31.3 C
Newyork

DragonForce Malaysia phát hành LPE Khai thác, Đe dọa Ransomware

Ngày:

Nhóm hacktivist DragonForce Malaysia đã phát hành một phương thức khai thác cho phép nâng cấp đặc quyền cục bộ của Windows Server (LPE) để cấp quyền truy cập vào các khả năng của bộ định tuyến phân phối cục bộ (LDR). Nó cũng thông báo rằng họ đang thêm các cuộc tấn công ransomware vào kho vũ khí của mình.

Nhóm đã đăng một bằng chứng về khái niệm (PoC) về việc khai thác trên kênh Telegram của họ vào ngày 23 tháng XNUMX, sau đó được phân tích bởi CloudSEK tuần này. Mặc dù không có CVE nào được biết về lỗi này, nhóm tuyên bố rằng việc khai thác có thể được sử dụng để bỏ qua xác thực “từ xa trong một giây” để truy cập vào lớp LDR, được sử dụng để kết nối các mạng cục bộ tại các vị trí khác nhau của một tổ chức.

Nhóm cho biết họ sẽ sử dụng việc khai thác trong các chiến dịch nhắm mục tiêu đến các doanh nghiệp hoạt động ở Ấn Độ, trực tiếp nằm trong kho của họ. Trong ba tháng qua, DragonForce Malaysia đã thực hiện một số chiến dịch nhắm vào nhiều cơ quan và tổ chức chính phủ trên khắp Trung Đông và Châu Á.

Daniel Smith, trưởng nhóm nghiên cứu của bộ phận tình báo về mối đe dọa mạng của Radware cho biết: “DragonForce Malaysia sẽ thêm một năm mà từ lâu sẽ được nhớ đến vì bất ổn địa chính trị. “Kết hợp với các hacker khác, nhóm đe dọa đã thành công lấp đầy khoảng trống mà Anonymous để lại trong khi vẫn độc lập trong thời kỳ hồi sinh của những người hacktivists liên quan đến chiến tranh Nga / Ukraine.”

Gần đây nhất, được đặt tên là “OpsPatuk” và ra mắt vào tháng 100, đã chứng kiến ​​một số cơ quan chính phủ và tổ chức trên khắp đất nước bị nhắm mục tiêu bởi rò rỉ dữ liệu và các cuộc tấn công từ chối dịch vụ, với số lượng mặt nạ đứng đầu XNUMX trang web.

“DragonForce Malaysia dự kiến ​​sẽ tiếp tục xác định và phát động các chiến dịch phản động mới dựa trên các đảng phái xã hội, chính trị và tôn giáo của họ trong tương lai gần,” Smith nói. “Các hoạt động gần đây của DragonForce Malaysia… nên nhắc nhở các tổ chức trên toàn thế giới rằng họ nên cảnh giác trong thời gian này và nhận thức rằng các mối đe dọa tồn tại bên ngoài hiện tại xung đột mạng ở Đông Âu".

Tại sao LPE nên có trên Radar vá

Mặc dù không hào nhoáng như thực thi mã từ xa (RCE), Khai thác LPE cung cấp một đường dẫn từ người dùng bình thường đến SYSTEM, về cơ bản là mức đặc quyền cao nhất trong môi trường Windows. Nếu bị khai thác, các lỗ hổng LPE không chỉ cho phép kẻ tấn công bước vào cửa mà còn cung cấp đặc quyền quản trị cục bộ - và quyền truy cập vào dữ liệu nhạy cảm nhất trên mạng.

Với mức độ truy cập cao này, những kẻ tấn công có thể thực hiện các sửa đổi hệ thống, khôi phục thông tin đăng nhập từ các dịch vụ được lưu trữ hoặc khôi phục thông tin đăng nhập từ những người dùng khác đang sử dụng hoặc đã xác thực vào hệ thống đó. Việc khôi phục thông tin đăng nhập của người dùng khác có thể cho phép kẻ tấn công mạo danh những người dùng đó, cung cấp đường dẫn cho chuyển động ngang trên mạng.

Với các đặc quyền được nâng cấp, kẻ tấn công cũng có thể thực hiện các tác vụ quản trị, thực thi phần mềm độc hại, ăn cắp dữ liệu, thực thi cửa sau để có được quyền truy cập liên tục và hơn thế nữa.

Darshit Ashara, nhà nghiên cứu mối đe dọa chính của CloudSEK, đưa ra một kịch bản tấn công mẫu.

“Kẻ tấn công trong nhóm có thể dễ dàng khai thác bất kỳ lỗ hổng dựa trên ứng dụng Web đơn giản nào để đạt được chỗ đứng ban đầu và đặt một cửa hậu dựa trên Web,” Ashara nói. “Thông thường, máy mà máy chủ Web được lưu trữ trên đó sẽ có đặc quyền của người dùng. Đó là nơi mà việc khai thác LPE sẽ cho phép tác nhân đe dọa có được các đặc quyền cao hơn và xâm phạm không chỉ một trang web duy nhất mà còn các trang web khác được lưu trữ trên máy chủ ”.

Khai thác LPE thường vẫn chưa được vá

Tim McGuffin, giám đốc kỹ thuật đối thủ của LARES Consulting, một công ty tư vấn bảo mật thông tin, giải thích rằng hầu hết các tổ chức chờ đợi để vá lỗi khai thác LPE vì họ thường yêu cầu quyền truy cập ban đầu vào mạng hoặc điểm cuối ngay từ đầu.

