ViperSoftX: Hiding in System Logs and Spreading VenomSoftX

พบมัลแวร์ติดตั้งส่วนขยายของ Google Chrome เพื่อขโมยข้อมูลในเว็บเบราว์เซอร์

  พบ Malware ViperSoftX แพร่กระจายส่วนขยายที่เป็นอันตรายของ Google Chrome Version Chromium โดยส่วนขยายดังกล่าวจะปลอมเป็นส่วนขยายเว็บเบราว์เซอร์ เช่น Google Sheets Malware VenomSoftX เป็น Add-on ของเบราว์เซอร์ ที่มีคุณสมบัติแบบ Standalone ซึ่งช่วยให้สามารถเข้าถึงการเยี่ยมชมเว็บไซต์ ขโมยข้อมูลประจำตัว และการแลกเปลี่ยนที่อยู่ของสกุลเงินดิจิทัลผ่านการโจมตีแบบ Adversary-in-The-Middle โดย Malware จะเน้นไปที่การขโมยสกุลเงินดิจิทัล การแลกเปลี่ยนคลิปบอร์ด ลายนิ้วมือ การเรียกใช้งานคำสั่งที่เป็นอันตันราย และการติดตั้งเพย์โหลดเพิ่ม Malware ViperSoftX เปิดตัวครั้งแรกในเดือนกุมภาพันธ์ 2020 เป็น Remote Access Trojan (RAT) ที่ใช้ JavaScript และ Cryptocurrency stealer

    Malware ViperSoftX จะมากับซอฟต์แวร์ Adobe Illustrator และ Microsoft Office Version Cracked ที่ผู้ใช้งานโหลดมาแบบผิดลิขสิทธิ์ Malware Version ใหม่ ๆ ยังสามารถดาวน์โหลด VenomSoftX add-on ที่เรียกใช้มาจากการ Remote เซิร์ฟเวอร์ไปยังเว็บเบราว์เซอร์Version Chromium เช่น Google Chrome, Microsoft Edge, Opera, Brave และ Vivaldi ซึ่งทำได้โดยการค้นหาไฟล์ LNK สำหรับเว็บเบราว์เซอร์และแก้ไข Shortcuts ด้วยคำสั่ง “–load-extension” ที่ไปยังเส้นทางที่เก็บส่วนขยาย และคำสั่ง –load-extension ยังได้ถูกนำไปใช้โดย Malware ChromeLoader (aka Choziosi Loader หรือ ChromeBack)

คำแนะนำ 

• หลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บที่น่าสงสัยหรือเว็บที่ Redirect ไปยังเว็บอื่น 
• ดาวน์โหลดซอฟต์แวร์มาจากต้นทางที่หน้าเชื่อถือ เช่น ซื้อหรือทดลองใช้งานซอฟต์แวร์จากผู้ผลิต 
• ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์ 
• จำกัดสิทธิ์การใช้งาน PowerShell 
• ตรวจสอบส่วนขยายของเว็บเบราว์เซอร์ดังกล่าว หากไม่ได้ใช้หรือทำการโหลดมาด้วยตนเอง 
• ให้ทำการถอนการติดตั้งส่วนขยายทันที 
• หลีกเลี่ยงการบันทึกข้อมูลที่สำคัญลงในคอมพิวเตอร์ 
• ดำเนินการลบข้อมูลการเยี่ยมชมเว็บไซต์อย่างน้อย 1 ครั้งต่อสัปดาห์

Ref : decoded.avast.io

พบการรั่วไหลของข้อมูลสายการบินที่ให้บริการในประเทศไทย 2 สายการบิน

    พบสายการบินที่ให้บริการในประเทศไทย 2 สายการบินถูกโจมตี และถูกขโมยข้อมูลภายในออกไปได้ โดยทั้ง 2 สายการบิน ถูกโจมตีโดย Ransomware คนละกลุ่ม

    โดยการโจมตีครั้งแรกพบเมื่อวันที่ 11 พฤศจิกายน 2565 จากกลุ่ม Daixin ransomware ได้โจมตีสายการบิน แห่งหนึ่ง(เป้าหมายแรก) ทำให้ได้ข้อมูลผู้โดยสารของสายการบินออกไปได้กว่า 5 ล้านรายการ รวมถึงข้อมูลพนักงานทั้งหมด ซึ่งจากการตรวจสอบบนไฟล์ CSV 2 ไฟล์ที่ถูกเผยแพร่ไว้บนเว็ปไซต์ของทางกลุ่ม พบว่าข้อมูลไฟล์ในไฟล์ส่วนของผู้โดยสารประกอบไปด้วย รหัสผู้โดยสาร ชื่อ รหัสการจอง ค่าตั๋วโดยสาร เป็นต้น

    และในส่วนของพนักงานสายการบินจะประกอบไปด้วยรูปถ่าย คำถามลับต่าง ๆ ข้อมูลการเกิด และสัญชาติ เป็นต้น ทั้งนี้ทางกลุ่มยังได้ระบุว่า พวกเขาได้หลีกเลี่ยงการเข้ารหัสข้อมูลสำคัญที่เชื่อมต่อกับอุปกรณ์การบินเพื่อหลีกเลี่ยงผลกระทบที่อาจทำให้เกิดอันตรายถึงชีวิตไว้ด้วย

    ต่อมาเมื่อวันที่ 20 พฤศจิกายน 2565 ที่ผ่านมา พบว่ามีการเผยแพร่ข้อมูลของสายการบิน อีกแห่งหนึ่ง(เป้าหมายที่สอง) อยู่บนเว็ปไซต์ของกลุ่ม ALPHV ซึ่งทางกลุ่มระบุว่าได้ทำการโจมตี และได้ข้อมูลออกมาแล้วกว่า 500 GB โดยข้อมูลที่ได้ออกมานั้น จะประกอบไปด้วย โฟลเดอร์ ไฟล์ และข้อมูลที่เก็บอยู่ในหลายโฟลเดอร์ ไฟล์เอกสาร สเปรดชีต และอื่นๆ โดยจากรูปที่กลุ่มผู้โจมตีเผยแพร่ออกมาจะ พบว่าไฟล์บางไฟล์ที่ชื่อว่า refund to customers.ink หรือ req invoice.pdf หรือ refund.xlsx และเอกสารอื่น ๆ เป็นต้น

Ref : thecyberexpress Ref : businesstoday

Ransomware Gang "Donut extortion" กำหนดเป้าหมายในการโจมตีด้วย Ransomware อีกครั้งหนึ่ง

    มีการยืนยันแล้วว่า Ransomware Gang Donut extortion ถึงการโจมตีของพวกเขาว่าได้กำหนดการโจมตีที่เป้าหมายเป็น องค์กร ด้วย ransomware

    BleepingComputer ได้มีการรายงานเกี่ยวกับ Donut extortion เมื่อเดือนสิงหาคม ว่าพวกเขามีความเกี่ยวข้องกับ การโจมตี บริษัทแก๊ซธรรมชาติของกรีก ในชื่อ DESFA บริษัทก่อสร้างแห่งหนึ่งในสหราชอาณาจักร ในชื่อ Sheppard Robson และบริษัทก่อสร้างข้ามชาติ ในชื่อ Sando

    น่าแปลกใจที่ข้อมูลของ Sando และ DESFA ถูกนำไปไปโพสต์ในกลุ่มปฏิบัติการ Ransomware หลายแห่ง ข้อมูลของที่ได้จากการโจมตี Sanda ถูกอ้างโดย Hive ransomware และข้อมูลของ DESFA ถูกอ้างโดย Ragnar Locker ผู้เชี่ยวชาญด้านความปลอดภัยจาก 42 Doel Santos ได้ออกมาเผยว่า TOX ID ที่ตรวจพบใน Log ของ Directory เป็นลักษณะคล้ายกับ HelloXD Ransomware การโพสต์ข้อมูลที่ถูกขโมยข้ามกันไปมาและมีการร่วมมือกัน ทำให้เชื่อว่าเบื้องหลังการโจมตีของ Donut Leak เป็นการร่วมมือกันหลายกลุ่ม

เพื่อพยายามที่จะทำเงินจากข้อมูลจากการกระทำของพวกเขา

The Donut Ransomware

    BleepingComputer ได้ตรวจสอบพบโดย VirusTotal ถึงการโจมตีด้วยการเข้ารหัสของ Donut ได้แสดงให้เห็นว่ากลุ่มนี้ได้ทำการปรับแต่ง ransomware แบบ Custome เพื่อเป็นการขโมยข้อมูลแบบการเรียกค่าไถ่แบบ 2 ขั้น Ransomware นี้เมื่อมีการแตกไฟล์ มันจะสแกนหาไฟล์ที่มีนามสกุลเฉพาะเพื่อที่จะเข้ารหัสไฟล์ที่มีนามสกุลที่แปลกไป เมื่อเข้ารหัสไฟล์แล้ว ransomware จะหลีกเลี่ยงไฟล์และโฟเดอร์ ที่มีอักษรตามนี้

