ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix
ในรายงานได้เผยพฤติกรรมของแฮ็กเกอร์ที่มุ่งเน้นองค์กรด้านไอที โทรคมนาคม น้ำมันและแก๊ส อวกาศ รัฐบาลและหน่วยงานด้านความปลอดภัยต่างๆ โดยชี้ให้เห็นว่าปัจจุบันทีมแฮ็กเกอร์จากอิหร่านมีการพัฒนาขึ้นมาก เช่น ทำงานร่วมกันหลายกลุ่ม สามารถประยุกต์ใช้ช่องโหว่ที่ถูกเปิดเผยได้ภายในไม่กี่ชั่วโมง มีการใช้เครื่องมือโอเพ่นซอร์สอย่าง JuicyPotato และ Invoke the Hash และพยายามเลือกใช้เครื่องมือปกติที่มีอยู่บนเครื่องแล้ว หรือแม้กระทั่งการพัฒนาเครื่องมือของตัวเองขึ้นมาดังนี้
– STSRCheck : ฐานข้อมูลเพื่อจับคู่ระหว่างพอร์ตที่เปิดอยู่
– POWSSHNET : Backdoor สำหรับทำ RDP-over-SSH
– VBScripts : ใช้สำหรับดาวน์โหลดไฟล์ TXT จากเซิร์ฟเวอร์ควบคุมและแปลงเป็นไฟล์ Executable
– Socket : based Backdoor over cs.exe
– Port.exe : ใช้สแกนพอร์ตที่กำหนดกับไอพีที่สนใจ
อย่างไรก็ตาม รายงานได้เผยถึงการทำ reconnaissance และฝัง Backdoor ซึ่งเป็นไปได้ว่าอาจจะใช้ขยายขอบเขตการโจมตีต่อไปในอนาคตด้วย อย่างเช่นปล่อยมัลแวร์ทำลายล้าง (Wiping Malware) เพื่อทำให้ธุรกิจหยุดชะงักหรือใช้เป็นฐานเข้าสู่เหยื่อที่สนใจ สำหรับช่องโหว่เซิร์ฟเวอร์ VPN ชื่อดังที่ถูกใช้ในแคมเปญของแฮ็กเกอร์เกอร์มีดังนี้
– CVE-2019-11510 จาก Pulse Secure
– CVE-2018-13379 ใน Fortinet FortiOS VPN
– CVE-2019-1579 ใน Global Protect ของ Palo Alto Networks
– CVE-2019-19781 ใน Citrix ADC
ขอขอบคุณแหล่งที่มา :