โปรแกรมตรวจสอบข้อมูลประจำตัว WordPress ที่ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ขโมยข้อมูลประจำตัว 390,000 รายการ เปิดเผยช่องโหว่สำคัญใน Microsoft Azure MFA: บทสรุปด้านความปลอดภัยทางไซเบอร์

โปรแกรมตรวจสอบข้อมูลประจำตัว WordPress ที่ถูกโจมตีด้วยมัลแวร์ขโมยข้อมูลประจำตัว 390,000 รายการในแคมเปญ MUT-1244
ผู้ก่อภัยคุกคามที่มีความซับซ้อนซึ่งติดตามได้ว่าเป็น MUT-1244 ได้ดำเนินการรณรงค์ครั้งใหญ่ในช่วงปีที่ผ่านมา โดยขโมยข้อมูลรับรอง WordPress ได้มากกว่า 390,000 รายการสำเร็จ ปฏิบัติการนี้ซึ่งมุ่งเป้าไปที่ผู้ก่อภัยคุกคามรายอื่นๆ เป็นหลัก รวมถึงนักวิจัยด้านความปลอดภัย ทีมงานด้านความมั่นคงปลอดภัย และผู้ทดสอบการเจาะระบบ โดยอาศัยตัวตรวจสอบข้อมูลรับรอง WordPress ที่มีโทรจันและคลังข้อมูล GitHub ที่เป็นอันตรายเพื่อเจาะระบบเหยื่อ
ผู้โจมตีใช้เครื่องมืออันตรายที่เรียกว่า “yawpp” ซึ่งโฆษณาว่าเป็นโปรแกรมตรวจสอบข้อมูลประจำตัวของ WordPress เหยื่อหลายราย รวมถึงผู้ก่อภัยคุกคาม ใช้เครื่องมือนี้เพื่อตรวจสอบข้อมูลประจำตัวที่ถูกขโมยไป ทำให้ระบบและข้อมูลของตนเองถูกเปิดเผยโดยไม่ได้ตั้งใจ นอกจากนี้ MUT-1244 ยังตั้งค่าคลังข้อมูล GitHub หลายแห่งที่มีช่องโหว่แบบพิสูจน์แนวคิดแบบแบ็กดอร์สำหรับช่องโหว่ที่ทราบแล้ว ช่องโหว่ที่เก็บข้อมูลเหล่านี้ได้รับการออกแบบมาให้ดูเหมือนถูกต้องตามกฎหมาย โดยมักจะปรากฏในฟีดข่าวกรองภัยคุกคามที่เชื่อถือได้ เช่น Feedly และ Vulnmon การปรากฏของความถูกต้องตามกฎหมายนี้ทำให้ผู้เชี่ยวชาญและผู้กระทำผิดหลอกให้ดำเนินการมัลแวร์ ซึ่งส่งมาโดยใช้หลากหลายวิธี เช่น ไฟล์กำหนดค่าที่มีประตูหลัง โปรแกรมดรอปเปอร์ของ Python แพ็กเกจ npm ที่เป็นอันตราย และเอกสาร PDF ที่ถูกควบคุม
แคมเปญนี้ยังรวมถึง ฟิชชิ่ง องค์ประกอบ เหยื่อถูกหลอกให้รันคำสั่งเพื่อติดตั้งสิ่งที่พวกเขาเชื่อว่าเป็นการอัปเดตไมโครโค้ดของ CPU แต่จริงๆ แล้วเป็นมัลแวร์ เมื่อติดตั้งแล้ว มัลแวร์จะใช้งานทั้งโปรแกรมขุดสกุลเงินดิจิทัลและแบ็กดอร์ ทำให้ผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน เช่น คีย์ส่วนตัว SSH คีย์การเข้าถึง AWS และตัวแปรสภาพแวดล้อมได้ ข้อมูล จากนั้นก็ถูกแยกออกไปยังแพลตฟอร์มต่างๆ เช่น Dropbox และ file.io โดยใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ดที่ฝังอยู่ในมัลแวร์
นักวิจัยค้นพบช่องโหว่สำคัญใน Microsoft Azure MFA ซึ่งทำให้สามารถเข้าควบคุมบัญชีได้