• Edge
• ntldr
• Opera
• Bootsect.bak
• Chrom
• BOOTSTAT.DAT
• boot.ini
• AllUsers
• Chromium
• bootmgr
• Windows
• thumbs.db
• ntuser.ini
• ntuser.dat
• desktop.ini
• bootmgr.efi
• autorun.inf

    เมื่อไฟล์ถูกเข้ารหัส Donut ransomware จะสร้าง .d0nut เพิ่มที่ไฟล์ที่ถูกเข้ารหัส ตัวอย่างเช่น 1.jpg เมื่อถูกเข้ารหัส จะถูกเปลี่ยนเป็น 1.jpg.d0nut

    กลุ่ม Donut Leaks มีการเพิ่มความน่าสนใจในการใช้การแสดงภาพนี่น่าสนใจ และเสนอการสร้างช่องทางของการใช้งานการแสดงภาพศิลปะเป็นโดนัทหมุนโชว์บน ransom notes

    Ranson note จะทำให้สับสนมากขึ้นเพื่อเลี่ยงการตรวจจับ โดยจะมีการเข้ารหัสตัวอักษรทั้งหมด และจะถอดรหัส JavaScript ransomware notes พวกนี้ยังให้ช่องต่างติดต่อที่แต่ต่างกันออกไป เช่น TOX และ Tor ในการติดต่อ

    Donut ransomware จะมีตัว "builder" ในแหล่งที่มีการรั่วไหลของข้อมูล ซึ่งจะมีองค์ประกอบของ a bash script (Commands ที่จะเขียนอยู่ในไฟล์ โดยจะถูกอ่านทีละบรรทัด) เพื่อสร้าง Windows, Linux Electron app (เป็นframwork ไว้สร้าง desktop application) โดยจะพ่วงมาด้วย กับ Tor เพื่อที่จะได้เข้าถึงแหล่งที่ข้อมูลรั่วไหล

    อย่างไรก็ตาม นี่เป็นกลุ่มที่ที่น่าจับตามอง ไม่ใช่เพียงแค่มีความสามารถที่โดดเด่น แต่ยังมีความสามารถในการสร้างตลาดซื้อขายของพวกเขาเอง

Ref : bleepingcomputer

Chinese hackers use Google Drive to drop malware on govt networks

พบผู้ไม่ประสงค์ดีใช้ Google Drive เพื่อวาง Malware บนเครือข่ายของรัฐบาล

 ผู้ไม่ประสงค์ดีใช้การโจมตีแบบฟิชชิ่งเพื่อส่ง Malware ที่เก็บไว้ใน Google Drive ไปยังรัฐบาล และ องค์กรทางวิชาการทั่วโลก โดยการโจมตีดังกล่าวมาจากกลุ่ม Mustang Panda หรือที่รู้จักในชื่อ TA416

 ผู้เชี่วยชาญด้านความปลอดภัยไซเบอร์ของ Trend Micro กล่าวว่ากลุ่ม TA416 มุ่งเป้าไปที่องค์กรในออสเตรเลีย ญี่ปุ่น ไต้หวัน เมียนมาร์ และฟิลิปปินส์เป็นส่วนใหญ่

 ผู้ไม่ประสงค์ใช้บัญชี Google ทำการส่งข้อความไปยัง E-mail เป้าหมายเพื่อหลอกล่อให้ดาวน์โหลด Malware จากลิงก์ Google Drive โดยลิงก์ที่ฝังไว้จะนำทางไปยังโฟลเดอร์ Google Drive หรือ Dropbox เพื่อหลีกเลี่ยงการตรวจจับ ซึ่งลิงก์ดังกล่าวยังนำไปสู่การดาวน์โหลด RAR, ZIP และ JAR โดยในไฟล์จะมี Malware หลายตัวเช่น ToneShell, ToneIns และ PubLoad

 PubLoad เป็น stager ทำหน้าที่ในการสร้าง persistence การเพิ่มรีจิสตรีคีย์และ สร้าง Scheduled ที่กำหนดเวลาไว้, ถอดรหัส shellcode และ จัดการการสื่อสารด้วยคำสั่งและการควบคุม (C2) ToneIns เป็นตัวติดตั้งสำหรับ ToneShell ซึ่งเป็น backdoor หลักที่ใช้ในการโจมตีล่าสุด ยังมีความสามารถในการหลบเลี่ยงการตรวจจับ และ โหลด ToneShell ในขณะเดียวกันก็สร้าง persistence ในระบบที่ถูกโจมตี ToneShell เป็น backdoor แบบ Standalone ที่โหลดโดยตรงในหน่วยความจำ และนอกจากนี้ยังหน้าที่เป็นกลไก Anti-sandbox เนื่องจาก backdoor จะไม่ทำงานใน Debugging Environment

 หลังจากเชื่อมต่อกับ C2 แล้ว ToneShell จะส่งแพ็คเกจพร้อมข้อมูล ID ของเหยื่อ จากนั้นจะรอ Commands ใหม่ ซึ่ง Commands เหล่านี้ให้สิทธิ์ในการอัปโหลด, ดาวน์โหลด, เรียกใช้งานไฟล์, สร้าง Shells สำหรับการแลกเปลี่ยนข้อมูล Intranet, เปลี่ยนแปลงการกำหนดค่า Sleep และ อื่น ๆ

Ref : BleepingComputer

พบผู้ไม่ประสงค์ดีใช้มัลแวร์ตัวใหม่ Aurora เพื่อขโมยข้อมูล

 

   พบผู้ไม่ประสงค์ดีใช้ MalwareGo-based ตัวใหม่ที่ชื่อว่า ‘Aurora’ เพื่อขโมยข้อมูลที่สำคัญจากเบราว์เซอร์, แอป Cryptocurrency และ โหลดเพย์โหลดเพิ่มเติม

   SEKOIA กล่าวว่าพบกลุ่มผู้ไม่ประสงค์ดีได้นำ MalwareAurora มาใช้ร่วมกับ Redline และ Raccoon ซึ่งเป็นกลุ่ม Malware ขโมยข้อมูล โดยในช่วงปลายเดือนสิงหาคม พ.ศ. 2565 Aurora ถูกโฆษณาว่าเป็น Malware ขโมยข้อมูลที่มีฟีเจอร์ที่หลากหลายรวมถึงการหลบเลี่ยงการตรวจจับโดยมีค่าใช้จ่ายในการเช่า Malware อยู่ที่ 250 ดอลลาร์ และ 1,500 ดอลลาร์ต่อเดือน เมื่อดำเนินการ Aurora จะรัน Commands ต่าง ๆ ผ่าน WMIC เพื่อรวบรวมข้อมูลพื้นฐานของโฮสต์, ถ่ายภาพ desktop และส่งทุกอย่างไปยัง C2

 นอกจากนี้ Malware ยังมุ่งเป้าไปที่ข้อมูลที่เก็บไว้ในเบราว์เซอร์หลายตัวเช่น คุกกี้, รหัสผ่าน, ประวัติบัตรเครดิต, Cryptocurrency browser, แอป Cryptocurrency wallet desktop และ Telegram ข้อมูลที่ถูกขโมยทั้งหมดถูกรวมไว้ในไฟล์ JSON ที่เข้ารหัส base64 และแยกออกเป็น C2 ผ่านพอร์ต TCP 8081 หรือ 9865 นักวิจัยพบตัวโหลด Malware ของ Aurora ที่ใช้ “net_http_Get” เพื่อวางเพย์โหลดใหม่ลงในระบบไฟล์โดยใช้ชื่อแบบสุ่มจากนั้นจึงใช้ PowerShell เพื่อดำเนินการโจมตีต่อไป

คำแนะนำ 

• ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์
• ตรวจสอบ Process ในหน่วยความจำ ว่าทำงานผิดปกติหรือไม่ เช่น ใช้ทรัพยากรภายในเครื่องมากเกินไปหรือไม่
• อัปเดตซอฟต์แวร์หรือเทคโนโลยีการป้องกัน และ ตรวจสอบว่ามีการทำงานอย่างถูกต้องหรือไม่

Ref:BleepingComputer

Hive Ransomware ขู่เรียกค่าไถ่กว่า 100 ล้านดอลลาร์จากบริษัททั่วโลกกว่า 1,300 แห่ง

   Hive Ransomware ขู่เรียกค่าไถ่กว่า 100 ล้านดอลลาร์จากบริษัทกว่า 1,300 แห่ง ทั่วโลกในเดือนพฤศจิกายน 2565 จากการรายงานของหน่วยงานความมั่นคงทางไซเบอร์ และข่าวกรองของสหรัฐ ทางการรายงานว่าตั้งแต่เดือนมิถุนายน 2564 ถึงเดือน พฤศจิกายน 2565 

    ผู้ไม่ประสงค์ดีใช้ Hive Ransomware ในการโจมตีที่มุ่งเป้าไปที่ธุรกิจและ ภาคส่วนโครงสร้างพื้นฐานที่สำคัญ รวมถึงสถานที่ราชการ การสื่อสาร การผลิตที่สำคัญ เทคโนโลยีสารสนเทศ และโดยเฉพาะอย่างยิ่งการดูแลสุขภาพและสาธารณะ สุขภาพ (HPH)

    สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้เผยแพร่การแจ้งเตือนเกี่ยวกับการโจมตีของ Hive ransomware ซึ่งประกอบไปด้วยรายละเอียดทางเทคนิคและสัญญาน ที่บ่งบอกถึงการโจมตีที่เกี่ยวข้องกับปฏิบัติการของแก๊งดังกล่าว ตามรายงานที่เผยแพร่ โดย Chainalysis ซึ่งเป็นบริษัทวิเคราะห์บล็อกเชน โดย Hive ransomware เป็นหนึ่งใน 10 อันดับ สายพันธุ์ ransomware ที่มีรายได้สูงสุดในปี 2564 ทางกลุ่มได้ใช้วิธีการโจมตี ที่หลากหลาย รวมถึงการสแปมมัลแวร์ผ่านอีเมลล์เซิร์ฟเวอร์ RDP ที่มีช่องโหว่ และโจมตีข้อมูลรับรอง VPN และโปรโตคอลการเชื่อมต่อเครือข่ายระยะไกลอื่น ๆ ในการโจมตีบางครั้ง สามารถข้ามการยืนยันตัวตนแบบหลายปัจจัย (MFA) และเข้าถึงเซิร์ฟเวอร์ FortiOS ได้โดยใช้ช่องโหว่ CVE-2020-12812 ผู้ไม่ประสงค์ดียังได้รับการเข้าถึงเบื้องต้นไปยังเครือข่ายของเป้าหมายผ่านการโจมตีแบบฟิชชิ่งซึ่งส่งเอกสารเพื่อหลอกลวง โดยการใช้ประโยชน์จากข้อบกพร่องต่อไปนี้ในเซิร์ฟเวอร์ Microsoft Exchange:

• CVE-2021-31207  – Microsoft Exchange Server Security Feature Bypass Vulnerability
• CVE-2021-34473  – ช่องโหว่ Microsoft Exchange Server Remote Code Execution
• CVE-2021-34523  – ช่องโหว่เพิ่มสิทธิ์ Microsoft Exchange Server

    ผู้เชี่ยวชาญของรัฐบาลยังเตือนด้วยว่า เป็นที่ทราบกันดีว่าผู้ให้บริการ Hive ทำให้เครือข่ายของเป้าหมายติดไวรัสด้วย Hive ransomware หรือ ransomware อื่น ๆ

Ref : securityaffairs

ตรวจพบช่องโหว่ Zero Day ที่สามารถ By pass ระบบรักษาความปลอดภัยของ Windows และปล่อย Malware ไปยังเป้าหมาย

    มีการแจ้งเตือนจากทาง Windows ถึงการตรวจพบการโจมตี Zero-day ที่จะปล่อย Q-Bot Malware โดยไม่แสดงคำเตือนความปลอดภัยที่ Mark of the Web เมื่อมีการดาวน์โหลด File หรืออะไรก็ตามแต่ จาก แหล่งที่ไม่น่าเชื่อถือ เช่น Internet หรือการโหลดไฟล์ จาก E-Mail ที่แนบมา Windows ใส่ Future ของ Mark of the Web (MoTW)

    ทีมข่าวกรองด้านภัยคุกคามของ HP รายงานว่ามีการโจมตีแบบฟิชชิงที่กระจายMalwareเรียกค่าไถ่ Magniber โดยใช้ไฟล์ JavaScript ไฟล์ JavaScript เหล่านี้ไม่เหมือนกับไฟล์ที่ใช้บนเว็บไซต์ แต่เป็นไฟล์แบบสแตนด์อโลนที่มีนามสกุล '.JS' ที่ทำงานโดยใช้ Windows Script Host (wscript.exe)

    หลังจากวิเคราะห์ไฟล์ Will Dormann ของ ANALYGENCE พบ ว่าผู้คุกคามกำลังใช้ ช่องโหว่ Zero-day ใหม่ของ Windows ที่ป้องกันไม่ให้แสดงคำเตือนด้านความปลอดภัยของ Mark of the Web ในการใช้ประโยชน์จากช่องโหว่นี้ ไฟล์ JS (หรือไฟล์ประเภทอื่น ๆ) สามารถลงนามโดยใช้ลายเซ็นที่เข้ารหัส base64 ที่ฝังไว้

    อย่างไรก็ตาม เมื่อมีการเปิดไฟล์ที่เป็นอันตรายซึ่งมีลายเซ็นที่ผิดรูปแบบเหล่านี้ แทนที่จะถูกตั้งค่าสถานะ โดย Microsoft SmartScreen และแสดงคำเตือนด้านความปลอดภัย MoTW Windows จะอนุญาตให้โปรแกรมทำงานโดยอัตโนมัติ

Malware QBot ใช้ Windows Zero-day

    ฟิชชิง Malware QBot ล่าสุด ได้ส่งไฟล์ ZIP ที่มีการป้องกันด้วยรหัสผ่านซึ่งมีอิมเมจ ISO เหล่านี้มีทางลัด Windows และ DLL เพื่อติดตั้งMalwareการใช้อิมเมจ ISO เพื่อแพร่ Malware เนื่องจาก Windows ไม่สามารถแพร่ Mark of the Web ไปยังไฟล์ภายในไฟล์ได้อย่างถูกต้อง ทำให้ไฟล์ที่มีอยู่สามารถข้ามคำเตือนด้านความปลอดภัยของ Windows ได้

    ในฐานะที่เป็นส่วนหนึ่งของ Microsoft พฤศจิกายน 2022 Patch Tuesday การอัปเดตความปลอดภัยได้รับการแพร่เพื่อแก้ไขข้อบกพร่องนี้ทำให้แฟล็ก MoTW แพร่กระจายไปยังไฟล์ทั้งหมดภายในอิมเมจ ISO ที่เปิดอยู่ ซึ่งเป็นการแก้ไขการเลี่ยงผ่านความปลอดภัยนี้

    ฟิชชิ่ง QBot ใหม่ที่ ค้นพบ โดยนักวิจัยด้านความปลอดภัย ProxyLifeผู้คุกคามได้เปลี่ยนไปใช้ช่องโหว่ Zero-day ของ Windows Mark of the Web โดยกระจายไฟล์ JS ที่ลงนามด้วยลายเซ็นที่มีรูปแบบไม่ถูกต้อง ฟิชชิ่งใหม่นี้เริ่มต้นด้วย E-mail ที่มีลิงก์ไปยังเอกสารที่ถูกกล่าวหาและรหัสผ่านไปยังไฟล์

    เมื่อดำเนินการ คลิก Link ZIP ที่มีการป้องกันด้วยรหัสผ่านจะถูกดาวน์โหลดซึ่งมีไฟล์ zip อื่น ตามด้วยไฟล์ IMG ใน Windows 10 และใหม่กว่า เมื่อคุณดับเบิลคลิกที่ไฟล์อิมเมจของดิสก์ เช่น IMG หรือ ISO ระบบปฏิบัติการจะระบุไดรฟ์ใหม่โดยอัตโนมัติ ไฟล์ IMG นี้มีไฟล์ .js ('WW.js') ไฟล์ข้อความ ('data.txt') และโฟลเดอร์อื่นที่มีไฟล์ DLL ที่เปลี่ยนชื่อเป็นไฟล์ .tmp ('resemblance.tmp') [ VirusTotal ] ดังภาพประกอบด้านล่าง ควรสังเกตว่าชื่อไฟล์จะเปลี่ยนไปตามแคมเปญ ดังนั้นจึงไม่ควรถือว่าคงที่

    ไฟล์ JS มีสคริปต์ VB ที่จะอ่านไฟล์ data.txt ซึ่งมีสตริง 'vR32' และเพิ่มเนื้อหาต่อท้ายพารามิเตอร์ของ คำสั่ง shellexecute เพื่อโหลดไฟล์ DLL 'port/resemblance.tmp' ในอีเมลฉบับนี้

    เนื่องจากไฟล์ JS มาจากอินเทอร์เน็ต การเปิดใช้งานใน Windows จะแสดงคำเตือนด้านความปลอดภัยของ Mark of the Web อย่างไรก็ตาม ดังที่คุณเห็นจากรูปภาพของสคริปต์ JS ด้านบน มีการเซ็นชื่อโดยใช้คีย์ที่มีรูปแบบไม่ถูกต้องแบบเดียวกับที่ใช้ในแคมเปญแรนซั่มแวร์ Magniber เพื่อใช้ประโยชน์จากช่องโหว่ Zero-day ของ Windows

    ลายเซ็นที่มีรูปแบบไม่ถูกต้องนี้ทำให้สคริปต์ JS สามารถเรียกใช้และโหลด Malware  QBot ได้โดยไม่ต้องแสดงคำเตือนด้านความปลอดภัยใด ๆ จาก Windows หลังจากช่วงเวลาสั้น ๆ ตัวโหลด Malware จะแทรก QBot DLL เข้าไปในกระบวนการ Windows ที่ถูกต้องเพื่อหลีกเลี่ยงการตรวจจับ เช่น wermgr.exe หรือ AtBroker.exe Microsoft ทราบเกี่ยวกับช่องโหว่ Zero-day นี้ตั้งแต่เดือนตุลาคม และขณะนี้มีแคมเปญ Malware อื่น ๆ กำลังใช้ประโยชน์จากช่องโหว่นี้ เราหวังว่าจะเห็นข้อบกพร่องดังกล่าวได้รับการแก้ไขโดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัย Patch Tuesday ในเดือนธันวาคม 2022

Malware  QBot

    QBot หรือที่รู้จักในชื่อ Qakbot เป็น Malware  Windows ที่เริ่มแรกพัฒนาเป็นโทรจันธนาคาร แต่ได้พัฒนาเป็น Malware  เมื่อโหลดแล้ว  Malware จะทำงานอย่างเงียบ ๆ ในพื้นหลังพร้อมกับขโมยอีเมลเพื่อใช้ในการโจมตีแบบฟิชชิ่งอื่น ๆ หรือเพื่อติดตั้งเพย์โหลดเพิ่มเติม เช่น  Brute Ratel ,  Cobalt Strikeและ   Malware อื่น ๆ การติดตั้งชุดเครื่องมือหลังการเอารัดเอาเปรียบของ Brute Ratel และ Cobalt Strike มักนำไปสู่การโจมตีที่ก่อกวนมากขึ้น เช่น การขโมยข้อมูลและการโจมตีด้วยแรนซัมแวร์

    ในอดีต การดำเนินการของ แรนซั่มแวร์ Egregor และ Prolock ร่วมมือกับผู้จัดจำหน่าย QBot เพื่อเข้าถึงเครือข่ายองค์กร เมื่อเร็ว ๆ นี้ พบการโจมตีด้วยแรนซัมแวร์  Black Basta

Ref:BleepingComputer

KmsdBot มัลแวร์ตัวใหม่ถูกใช้เพื่อ Mining Crypto และ DDoS Attacks

     Malware ที่ได้รับการค้นพบครั้งนี้จะใช้ประโยชน์จากโปรโตคอล Secure Shell (SSH) เพื่อเข้าสู่ระบบเป้าหมายโดยมีเป้าหมายในการ mining cryptocurrency และทำการโจมตีแบบ Distributed Denial-of-Service (DDoS)

    KmsdBot ถูกพบโดยนักวิจัยจาก Akamai Security Intelligence Response Team (SIRT) ซึ่งเป็น Malware ที่ใช้ภาษา Golang โดยกำหนดเป้าหมายไปยังบริษัทต่าง ๆ ตั้งแต่บริษัทเกมไปจนถึงแบรนด์รถหรู และบริษัทรักษาความปลอดภัย

    Malware ได้รับชื่อจากไฟล์ติดตั้งที่ชื่อว่า "kmsd.exe" ซึ่งจะถูกดาวน์โหลดจากเซิร์ฟเวอร์ภายนอกหลังจากที่โจมตีเครื่องเหยื่อได้สำเร็จ ซึ่งมันถูกออกแบบมาเพื่อรองรับระบบต่าง ๆ ได้หลากหลาย เช่น Winx86, Arm64, mips64 และ x86_64

    Akamai กล่าวว่าเป้าหมายแรกของ Malware คือบริษัทเกมชื่อ FiveM ซึ่งเป็น mod สำหรับเกม Grand Theft Auto V ที่อนุญาตให้ผู้เล่นเข้าถึงเซิร์ฟเวอร์ และเล่นตามบทบาทที่กำหนดเองได้ส่วนการโจมตีแบบ DDoS ที่ตรวจพบคือการโจมตีใน Layer 4 และ Layer 7 ซึ่งจะมีการส่งคำขอ TCP, UDP flood หรือ HTTP GET ไปยังเซิร์ฟเวอร์เป้าหมาย

    โดยปัจจุบันผลการวิจัยจาก Kaspersky พบว่ามีการใช้ cryptocurrency miners เพิ่มขึ้นจาก 12% ในไตรมาสแรกของปี 2022 เป็น 17% ในไตรมาสที่ 3 ซึ่งเกือบครึ่งหนึ่งของตัวอย่างที่ถูกวิเคราะห์ หรือประมาณ 48% เป็นการ mining Monero (XMR) โดยประเทศที่เป็นเป้าหมายมากที่สุดในไตรมาสที่ 3 ปี 2022 คือเอธิโอเปีย (2.38%) ซึ่งการทำ mining cryptocurrency เป็นเรื่องผิดกฎหมายของประเทศ, คาซัคสถาน (2.13%) และอุซเบกิสถาน (2.01%) ตามมาเป็นอันดับสองและสาม

Ref : thehackernews

ระบบ Kerberos Authentication หยุดการทำงาน หลังจากที่ มีการอัพเดท ในรอบเดือน พฤศจิกายน

    หลังจากที่มีการอัพเดท Patch Tuesday ของทาง Microsoft ทาง Microsoft ได้พบปัญหาที่เกี่ยวข้องกับระบบ การยืนยันตัวตนตัวควบคุมโดเมนขององค์กรประสบกับความล้มเหลวในการลงชื่อเข้าใช้ Kerberos และปัญหาการตรวจสอบสิทธิ์อื่น ๆ

    มีการรายงานจากทาง BleepingComputer มีการอัพเดท Patch Tuesday ในเดือน พฤศจิกายน ทำให้ส่วนของระบบ Kerberos หยุดการใช้งาน

    ถ้ามีการใช้งานระบบ Keberos AES 256 Bit encryption หรือ Kerberos AES 128 bit encryption ในบัญชีของผู้ใช้ AD Redmond ได้ทำการตรวจสอบเหตุการณ์ดังกล่าว หากทางคุณได้พบการแจ้งเตือน

"Errors logged in system event logs on impacted systems will be tagged with a "the missing key has an ID of 1"

   นั้นแสดงให้เห็นว่านั้นคุณกำลังประสบปัญหาเกี่ยวกับ Windows Kerberos หยุดทำงาน และยังมีปัญหาตามมาอีกหลายประเด็นด้วยกัน นอกจากการตรวจสอบสิทธิ์ Keberos ดังนี้

• ​Domain user sign-in might fail.This also might affect Active Directory Federation Services (AD FS) authentication.
• ​Group Managed Service Accounts (gMSA) used for services such as Internet Information Services (IIS Web Server) might fail to authenticate.
• ​Remote Desktop connections using domain users might fail to connect.
• ​You might be unable to access shared folders on workstations and file shares on servers.
• ​Printing that requires domain user authentication might fail.

ส่งผลกับ client and server platforms. ดังนี้

Client :

• Windows 7 SP1
• Windows 8.1
• Windows 10 Enterprise LTSC 2019
• Windows 10 Enterprise LTSC 2016
• Windows 10 Enterprise 2015 LTSB
• Windows 10 20H2 หรือใหม่กว่า และ Windows 11 21H2 หรือใหม่กว่า

Server :

• Windows Server 2008 SP2 หรือใหม่กว่า
• Windows Server 2022

    ปัญหานี้ไม่ส่งผลกระทบต่ออุปกรณ์ที่ใช้โดยลูกค้าตามบ้านและอุปกรณ์ที่ไม่ได้ลงทะเบียนในโดเมนภายในองค์กร แบบแม่ลูกผสมและสภาพแวดล้อมที่ไม่มีเซิร์ฟเวอร์ Active Directory ในองค์กร Microsoft กำลังดำเนินการแก้ไข

Ref : BleepingComputer

กลุ่มผู้ไม่ประสงค์ดีชื่อ "Worok" ซ่อน Malware ภายในรูปภาพ PNG เพื่อแพร่กระจาย และขโมยข้อมูลจากเครื่องของเหยื่อ โดยไม่ทำให้ถูกตรวจจับได้จากซอฟแวร์ด้านความปลอดภัย

 

    เหตุการณ์ดังกล่าวได้รับการยืนยันจากผู้เชี่ยวชาญด้านความปลอดภัยของ Avast ซึ่งนำข้อมูลอ้างอิงที่ได้จากการค้นพบ Malware ครั้งแรกเมื่อต้นเดือนกันยายน 2022 โดย ESET เคยเตือนว่ากลุ่ม Worok มุ่งเป้าไปยังเหยื่อระดับสูง ซึ่งรวมถึงหน่วยงานของรัฐบาลในตะวันออกกลาง เอเชียตะวันออกเฉียงใต้ และแอฟริกาใต้

รายงานของ Avast ซึ่งอ้างอิงจากหลักฐานที่ได้จากการวิเคราะห์การโจมตีของกลุ่ม Worok ซึ่งยืนยันสมมติฐานของ ESET เกี่ยวกับพฤติกรรมของการใช้ไฟล์ PNG และข้อมูลใหม่ของ Malware เพย์โหลด รวมไปถึงวิธีการในการขโมยข้อมูลออกไป

การซ่อน Malware ในไฟล์ PNG

    แม้ยังไม่ทราบถึงวิธีการในการเจาะเข้าสู่เครือข่าย แต่ Avast เชื่อว่า Worok มีแนวโน้มที่จะใช้วิธีการ DLL sideloading เพื่อรัน Malware CLRLoader ลงในหน่วยความจำ อ้างอิงจากหลักฐานจากเครื่องที่ถูกโจมตี ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยของ Avast พบ DLL สี่ตัวที่มีรหัส CLRLoader ถัดมา CLRLoader จะทำการโหลด DLL ถัดไป (PNGLoader) ซึ่งถูกแยกส่วน และฝังอยู่ในไฟล์ PNG จากนั้นจะนำไปสู่การเรียกใช้งานไฟล์ติดตั้ง 2 ไฟล์

การซ่อน Payload ใน PNGs

    teganography คือการซ่อนโค้ดภายในไฟล์ภาพที่ดูเหมือนปกติเมื่อถูกเปิดในโปรแกรมดูรูปภาพ ในเคสของ Worok, Avast ระบุว่าผู้โจมตีใช้เทคนิคที่เรียกว่า "least significant bit (LSB) encoding" ซึ่งใช้การฝัง code ที่เป็นอันตรายขนาดเล็กลงในบิตที่มีความสำคัญน้อยที่สุดในพิกเซลของภาพ

   Payload แรกที่แยกจากบิตเหล่านั้นโดย PNGLoader คือ PowerShell script ที่ทั้ง ESET และ Avast ไม่สามารถดึงข้อมูลออกมาได้

  Payload ที่สองที่ซ่อนอยู่ในไฟล์ PNG คือ .NET C# info-stealer (DropBoxControl) ที่ถูกสร้างขึ้นเอง และใช้ DropBox เป็น C2 server, เก็บข้อมูลที่ถูกขโมยออกมา และอื่น ๆ

คำสั่งที่กำหนดไว้มีดังนี้:

• เรียกใช้ "cmd /c" ด้วยพารามิเตอร์ที่กำหนด
• ดำเนินการ หรือรันด้วยพารามิเตอร์ที่กำหนด
• ดาวน์โหลดข้อมูลจาก DropBox ไปยังอุปกรณ์
• อัปโหลดข้อมูลจากอุปกรณ์ไปยัง DropBox
• ลบข้อมูลในระบบของเหยื่อ
• เปลี่ยนชื่อข้อมูลในระบบของเหยื่อ
• แยกข้อมูลไฟล์จากไดเร็กทอรีที่กำหนด
• ตั้งค่าไดเร็กทอรีใหม่สำหรับแบ็คดอร์
• ดึงข้อมูลระบบ
• อัปเดตการตั้งค่าของแบ็คดอร์

  Function เหล่านี้บ่งชี้ว่า Worok เป็นกลุ่มอาชญากรทางอินเทอร์เน็ตที่เน้นไปที่การขโมยข้อมูล และพยายามเจาะไปยังระบบอื่น ๆ บนเครือข่ายของเหยื่อ และแอบแฝงตัวอยู่บนระบบที่ถูกโจมตี

  Avast ระบุว่าเครื่องมือที่ถูกใช้โดย Worok นั้นไม่ได้ถูกนำมาใช้อย่างแพร่หลาย ดังนั้นจึงมีแนวโน้มว่าเครื่องมือเหล่านี้จะถูกสร้างขึ้นมา และนำใช้ภายในกลุ่มดังกล่าวเท่านั้น

Ref: BleepingComputer

พบผู้ไม่ประสงค์ดีทำการโจมตีแบบ Cryptojacking ไปยัง Docker และ Kubernetes

    ทาง Crowd Strike พบการโจมตีรูปแบบใหม่ ชื่อ Kiss-a-dog โดยผู้ไม่ประสงค์ดี ได้กำหนดเป้าการโจมตีไปยัง Docker และ Kubernetes ที่มีช่องโหว่ เพื่อติดตั้งเครื่องขุดสกุลเงินดิจิตอล

Cryptojacking คืออะไร? 

    Cryptojacking เป็นการโจมตีประเภทหนึ่งที่ผู้ไม่ประสงค์ดีใช้คอมพิวเตอร์ของผู้ใช้งาน  เพื่อขุดหาสกุลเงินดิจิทัลโดยไม่ได้รับอนุญาต สิ่งนี้สามารถเกิดขึ้นได้เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ ที่เป็นอันตราย มีการฝั่งมัลแวร์ หรือคลิกโฆษณาที่เป็นอันตราย ซึ่งอาจทำให้คอมพิวเตอร์ของผู้ใช้งานทำงานช้าลง  นอกจากนี้ในบางกรณีอาจทำให้คอมพิวเตอร์ของผู้ใช้งานเกิดความเสียหายได้

    ในเดือนกันยายน พ.ศ. 2565 ทาง CrowdStrike ได้ตรวจพบการโจมตีหลายเหตุการณ์ที่เกี่ยวข้องกับการโจมตีต่อช่องโหว่ ซึ่งผู้เชี่ยวชาญเปิดเผยว่า Docker API และคอนเทนเนอร์ของ Docker  ที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการทริกเกอร์ Payload ที่เป็นคำสั่ง Python ซึ่งมีหน้าที่ในการดาวน์โหลด Payload t.sh จากโดเมนชื่อ kissa-dogtop และนั่นเป็นเหตุผลที่การโจมตีดังกล่าวมีชื่อว่า Kiss-a-dog นอกจากนี้ยังสามารถติดตั้ง Payload แบบ Cron job เพิ่มได้อีกด้วย 

    การสแกนเครือข่ายทำได้โดยการเข้ารหัสไฟล์โค้ด C/C++ และฝังเป็นสตริง Base64 ลงในสคริปต์ เมื่อเป็น runtime ผู้ไม่ประสงค์ดีจะถอดรหัสสตริง Base64 เป็นเอกสาร .tar ที่มีรหัสสำหรับ rootkits Diamorphine และจะทำการคอมไพล์โดยใช้ GCC เพื่อสร้างไฟล์ “diamorphin.ko” ที่ถูกโหลดเป็นโมดูลเคอร์เนลผ่านคำสั่ง insmod ผู้ไม่ประสงค์ดีใช้ rootkits Diamorphine และ libprocesshide  เพื่อซ่อน Process จากผู้ใช้งานผู้ไม่ประสงค์ดีจะซ่อนที่อยู่ของกระเป๋าเงินดิจิตอลโดยใช้โดเมน “lovea-dogtop” และ “toucha-dogtop” เป็นเซิร์ฟเวอร์และจะทำการปลอมไฟล์ XMRig เป็นไฟล์ต่าง ๆ อีกทั้งผู้ไม่ประสงค์ดีจะติดตั้ง service เพื่อเรียกใช้ไบนารีเป็น “cmake.service”

