Log4Shell ยังคงถูกแฮ็กเซิร์ฟเวอร์ VMWare เพื่อกรองข้อมูลที่ละเอียดอ่อน

วันที่รายงาน : 28 มิ.ย. 65 [TLP: WHITE]
เรื่อง : Log4Shell ยังคงถูกแฮ็กเซิร์ฟเวอร์ VMWare เพื่อกรองข้อมูลที่ละเอียดอ่อน
แหล่งข่าว : https://thehackernews.com/2022/06/log4shell-still-being-exploited-to-hack.html
วันที่แหล่งข่าวเผยแพร่ : 23 มิ.ย. 65

สาระสำคัญ : สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) พร้อมด้วยหน่วยบัญชาการทางไซเบอร์ของหน่วยยามฝั่ง (CGCYBER) ออกคำเตือนร่วมกันเกี่ยวกับความพยายามอย่างต่อเนื่องในส่วนของผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ Log4Shell ในเซิร์ฟเวอร์ VMware Horizon เพื่อโจมตีเป้าหมายเครือข่าย ตั้งแต่ธันวาคม 2564

กลุ่มผู้ก่อภัยคุกคามหลายกลุ่มได้ใช้ประโยชน์จาก Log4Shell บนเซิร์ฟเวอร์ VMware Horizon ที่ไม่มีการแพตช์และเปิดสู่สาธารณะ ส่วนหนึ่งของการโจมตีนี้ ทำให้ผู้โจมตี APT ได้ฝังมัลแวร์ไว้บนระบบที่ถูกโจมตีด้วยโปรแกรมสั่งการที่ฝังตัวซึ่งจะเปิดใช้งานคำสั่งและการควบคุมจากระยะไกล (C2)

Log4Shell ที่หมายเลขช่องโหว่ CVE-2021-44228 (คะแนน CVSS: 10.0) เป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อไลบรารีการบันทึก Apache Log4j ที่ใช้โดยผู้ใช้งานและบริการระดับองค์กร เว็บไซต์ แอปพลิเคชัน และผลิตภัณฑ์อื่นๆ ที่หลากหลาย การใช้ประโยชน์จากช่องโหว่ที่สำเร็จอาจทำให้ผู้โจมตีสามารถส่งคำสั่งที่ออกแบบมาเป็นพิเศษไปยังระบบที่ได้รับผลกระทบ ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายและเข้าควบคุมเป้าหมายได้

โดยกิจกรรมที่เกี่ยวข้องกับ Log4Shell ยังคงมีดำเนินการอยู่แม้ว่าจะผ่านมานานกว่าหกเดือนแล้ว ซึ่งแสดงให้เห็นว่าช่องโหว่ดังกล่าวเป็นที่สนใจของผู้โจมตี ซึ่งรวมถึงภัยคุกคามขั้นสูงแบบต่อเนื่อง (APT) ที่ได้รับการสนับสนุนจากรัฐ ซึ่งได้กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ที่ไม่ได้รับการแพตช์โดยฉวยโอกาสในการโจมตีในเบื้องต้น

จากข้อมูลของบริษัทความปลอดภัยทางไซเบอร์ ExtraHop ช่องโหว่ของ Log4j นั้นได้รับความพยายามในการสแกนอย่างไม่หยุดยั้ง โดยภาคการเงินและสุขภาพกลายเป็นตลาดที่มีขนาดใหญ่สำหรับการโจมตีที่อาจเกิดขึ้น

NCERT Infoshare beta version (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ศปช.) สกมช.

Loading

Related Posts

กลุ่ม Witchetty APT ใช้ Steganography ในการโจมตีหน่วยงานในตะวันออกกลาง

ทีม Symantec Threat Hunter ของ Broadcom ได้สังเกตเห็นกลุ่มจารกรรมทางไซเบอร์ชื่อ Witchetty ใช้ Steganography เพื่อซ่อนแบ็คดอร์ที่ไม่มีเอกสารในโลโก้ Windows โดยกลุ่มนี้ใช้แบ็คดอร์ในการโจมตีรัฐบาลตะวันออกกลาง

Read more

CISA ออกคำแนะนำในการเปลี่ยนไปใช้ TLP 2.0

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คู่มือผู้ใช้เพื่อช่วยองค์กรในการเตรียมตัวสำหรับวันที่ 1 พฤศจิกายน 2022 โดยเปลี่ยนจาก Traffic Light Protocol (TLP) เวอร์ชัน 1.0 เป็น TLP 2.0

Read more

ยูเครนจับกุมกลุ่มอาชญากรไซเบอร์เพื่อขายข้อมูลกว่า 30 ล้านบัญชี

หน่วยงานบังคับใช้กฎหมายของยูเครนเปิดเผยว่าได้จับกุมกลุ่มแฮ็คที่ปฏิบัติการจากเมืองลวิฟ โดยได้รับการสนับสนุนจากรัสเซีย ซึ่งกลุ่มนี้ได้ทำการขายบัญชีกว่า 30 ล้านบัญชีที่เป็นของพลเมืองยูเครนและสหภาพยุโรปบน dark web ซึ่งทำกำไรได้ 372,000 ดอลลาร์ (14 ล้าน UAH) โดยผ่านระบบการชำระเงินทางอิเล็กทรอนิกส์ เช่น YooMoney, Qiwi และ WebMoney ที่ผิดกฎหมายในประเทศ

Read more

Erbium มัลแวร์ตัวใหม่ สามารถขโมยรหัสผ่าน ที่แพร่กระจายไปกับโปรแกรมแคร็กเกม

มัลแวร์ใหม่ที่ขโมยข้อมูล ‘Erbium’ กำลังถูกแพร่กระจายไปกับโปรแกรมการโกงสำหรับวิดีโอเกมยอดนิยม เพื่อใช้ขโมยข้อมูลประจำตัวของเหยื่อและ cryptocurrency wallets

Read more

Sophos ออกแพตซ์แก้ไขช่องโหว่ RCE Zero-Day ในไฟร์วอลล์

บริษัทซอฟต์แวร์รักษาความปลอดภัย Sophos ได้ออกแพตช์อัปเดตไฟร์วอลล์ของบริษัท หลังจากที่พบว่าผู้โจมตีใช้ช่องโหว่ Zero-Day อันใหม่นี้เพื่อโจมตีเครือข่ายของลูกค้า ที่หมายเลขช่องโหว่ CVE-2022-3236 (คะแนน CVSS: 9.8) ส่งผลกระทบต่อ Sophos Firewall v19.0 MR1 (19.0.1) และเวอร์ชั่นที่เก่ากว่า ซึ่งช่องโหว่ดังกล่าวเป็นการแทรกโค้ดในพอร์ทัลผู้ใช้งานและส่วนประกอบ Webadmin ที่อาจส่งผลให้เกิดโค้ดจากระยะไกลได้

Read more

OpIran : กลุ่ม Anonymous ประกาศสงครามกับรัฐบาลอิหร่าน จากสาเหตุการเสียชีวิตของ Mahsa Amini

กลุ่มแฮ็กเกอร์ Anonymous เปิดตัวปฏิบัติการ Operation Iran กับ รัฐบาลอิหร่าน เนื่องมาจากการปราบปรามผู้ประท้วงที่เกิดขึ้นอย่างต่อเนื่อง หลังจากการเสียชีวิตของหญิงสาวชาวอิหร่านที่ชื่อ Mahsa Amini

Read more