นักวิจัยด้านความปลอดภัยจาก Oasis Security ระบุช่องโหว่สำคัญในระบบการตรวจสอบสิทธิ์หลายปัจจัย (MFA) ของ Microsoft Azure ซึ่งทำให้พวกเขาสามารถหลีกเลี่ยงการป้องกัน MFA และเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาตได้ภายในเวลาประมาณหนึ่งชั่วโมง ช่องโหว่นี้เกิดจากการที่ไม่มีการกำหนดอัตราขีดจำกัดสำหรับความพยายาม MFA ที่ล้มเหลว ทำให้บัญชี Microsoft 400 กว่า 365 ล้านบัญชีเสี่ยงต่อการถูกบุกรุก ส่งผลให้ข้อมูลที่ละเอียดอ่อน เช่น อีเมล Outlook ไฟล์ OneDrive แชท Teams และบริการ Azure Cloud เปิดเผย
การโจมตีโดยใช้ช่องโหว่ที่เรียกว่า “AuthQuake” จะทำให้ผู้โจมตีสามารถลองเดารหัส MFA 1 หลักพร้อมกันได้อย่างรวดเร็ว ซึ่งมีรูปแบบการรวมกันที่เป็นไปได้ 2.5 ล้านรูปแบบ การไม่มีการแจ้งเตือนผู้ใช้ระหว่างการพยายามล็อกอินที่ล้มเหลวทำให้การโจมตีเป็นไปอย่างเงียบๆ และตรวจจับได้ยาก นอกจากนี้ นักวิจัยยังพบว่าระบบของ Microsoft อนุญาตให้รหัส MFA มีอายุใช้งานประมาณ 30 นาที ซึ่งนานกว่าเวลาหมดอายุ 6238 วินาทีตามคำแนะนำใน RFC-XNUMX ถึง XNUMX นาที ทำให้มีโอกาสที่การเดาจะสำเร็จเพิ่มขึ้นอย่างมาก
จากการทดสอบของพวกเขา นักวิจัยได้แสดงให้เห็นว่าภายใน 24 เซสชัน (ประมาณ 70 นาที) ผู้โจมตีจะมีโอกาสเดารหัสที่ถูกต้องมากกว่า 50%
รัสเซียบล็อค Viber หลังถูกกล่าวหาว่าละเมิดกฎหมายระดับชาติ
หน่วยงานกำกับดูแลโทรคมนาคมของรัสเซีย Roskomnadzor ได้บล็อกแอปส่งข้อความเข้ารหัส Viber โดยอ้างว่าละเมิดกฎหมายของประเทศ แอปดังกล่าวซึ่งใช้กันอย่างแพร่หลายทั่วโลก ถูกกล่าวหาว่าไม่ปฏิบัติตามข้อกำหนดที่มุ่งป้องกันการใช้งานในทางที่ผิดสำหรับกิจกรรมต่างๆ เช่น การก่อการร้าย การหัวรุนแรง การค้ายาเสพติด และการเผยแพร่ข้อมูลที่ผิดกฎหมาย Roskomnadzor อ้างว่าข้อจำกัดนี้มีความจำเป็นเพื่อลดความเสี่ยงเหล่านี้และรักษาการปฏิบัติตามกฎหมายของรัสเซีย
Viber มีให้บริการทั้งบนเดสก์ท็อปและแพลตฟอร์มมือถือ ได้รับความนิยมอย่างล้นหลาม โดยมียอดดาวน์โหลดมากกว่า 1 พันล้านครั้งบน Google Play Store และผู้ใช้จำนวนมากบน iOS อย่างไรก็ตาม การเคลื่อนไหวครั้งนี้เกิดขึ้นหลังจากที่ทางการรัสเซียได้ดำเนินการกับแพลตฟอร์มการสื่อสารต่างประเทศหลายครั้ง ในเดือนมิถุนายน 2023 ศาลกรุงมอสโกได้ปรับ Viber เป็นเงิน 1 ล้านรูเบิล เนื่องจากไม่สามารถลบเนื้อหาที่ถูกระบุว่าผิดกฎหมายได้ ซึ่งรวมถึงเนื้อหาที่เกี่ยวข้องกับความขัดแย้งที่ยังคงดำเนินอยู่ของรัสเซียในยูเครน การปราบปราม Viber สอดคล้องกับข้อจำกัดที่กว้างขึ้นซึ่งรัสเซียกำหนดไว้กับบริการส่งข้อความ