    วัตถุประสงค์ของการโจมตีครั้งนี้ คือ การขุดหาสกุลเงินดิจิตอล cryptocurrency และใช้ rootkit ของเคอร์เนล เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย ด้วยเหตุนี้ ผู้ไม่ประสงค์ดีจึงอาศัย ซอฟต์แวร์ XMRig ในการขุด อีกวัตถุประสงค์หนึ่งที่อยู่เบื้องหลังการโจมตีครั้งนี้คือการกำหนดเป้าการโจมตี ไปยัง Docker และ Redis ที่มีช่องโหว่ให้ได้มากที่สุด ผู้ไม่ประสงค์จะดาวน์โหลดหรือคอมไพล์เครื่องสแกนเครือข่าย เช่น Masscan, pnscan และ zgrab บนคอนเทนเนอร์ที่ถูกโจมตี ซึ่งเครื่องมือเหล่านี้จะสุ่มสแกน IP บนอินเทอร์เน็ต เพื่อตรวจหาอินสแตนซ์ของเซิร์ฟเวอร์ Docker และ Redis ที่มีช่องโหว่

คำแนะนำ

หลีกเลี่ยงการโหลดไฟล์หรือคลิกโฆษณาจากเว็บไซต์ที่เป็นอันตรายหรือเว็บที่มีการ Redirect ไปยังเว็บอื่น

ทำการปิดการใช้งาน Port ที่ไม่จำเป็นเพื่อลดช่องทาง และความเสี่ยงที่อาจถูกการโจมตี

ทำการ Block IP Address แปลก ๆ หรือที่ตรวจสอบแล้วว่ามีความอันตราย ทั้งขาใน และ ขานอก ที่ Firewall เพื่อป้องกันการเชื่อมต่อเข้ามายังเครือข่ายภายในองค์กร

ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์

ลบโปรแกรมที่ไม่ได้รับอนุญาตให้ใช้งาน หรือ Plug-in อื่น ๆ ภายในเครื่องออก

ลบโปรแกรมของ Process หรือ Service ที่มีการใช้งานทรัพยากรคอมพิวเตอร์สูงผิดปกติ

อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด

Ref: BleepingComputer

15,000 sites hacked for massive Google SEO poisoning campaign

 เว็ปไซต์กว่าหมื่นไซต์ถูกโจมตีเพื่อสร้างการเข้าถึง google Search Engine Optimization(SEO)

    พบผู้ไม่ประสงค์ดี ใช้การโจมตีแบบ Search Engine Optimization(SEO) ของ Google โดยเว็ปไซต์ที่ถูกโจมตีมีมากกกว่า 15,000 ไซต์ โดยส่งไปยังเว็ป ที่มีใว้เพื่อ ตอบ ข้อสงสัย ปลอม ๆ ถูกพบโดย Sucuri รายงานออกมาว่า เว็ปไซต์ที่ถูกโจมตี จะมีไฟล์กว่า 20,000 ไฟล์ที่เป็นช่องทางนำไปสู่เว็ปที่ปลายทางที่ hacker ตั้งไว้โดยเว็ปไซต์ที่มีถูกโจมตีมากที่สุดจะเป็น WordPress

    ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่า เป้าหมายของการโจมตีนี้คือ การเพิ่มจำนวนคนที่เขามาใช้งานเว็ปไซต์ ถาม - ตอบ ปลอมเพื่อให้ระดับในการมองเห็นในหน้าค้นหาของ Google มากขึ้น

รูปแบบการโจมตีนี้ทำให้มีโอกาสที่ในอนาคตจะมีการ แฝงมัลแวร์ หรือเว็ปฟิชชิงได้ ตัวอย่างเช่น การเข้าถึงเป็น ads.txt ไฟล์บนเว็ป เป็นอีกช่องทางที่เพิ่มช่องทางในการเข้าถึง การโฆษณาที่ปลอมได้มากขึ้น

WordPress กำลังถูกโจมตี

    Sucuri รายงานว่า hacker แก้ไข WordPress PHP เช่น  'wp-singup.php','wp-cron.php','wp-settings.php','wp-mail.php','wp-blog-header.php' เป็นการเพิ่มช่องทางเข้าสู่ เว็ป ถาม - ตอบ ปลอม ในบางครั้ง จะมีการวาง PHP ไฟล์บนเว็ปไซต์ที่ต้องการ โดยการสุ่มชื่อ หรือชื่อหลอก อย่างเช่น 'wp-login.php'. ไฟล์ที่มีการถูกโจมตี หรือ มีการดัดแปลง จะมี code ที่เป็นอันตรายจะคอยเช็ค เมื่อมีผู้ใช้ล๊อคอินเข้าสู่ WordPress หรือไม่ และถ้าไม่ได้เข้าถึง WordPress

    ผู้ใช้จะถูกนำไปยัง  https://ois.is/images/logo-6.png URL. แต่ browser จะไม่เปิด URL เป็นไฟล์รูปอย่างที่ส่งไป แต่จะมี JavaScript โหลดขึ้นมาแทน และจะส่งผู้ใช้ไปยังเว็ปไซต์ ถาม - ตอบ ที่เข้าผ่าน google เพื่อเพิ่มยอดผู้ใช้แทน การใช้ Google search และคลิ๊ก URL เข้าไปจะเหมือนการเพิ่มสถิติในการเข้าดูของ URL นั้น ๆ ผ่าน Google ส่งผลให้เว็ปไซต์นั้นๆ ดูมีความนิยมมากขึ้นทำให้สามารถคนหาเจอได้ง่ายมากยิ่งขึ้น

Funtion ที่ใช้ 'window.location.href เป็นฟังชั่นที่ใช้ในการเปลี่ยนเส้นทางจากที่ใช้งาน Google search ไปที่โดเมนใดโดเมนหนึ่งเช่น

• en.w4ksa[.]com
• peace.yomeat[.]com
• qa.bb7r[.]com
• en.ajeel[.]store
• qa.istisharaat[.]com
• en.photolovegirl[.]com
• en.poxnel[.]com
• qa.tadalafilhot[.]com
• questions.rawafedpor[.]com
• qa.elbwaba[.]com
• questions.firstgooal[.]com
• qa.cr-halal[.]com
• qa.aly2um[.]com

    การโจมตีผ่านหลายโดเมนย่อยข้างต้น การที่จะ แสดงทั้งหมดมันจะยาวเกินไป รวมทั้งหมดไว้ 1,137 รายการไว้ที่ link เว็ปไซต์ส่วนใหญ่จะถูกซ่อนไว้ใน Server Cloudflare Sucuri ไม่สามารถเข้าไปตรวจสอบการโจมตีนี้ได้ทั้งหมด Sucuri ไม่สามารถระบุได้ว่าการโจมตีนี้สามารถเปลี่ยนเส้นทางการเข้าได้อย่างไร อย่างไรก็ตาม มันอาจจะเกินจากความอ่อนแอของการเข้าถึง หรือ จากการเจาะหา password ของ admin

เพราะฉะนั้น แนะนำให้ทำการอัพเกรด Wordpress และเว็ปไซต์ CMS ให้เป็นเวอร์ชั่นล่าสุด และมีการยืนยัน 2 ชั้น กับรหัส admin

bleepingcomputer

Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities

Microsoft พบกลุ่มแฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ Zero-day

    Microsoft รายงานถึงการเพิ่มขึ้นของการโจมตีจากการใช้ประโยชน์จากช่องโหว่ Zero-Day โดยมีเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก และแนะนำให้องค์กรที่ได้รับผลกระทบแก้ไขช่องโหว่ดังกล่าวโดยทันที ซึ่งการโจมตีรูปแบบนี้สอดคล้องกับคำแนะนำจากหน่วยงานความมั่นคงไซเบอร์ของสหรัฐอเมริกา (CISA) ที่ได้ระบุไว้ในเดือนเมษายนที่ผ่านมา ซึ่งพบว่าผู้ไม่หวังดีมุ่งเป้าไปที่ช่องโหว่ของซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายทั่วโลก เพื่อขโมยทรัพย์สินของเป้าหมาย

   Microsoft พบว่ากลุ่มแฮ็กเกอร์ใช้เวลาโดยเฉลี่ย 14 วัน ในการโจมตีช่องโหว่หลังจากที่ได้มีการประกาศสู่สาธารณะ โดยปกติช่องโหว่ระดับ Zero-day จะเกิดขึ้นกับอุปกรณ์ใดอุปกรณ์หนึ่งแบบเฉพาะเจาะจง และมีแนวโน้มที่จะถูกนำไปใช้ในการโจมตีจริง เนื่องจากส่วนใหญ่จะยังไม่มีแพตช์สำหรับแก้ไขออกมา

