Sandworm ได้กำหนดเป้าหมายโจมตีไปยังเครือข่ายของยูเครน
กลุ่มแฮกเกอร์ของรัสเซียชื่อ Sandworm ได้กำหนดเป้าหมายโจมตีไปยังเครือข่ายของยูเครน ซึ่งโจมตีโดยการใช้สคริปต์ BAT ที่เรียกว่า RoarBat ส่งผลให้แฮกเกอร์สามารถเข้าถึงระบบเครือข่ายของรัฐบาลยูเครนผ่านการใช้บัญชี VPN ที่ไม่ต้องใช้การตรวจสอบสิทธิ์แบบ 2FA
การโจมตีของกลุ่ม Sandworm เริ่มต้นจากการใช้ DD Command และ WinRAR เพื่อหลบเลี่ยงการตรวจจับ แทนการใช้มัลแวร์ในการโจมตี เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายเป้าหมายแล้ว แฮกเกอร์จะใช้สคริปต์ล้างไฟล์บนระบบ Windows และ Linux จากนั้นจะใช้สคริปต์ RoarBat บน Windows เพื่อค้นหาดิสก์และไดเร็กทอรีเฉพาะสำหรับประเภทไฟล์ เช่น docx, doc, rtf, xlsx, txt, xls, ppt, pptx และเก็บไฟล์เหล่านั้นโดยใช้ WinRAR ที่มีความสามารถในการลบอินสแตนซ์ของนามสกุลไฟล์ตั้งแต่ 24 ไฟล์ขึ้นไป รวมทั้งไดรเวอร์อีกด้วย
ข้อมูลเชิงลึกเพิ่มเติม:
- แฮกเกอร์เลือกใช้ -df command-line ที่ส่งผลให้เมื่อใดก็ตามที่ WinRAR ถูกเรียกใช้งาน จะทำการลบไฟล์โดยอัตโนมัติเมื่อไฟล์นั้นถูก archived แล้ว จากนั้นจะลบตัวเองไปพร้อมกับข้อมูลในระบบ
- สคริปต์ RoarBat ถูกเรียกใช้โดย scheduled task ที่สร้างและเผยแพร่จากส่วนกลาง โดย Group Policy (GPO)
- การเข้าถึง IKS ของอ็อบเจกต์ทำได้โดยการเชื่อมต่อกับ VPN โดยใช้ข้อมูลการตรวจสอบสิทธิ์ที่ ถูกโจมตี
คำแนะนำ
- ควรอัปเดตแพตช์ของระบบปฏิบัติการและโปรแกรม WinRAR ให้เป็นปัจจุบันออยู่เสมอ
- ควรปิดใช้งานบริการของระบบที่ไม่จำเป็น
- ควรตรวจสอบทราฟฟิกและ Log ของเครือข่าย
- ควรจำกัดการเข้าถึงอินเทอร์เฟซการจัดการ
- ควรตั้งค่ากสรตรวจสอบสิทธิ์แบบ 2FA ให้กับบัญชี VPN
Ref: https://cyware.com/news/russian-actor-uses-winrar-and-dd-command-to-destroy-ukrainian-data-9796918c/?web_view=true