ້ນ​ໄດ້​.

ເອກະສານອ້າງອີງ:​ https://cybertron.co.th/veritas/

ລາຍການຮູບ

Meesaisak 02 May 2023 860 Print