รายละเอียดช่องโหว่ที่ถูกรายงานโดย Microsoft มีดังต่อไปนี้

• CVE-2021-35211 (CVSS score: 10.0) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ SolarWinds Serv-U Managed File Transfer Server และ Serv-U Secure FTP software
• CVE-2021-40539 (CVSS score: 9.8) - ช่องโหว่ bypass การตรวจสอบสิทธิ์ใน Zoho ManageEngine ADSelfService Plus
• CVE-2021-44077 (CVSS score: 9.8) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์ใน Zoho ManageEngine ServiceDesk Plus
• CVE-2021-42321 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Exchange Server
• CVE-2022-26134 (CVSS score: 9.8) - ช่องโหว่ Object-Graph Navigation Language (OGNL) ใน Atlassian Confluence
• Microsoft เตือนให้ทุกองค์กรรีบอัปเดตแพตช์เพื่อแก้ไขช่องโหว่โดยทันทีหลังจากที่ผู้ให้บริการปล่อยออกมา

Ref : The Hacker News

Dropbox discloses breach after hacker stole 130 GitHub repositories

 Dropbox ยอมรับเหตุการณ์ข้อมูลรั่วไหล ภายหลังแฮ็กเกอร์ขโมยข้อมูลของบริษัทออกไปจาก GitHub

    Dropbox ออกมายอมรับเหตุการณ์ข้อมูลรั่วไหล ซึ่งเกิดจากการที่ผู้โจมตีสามารถขโมย code repositories ของบริษัทออกไปกว่า 130 รายการ ภายหลังจากการเข้าถึงบัญชี GitHub โดยใช้ข้อมูลส่วนตัวของพนักงานที่ถูกขโมยจากการโจมตีแบบฟิชชิ่ง

     บริษัทพบว่าถูกแฮ็กเมื่อวันที่ 14 ตุลาคม 2565 ที่ผ่านมา เมื่อ GitHub แจ้งว่ามีพฤติกรรมที่น่าสงสัย ซึ่งเกิดขึ้นหนึ่งวันก่อนที่จะมีการส่งการแจ้งเตือน จนถึงปัจจุบัน (1 พฤศจิกายน 2565) จากการตรวจสอบพบว่าข้อมูลที่ผู้โจมตีรายนี้เข้าถึงส่วนใหญ่เป็นคีย์ API ที่ใช้โดยนักพัฒนาของ Dropbox ซึ่งรวมไปถึง source code, ข้อมูลชื่อ และที่อยู่อีเมลกว่า 2000-3000 รายการ ทั้งของพนักงาน Dropbox ของลูกค้าปัจจุบัน และลูกค้าในอดีต ซึ่งปัจจุบัน Dropbox มีผู้ใช้งานที่ลงทะเบียนมากกว่า 700 ล้านคน การโจมตีเริ่มมาจากอีเมลฟิชชิ่งที่ถูกส่งไปยังพนักงานของ Dropbox หลายคน โดยการใช้อีเมลปลอมที่แอบอ้างเป็นแพลตฟอร์ม CircleCI ซึ่งเมื่อคลิกลิงค์ จะถูก redirect ไปยังหน้า Landing Page ของฟิชชิ่งให้กรอกชื่อผู้ใช้ และรหัสผ่านของ GitHub รวมไปถึงการขอให้กรอก "One Time Password (OTP)” ด้วย

    หลังจากสามารถขโมยข้อมูลส่วนตัวของพนักงานของ Dropbox ได้ ผู้โจมตีจึงสามารถเข้าถึง GitHub ของ Dropbox และขโมย code repositories ออกไปกว่า 130 รายการ ซึ่งประกอบไปด้วยข้อมูลสำเนาของไลบรารีของ third-party ที่มีการปรับเปลี่ยนสำหรับการใช้งานของ Dropbox, ผลิตภัณฑ์ต้นแบบที่ใช้ภายใน, เครื่องมือ และ configuration files ที่ใช้โดย Security Team แต่ Dropbox ยืนยันว่า แฮ็กเกอร์ไม่สามารถเข้าถึง core apps หรือ infrastructure หลักได้ รวมไปถึงบัญชี รหัสผ่าน หรือข้อมูลการชําระเงินของลูกค้า เนื่องจากระบบเหล่านั้นมีการรักษาความปลอดภัยที่เข้มงวดมากกว่า

    เพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้น Dropbox กําลังดําเนินการด้านความปลอดภัยเพิ่มเติม โดยการใช้ WebAuthn และ hardware tokens หรือ biometric factors

    ในเดือนกันยายนที่ผ่านมา ผู้ใช้งาน GitHub ทั่วๆ ไป ก็เคยตกเป็นเป้าหมายในการโจมตีในลักษณะคล้ายกัน โดยอีเมลฟิชชิ่งที่แอบอ้างเป็นแพลตฟอร์ม CircleCI และขอให้พวกเขาลงชื่อเข้าใช้บัญชี GitHub เพื่อยอมรับข้อกำหนดของผู้ใช้งาน และการอัปเดตนโยบายความเป็นส่วนตัวเพื่อใช้บริการต่อไป

    โดย GitHub ระบุว่ามักจะพบการขโมยข้อมูลออกไปทันทีหลังจากที่บัญชีของผู้ใช้งานถูกเข้าถึงได้ โดยจากการตรวจสอบพบว่าผู้โจมตีส่วนใหญ่จะใช้ VPN หรือบริการ Proxy เพื่อทำให้ติดตามได้ยากขึ้น

Ref : Bleepingcomputer

Google Issues Urgent Chrome Update to Patch Actively Exploited Zero-Day Vulnerability

Google ออกอัปเดตแพตซ์เร่งด่วนบน Chrome เพื่อแก้ไขช่องโหว่ Zero-Day

    เมื่อวันที่ 27 ตุลาคม 2022 ที่ผ่านมา Google ได้ออกอัปเดตแพตซ์เร่งด่วนเพื่อแก้ไขช่องโหว่ Zero Day บนWeb Browser Chrome โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-3723 ซึ่งเป็นช่องโหว่ Type Confusion ที่เกิดขึ้นกับ V8 JavaScript Engine

Jan Vojtěšek, Milánek และ Przemek Gmerek นักวิจัยจาก Avast เป็นผู้รายงานช่องโหว่นี้เมื่อ

วันที่ 25 ตุลาคม 2022

    Google ระบุว่ารับทราบถึงรายงานที่พบการโจมตีจากช่องโหว่ CVE-2022-3723 ดังกล่าวแล้ว แต่ไม่ได้ให้ข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

โดยช่องโหว่ CVE-2022-3723 เป็นช่องโหว่ Type Confusion ช่องโหว่ที่สาม ที่ถูกใช้ในการโจมตีผ่านช่องโหว่บน V8 JavaScript Engine ในปีนี้ ต่อจาก CVE-2022-1096 และ CVE-2022-1364

โดยช่องโหว่ดังกล่าวถือเป็น Zero Day ลำดับที่ 7 ของ Google Chrome ตั้งแต่ต้นปี 2565

• CVE-2022-0609 - ช่องโหว่ Use-after-free ใน Animation
• CVE-2022-1096 - ช่องโหว่ Type Confusion ใน V8
• CVE-2022-1364 - ช่องโหว่ Type Confusion ใน V8
• CVE-2022-2294 - ช่องโหว่ Heap buffer overflow ใน WebRTC
• CVE-2022-2856 - ช่องโหว่การตรวจสอบข้อมูล untrusted input ที่ไม่เพียงพอใน Web Intents
• CVE-2022-3075 - ช่องโหว่ใน Mojo ไลบรารี ซึ่งเป็นส่วนหนึ่งของ Chrome ที่ใช้ในการรับส่งข้อความระหว่าง Browser และระบบปฏิบัติการที่ทำงานอยู่

แนะนำ

ให้ผู้ใช้งาน Update เป็น version 107.0.5304.87 สำหรับ macOS และ Linux

Update เป็น version 107.0.5304.87/.88 สำหรับ Windows เพื่อลดความเสี่ยงจากการโจมตีที่อาจเกิดขึ้น

ส่วนผู้ใช้งานที่ใช้ Chromium-based Browsers เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้อัปเดตเช่นกันหากมีแพตซ์อัปเดตออกมา

Ref :The Hacker News

Online Shoppers Beware: Scammers Most Likely to Impersonate DHL

DHL, Microsoft และ LinkedIn ขึ้นแท่นบริษัทที่ถูกปลอมแปลงเพื่อโจมตีในรูปแบบ Phising มากที่สุด

   บริษัท DHL, Microsoft และ LinkedIn ได้ถูกจัดอันดับให้เป็นบริษัทที่ถูกนำมาแอบอ้างเพื่อโจมตีในรูปแบบ Phising มากที่สุด โดยคำนวนจากการพยายามโจมตีในรูปแบบ Phishing ทั่วโลก ในไตรมาสที่ 3 (กรกฏาคม - กันยายน) ของปีนี้ ซึ่ง DHL มีค่าเฉลี่ยถูกนำมาใช้กว่า 22% รองลงมาเป็น Microsoft 16% และ LinkedIn 11% ตามลำดับ ซึ่งในปีที่แล้วการโจมตีแบบ Phishing เป็นอาชญากรรมทางอินเทอร์เน็ตที่มีการรายงานบ่อยที่สุด โดยพบว่ามีการรายงานต่อ FBI กว่า 323,972 รายงาน และทำให้เหยื่อเสียหายกว่า 44.2 ล้านดอลลาร์

ลักษณะการโจมตี

    ในการโจมตี Phishing นั้น ผู้ไม่หวังดีส่วนใหญ่จะมีการใช้ชื่อหัวข้ออีเมล เช่น Urgent requests, Change a password และ Delivery or Payment ซึ่งมีประสิทธิภาพอย่างมากในการหลอกให้เหยื่อเชื่อถือ และขโมยข้อมูลของเหยื่อ ในการโจมตี ผู้ไม่หวังดีจะอ้างว่าเป็น DHL และจะส่งอีเมลจาก “info@lincssourcing[.]com” แต่ตั้งชื่อผู้ส่งให้เป็น DHL Express โดยตั้งชื่ออีเมลว่า “Undelivered DHL (Parcel/Shipment)”

    และมีการพยายามเขียนข้อความหลอกล่อให้เยื่อคลิกลิงค์ที่เป็นอันตรายโดยอ้างว่าให้ไปอัปเดตที่อยู่จัดส่งพัสดุ เพื่อรับพัสดุ ซึ่ง URL นั้นเป็นเว็บไซต์ปลอมของทางผู้ไม่หวังดีที่ต้องการให้เหยื่อกรอกข้อมูล ชื่อ และรหัสผ่าน

    ซึ่งหากผู้ไม่ประสงค์ดีสามารถโจมตีสำเร็จ ก็อาจจะถูกนำข้อมูลประจำตัวที่ถูกขโมยเหล่านี้ไปใช้เพื่อดึงข้อมูลบัญชีอื่น ๆ เช่น รายละเอียดการชำระเงิน หรือนำไปขายบน Darkweb เป็นต้น

แนวทางการป้องกัน

• ในการโจมตี Phishing ส่วนใหญ่จะเป็นการโจมตีโดยใช้ Email ดังนั้นองค์การส่วนใหญ่ควรมีการ Awareness Training ให้กับพนักงานภายในองค์กร
• พิจารณาการใช้งาน mail gateway เพื่อป้องกันการส่งไฟล์ หรือลิงค์ที่เป็นอันตรายได้ในระดับหนึ่ง
• พิจารณาใช้งาน Multi factor authentication เพื่อป้องกันหากมีข้อมูลบัญชีรั่วไหลออกไป

Ref: Internet Crime Report 2021

Exploited Windows zero-day lets JavaScript files bypass security warnings

ช่องโหว่ Zero-day บน Windows ทำให้ไฟล์ JavaScript bypass คำเตือนด้านความปลอดภัยได้

    ช่องโหว่ Zero-day ตัวใหม่บน Windows ช่วยให้ผู้ไม่ประสงค์ดีสามารถใช้ไฟล์ JavaScript ที่เป็นอันตราย เพื่อ bypass คำเตือนด้านความปลอดภัยของ Windows ที่เรียกว่า Mark-of-the-Web ได้ ซึ่งผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการโจมตีด้วย Ransomware ได้ ฟีเจอร์ที่เรียกว่า Mark-of-the-Web (MoTW) ของ Windows จะทำการระบุค่าสถานะของไฟล์ว่าถูกดาวน์โหลดมาจากอินเทอร์เน็ต ดังนั้นควรระมัดระวัง เนื่องจากอาจเป็นอันตรายได้ MoTW จะถูกเพิ่มลงในไฟล์ที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต หรือจากไฟล์แนบในอีเมล ที่เรียกว่า 'Zone.Identifier' ซึ่งสามารถดูได้โดยใช้คำสั่ง 'dir /R' และเปิดได้โดยตรงใน Notepad

The Mark-of-the-Web alternate data stream

    'Zone.Identifier' นี้จะระบุข้อมูล URL security zone (เลข 3 ตามภาพด้านบนคือมาจากอินเทอร์เน็ต), referrer และ URL ไปยังไฟล์เมื่อผู้ใช้พยายามเปิดไฟล์ที่มี Mark-of-the-Web Windows ระบบจะแสดงคำเตือนว่าไฟล์ควรได้รับความระมัดระวังโดย Microsoft Office ก็ใช้ MoTW เพื่อกำหนดว่าไฟล์ควรถูกเปิดใน Protected View ซึ่งจะทำให้ macros ที่อยู่ภายในไฟล์ถูกปิดการทำงาน MoTW บน Windows สามารถ bypass ได้ด้วยช่องโหว่ Zero-day

    ผู้เชี่ยวชาญด้านความปลอดภัยของ HP ได้รายงานเมื่อเร็ว ๆ นี้ว่า ผู้ไม่หวังดีกำลังโจมตีด้วย Magniber ransomware โดยการใช้ไฟล์ประเภท JavaScript โดยไฟล์ JavaScript ดังกล่าวไม่ใช่ไฟล์ในลักษณะที่ใช้กันทั่วไปในเว็บไซต์ แต่ไฟล์ .JS ที่ถูกใช้โดยผู้ไม่ประสงค์ดีเป็นไฟล์แนบ หรือไฟล์ดาวน์โหลดที่สามารถเรียกใช้นอกเว็บเบราว์เซอร์ได้ โดยไฟล์ JavaScript ที่ถูกใช้โดยกลุ่ม Magniber มี digitally signed ด้วย base64 encoded

 เมื่อ signed มีลักษณะแบบนี้ แม้ว่าไฟล์ .JS จะถูกดาวน์โหลดจากอินเทอร์เน็ต และได้รับ MoTW Microsoft จะไม่แสดงคำเตือนด้านความปลอดภัย และสคริปต์จะยังสามารถดำเนินการติดตั้ง Magniber ransomware ได้โดยอัตโนมัติ

  Dormann ได้ทดสอบการใช้ malformed signature นี้ในไฟล์ JavaScript และสามารถสร้างไฟล์ JavaScript ที่พิสูจน์ได้ว่าสามารถ bypass MoTW ของ Windows ได้

ไฟล์ JavaScript (.JS) ทั้งสองไฟล์นี้ถูกส่งให้กับ BleepingComputer และทั้งคู่ได้รับ Mark-of-the-Web เมื่อดาวน์โหลดจากเว็บไซต์

  ดังนั้นเมื่อใช้เทคนิคนี้ ผู้ไม่ประสงค์ดีจะสามารถ bypass คำเตือนความปลอดภัย ที่ปกติจะแสดงเมื่อเปิดไฟล์ JS ที่ดาวน์โหลดมาจากอินเทอร์เน็ต และเรียกใช้สคริปต์โดยอัตโนมัติ BleepingComputer สามารถทดสอบพฤติกรรมดังกล่าวกับ Windows 10 ได้สำเร็จ อย่างไรก็ตาม สำหรับ Windows 11 ช่องโหว่จะสามารถทำงานได้ก็ต่อเมื่อ เมื่อเรียกใช้ไฟล์ JS โดยตรงจาก archive เท่านั้น

    Dormann ระบุกับ BleepingComputer ว่าผู้โจมตีสามารถแก้ไขไฟล์ .EXE เพื่อ bypass MoTW ได้

โดยการใช้ hex editor ในการแก้ไขข้อมูลบางส่วนใน signature portion ของไฟล์ เมื่อ signature ถูกทำให้เสียหาย Windows จะไม่ตรวจสอบไฟล์โดยใช้ SmartScreen ราวกับว่าไม่มี MoTW และจะอนุญาตให้ไฟล์สามารถทำงานได้

Ref : BleepingComputer