Ông nói: “Rất nhiều nỗ lực được đặt vào việc ngăn chặn truy cập ban đầu, nhưng bạn càng tiến xa hơn vào chuỗi tấn công, thì càng ít nỗ lực hơn đối với các chiến thuật như leo thang đặc quyền, di chuyển ngang và kiên trì”. “Các bản vá này thường được ưu tiên và vá hàng quý và không sử dụng quy trình 'vá ngay bây giờ' khẩn cấp."

Nicole Hoffman, nhà phân tích tình báo về mối đe dọa mạng cao cấp tại Digital Shadows, lưu ý rằng tầm quan trọng của mọi lỗ hổng đều khác nhau, cho dù đó là LPE hay RCE.

“Không phải tất cả các lỗ hổng đều có thể bị khai thác, có nghĩa là không phải mọi lỗ hổng đều cần được chú ý ngay lập tức. Đó là cơ sở từng trường hợp cụ thể, ”cô nói. “Một số lỗ hổng LPE có các yếu tố phụ thuộc khác, chẳng hạn như cần tên người dùng và mật khẩu để thực hiện cuộc tấn công. Điều đó không phải là không thể có được nhưng đòi hỏi mức độ tinh vi cao hơn ”.

Nhiều tổ chức cũng tạo tài khoản quản trị cục bộ cho người dùng cá nhân để họ có thể thực hiện các chức năng CNTT hàng ngày như cài đặt phần mềm riêng trên máy của họ, Hoffman cho biết thêm.

“Nếu nhiều người dùng có đặc quyền quản trị cục bộ, thì việc phát hiện các hành động quản trị cục bộ độc hại trong mạng sẽ khó hơn,” cô nói. “Kẻ tấn công sẽ dễ dàng xâm nhập vào các hoạt động bình thường do các biện pháp bảo mật kém được sử dụng rộng rãi”.

Cô giải thích, bất cứ khi nào một hành vi khai thác được tung ra tự nhiên, sẽ không mất nhiều thời gian trước khi tội phạm mạng với các mức độ tinh vi khác nhau lợi dụng và thực hiện các cuộc tấn công cơ hội.

Cô lưu ý: “Việc khai thác sẽ lấy đi một số công việc khó khăn này. “Trên thực tế, có khả năng quá trình quét hàng loạt đã diễn ra đối với lỗ hổng này.”

Hoffman cho biết thêm rằng leo thang đặc quyền theo chiều dọc đòi hỏi sự phức tạp hơn và thường phù hợp hơn với các phương pháp luận về mối đe dọa dai dẳng (APT) tiên tiến.

DragonForce có kế hoạch chuyển sang Ransomware

Trong một video và thông qua các kênh truyền thông xã hội, nhóm hacktivist cũng thông báo kế hoạch bắt đầu tiến hành các cuộc tấn công ransomware hàng loạt. Các nhà nghiên cứu nói rằng điều này có thể là một sự hỗ trợ cho các hoạt động hacktivist của nó hơn là một sự ra đi.

Hoffman giải thích: “DragonForce đã đề cập đến việc thực hiện các cuộc tấn công ransomware trên diện rộng nhờ việc khai thác mà họ đã tạo ra. “Cuộc tấn công bằng ransomware WannaCry là một ví dụ tuyệt vời cho thấy các cuộc tấn công ransomware trên diện rộng cùng một lúc đang thách thức như thế nào nếu lợi nhuận tài chính là mục tiêu cuối cùng.”

Cô cũng chỉ ra rằng không có gì lạ khi thấy những thông báo này từ các nhóm đe dọa tội phạm mạng, vì nó thu hút sự chú ý của nhóm.

Tuy nhiên, theo quan điểm của McGuffin, việc thông báo công khai về sự thay đổi chiến thuật là "một sự tò mò", đặc biệt là đối với một nhóm hacktivist.

“Động cơ của họ có thể xoay quanh việc phá hủy và từ chối dịch vụ và ít xoay quanh việc kiếm lợi nhuận như các nhóm ransomware điển hình, nhưng họ có thể đang sử dụng tiền tài trợ để nâng cao khả năng hacktivist hoặc nhận thức về nguyên nhân của họ,” ông nói.

Ashara đồng ý rằng sự thay đổi theo kế hoạch của DragonForce là rất đáng làm nổi bật, vì động cơ của nhóm là gây ra nhiều tác động nhất có thể, thúc đẩy hệ tư tưởng của họ và truyền bá thông điệp của họ.

“Do đó, động cơ của nhóm với việc công bố ransomware không phải vì lý do tài chính mà là gây ra thiệt hại,” ông nói. “Chúng tôi đã từng thấy các phần mềm độc hại tương tự trong quá khứ, nơi chúng sử dụng ransomware và giả vờ động cơ là tài chính, nhưng động cơ gốc rễ là thiệt hại.”

  • Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.Bấm vào đây
  • Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
  • nguồn: https://www.darkreading.com/vulnerabilities-threats/dragonforce-malaysia-releases-lpe-exploit-threatens-ransomware

T Bài đăng ban đầu được xuất bản trên Đọc tối

Các bài liên quan

spot_img

Bài viết gần đây

spot_img