กลุ่มผู้ไม่หวังดีดำเนินการโจมตีด้วยแรนซัมแวร์โดยใช้ Virtual Machines (VMs) ที่ให้บริการโดย ISPsystem ซึ่งเป็นผู้ให้บริการจัดการโครงสร้างพื้นฐานเสมือนจริงที่ถูกกฎหมาย เพื่อโฮสต์และส่งมอบเพย์โหลดที่เป็นอันตรายในวงกว้าง Sophos พบว่าผู้โจมตีใช้ประโยชน์จากจุดอ่อนในเทมเพลต Windows เริ่มต้นของ VMmanager ของ ISPsystem ซึ่งใช้ชื่อโฮสต์และตัวระบุระบบซ้ำกัน ทำให้ระบบที่เป็นอันตรายสามารถซ่อนตัวอยู่ท่ามกลางระบบที่ไม่เป็นอันตรายจำนวนมาก ทำให้การระบุตัวตนและการดำเนินการปิดระบบทำได้ยาก เทคนิคนี้ถูกใช้โดยกลุ่มแรนซัมแวร์หลายกลุ่ม เช่น LockBit, Qilin, Conti, BlackCat/ALPHV, Ursnif และสำหรับ Info-stealers เช่น RedLine และ Lummar
Severity: สูง
System Impact:
- Virtual Machines (VMs)
- Windows VMs
- ISPsystem VMmanager platform
- Hosting providers using ISPsystem VMmanager
Technical Attack Steps:
- ผู้โจมตีจัดหา Windows VMs ผ่านแพลตฟอร์ม VMmanager ของ ISPsystem โดยมักผ่านผู้ให้บริการโฮสติ้งที่ให้การสนับสนุนกิจกรรมทางไซเบอร์ที่ไม่ชอบด้วยกฎหมาย
- ผู้โจมตีใช้ประโยชน์จากจุดอ่อนที่เทมเพลต Windows เริ่มต้นของ VMmanager ใช้ชื่อโฮสต์และตัวระบุระบบซ้ำกัน (เช่น WIN-LIVFRVQFMKO, WIN-344VU98D3RU, WIN-J9D866ESIJ2)
- VMs เหล่านี้ถูกใช้เพื่อโฮสต์และส่งมอบเพย์โหลดที่เป็นอันตราย (แรนซัมแวร์, Info-stealers) และเป็นโครงสร้างพื้นฐาน Command-and-Control (C2)
- การนำชื่อโฮสต์เริ่มต้นกลับมาใช้ซ้ำช่วยให้ระบบที่เป็นอันตรายสามารถผสมผสานเข้ากับระบบที่ถูกกฎหมายได้ ทำให้การตรวจจับ การระบุตัวตน และการปิดระบบเป็นไปได้ยากขึ้น
Recommendations:
Short Term:
- เฝ้าระวังการเชื่อมต่อเครือข่ายไปยังชื่อโฮสต์ VM ของ ISPsystem ที่ทราบว่าเป็นอันตราย (เช่น WIN-LIVFRVQFMKO, WIN-344VU98D3RU, WIN-J9D866ESIJ2)
- ใช้การตรวจจับความผิดปกติที่เพิ่มขึ้นสำหรับกิจกรรมที่ผิดปกติที่เกิดจากหรือสื่อสารกับสภาพแวดล้อม VM
- ตรวจสอบบันทึก (logs) เพื่อหากิจกรรมการจัดหา VM ที่น่าสงสัย โดยเฉพาะอย่างยิ่งที่ใช้ชื่อโฮสต์เริ่มต้นหรือซ้ำซาก
Long Term:
- ISPsystem ควรแก้ไขจุดอ่อนในการออกแบบในเทมเพลตเริ่มต้นของ VMmanager โดยการตรวจสอบให้แน่ใจว่ามีการสร้างชื่อโฮสต์และตัวระบุระบบที่ไม่ซ้ำกันสำหรับ VM ที่ใช้งานแต่ละรายการ
- องค์กรที่ใช้แพลตฟอร์มเวอร์ชวลไลเซชันควรกำหนดนโยบายการตั้งชื่อที่เข้มงวดและการสร้างตัวระบุที่ไม่ซ้ำกันสำหรับ VMs ทั้งหมด
- ใช้มาตรการรักษาความปลอดภัยห่วงโซ่อุปทานที่แข็งแกร่งเพื่อตรวจสอบผู้ให้บริการโฮสติ้งและให้แน่ใจว่าพวกเขาไม่ได้อำนวยความสะดวกในกิจกรรมที่เป็นอันตรายโดยรู้เท่าทัน
- เพิ่มการแลกเปลี่ยนข้อมูลภัยคุกคามเกี่ยวกับผู้ให้บริการโฮสติ้งที่สนับสนุนกิจกรรมทางอาชญากรรมไซเบอร์ (bulletproof hosting) และช่วง IP ของพวกเขา
- ปรับใช้โซลูชัน Endpoint Detection and Response (EDR) และ Network Detection and Response (NDR) ขั้นสูงที่สามารถระบุเทคนิคการหลบเลี่ยงที่มัลแวร์ใช้ในการทำงานภายในสภาพแวดล้อม VM
Share this content: