กลุ่ม Lorenz ransomware ได้วาง backdoor เอาไว้ใช้ในอีกหลายเดือนต่อมา


24 January 2566
7
กลุ่ม Lorenz ransomware ได้วาง backdoor เอาไว้ใช้ในอีกหลายเดือนต่อมา

นักวิจัยด้านความปลอดภัยได้เตือนเรื่องการแพทช์ช่องโหว่ความรุนแรงสูงมาก เรื่องการเข้าถึงเครือข่ายนั้นยังไม่พอที่จะป้องกันการโจมตีจาก ransomware กลุ่มบางกลุ่มนั้นใช้ช่องโหว่เพื่อวาง backdoor ในขณะที่ยังมีโอกาส เพื่อกลับเข้าสู่ระบบของเหยื่อได้อีกครั้งถึงแม้ว่าจะลงแพทช์รักษาความปลอดภัยใหม่แล้ว หนึ่งในเคสเรื่องนี้คือในกรณีของ Lorenz ransomware ที่กลับเข้าไปยังระบบของเหยื่อได้อีกหลายเดือนหลังจากที่แฮกเกอร์ได้เข้าถึงเครือข่ายของเหยื่อ ผ่านช่องโหว่ความรุนแรงระดับสูงของระบบ telephony ในระหว่างช่วงการจัดการเรื่องที่โดน Lorenz ransomware โจมตี ทางบริษัทที่ให้การปรึกษาด้านไซเบอร์อย่าง S-RM ได้พบว่าแฮกเกอร์ได้เจาะเข้ามาผ่านทางเครือข่ายของเหยื่อเมื่อ 5 เดือนที่แล้ว และจากนั้นก็ทำการ ขโมยข้อมูล, และเข้ารหัสระบบของเหยื่อ มาเรื่อยๆ ทาง S-RM พบว่าแฮกเกอร์ได้เข้ามาผ่านช่องโหว่ CVE-2022-29499 เป็นช่องโหว่ระดับความรุนแรงสูงมากในโครงสร้างพื้นฐานของ Mitel telephony

ทาง S-RM ได้บอกว่าทางลูกค้าของตนนั้นได้แพทช์ช่องโหว่ CVE-2022-29499 ในเดือนกรกฎาคม แต่ทางกลุ่ม Lorenz ransomware ใช้ช่องว่าระหว่างการรอแพทช์จากทาง vendor ในการเจาะเข้าระบบผ่านช่องโหว่ และทำการวาง backdoor เอาไว้ก่อน หนึ่งสัปดาห์ก่อนที่แพทช์จะออกมาแก้ไขช่องโหว่ดังกล่าว ทางแฮกเกอร์พยายามซ่อน backdoor เอาไว้โดยตั้งชื่อว่า “twitter_icon _<ransom string>” และตั้งเอาไว้อยู่ในที่ที่ไม่ได้น่าสงสัยบนระบบ web shell ที่ซ่อนไว้เป็นเพียงแค่ภาษา PHP หนึ่งบรรทัด ที่จะคอยรอรับ HTTP POST request ที่มี parameter 2 ตัว คือ id และ img ที่มี execute command อยู่ ทางนักวิจัยของ S-RM Tim Geschwindt และ Ailsa Wood บอกว่าโดยปกติแล้วผู้โจมตีจะใช้โอกาสของช่องโหว่อย่างเต็มที่ และพยายามหาระบบที่ยังไม่ได้แพทช์บนอินเตอร์เน็ตให้มากที่สุด เพื่อวาง backdoor และกลับเข้ามาในระบบของเหยื่ออีกหลังจากที่เหยื่อทำการแพทช์ช่องโหว่แล้ว ด้วยเหตุผลนี้เองทางสองนักวิจัยจึงได้เน้นย้ำว่าการอัพเดทซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดในช่วงเวลาที่เหมาะสมจึงเป็นสเต็ปสำคัญในการป้องกันเครือข่าย แต่ในเคสเรื่องช่องโหว่ความรุนแรงสูงมาก ทางบริษัทควรตรวจสอบระบบด้วยว่ามีความเป็นไปได้ไหมที่แฮกเกอร์จะวาง backdoor เพื่อกลับเข้ามาในระบบอีก