28/02/2566

ผู้ไม่ประสงค์ดีใช้แอปพลิเคชัน ChatGPT ปลอมเพื่อหลอกติดตั้ง Malware


 ChatGPT เป็นเครื่องมือออนไลน์ที่ให้บริการผ่านทาง chat.openai.com โดยที่ยังไม่มี Mobile Application หรือ Desktop โดย ChatGPT ได้รับความสนใจอย่างล้นหลามตั้งแต่เปิดตัวในเดือนพฤศจิกายน 2565 และกลายเป็น Mobile Application ที่เติบโตอย่างรวดเร็วที่สุดในประวัติศาสตร์ยุคใหม่ โดยมีผู้ใช้มากกว่า 100 ล้านคนภายในเดือนมกราคม 2566
 โดยปัจจุบันพบว่าผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากความนิยมของแชทบอต ChatGPT ของ OpenAI ในการแพร่กระจาย Malware บน Windows และ Android หรือหลอกเหยื่อไปยังหน้าฟิชชิ่ง เนื่องจากความนิยมเป็นอย่างมาก และการเติบโตอย่างรวดเร็วทำให้ OpenAI ต้องเปิดตัวระดับการใช้งานที่ต้องมีการจ่ายค่าบริการ $20 ต่อเดือน (ChatGPT Plus) สำหรับบุคคลทั่วไปที่ต้องการใช้แชทบอทได้ตลอดเวลา โดยไม่มีข้อจำกัดด้านความพร้อมใช้งาน ทำให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากเงื่อนไขดังกล่าว อ้างว่าสามารถให้สิทธิ์เข้าถึง ChatGPT ระดับพรีเมียมโดยไม่เสียค่าใช้จ่ายใด ๆ โดยมีเป้าหมายเพื่อหลอกให้ผู้ใช้ให้ติดตั้งMalware หรือให้กรอกข้อมูล credentials ของบัญชีต่าง ๆ เว็บไซต์ดังกล่าวได้รับการโปรโมทโดยเพจ Facebook ที่ใช้โลโก้ ChatGPT อย่างเป็นทางการเพื่อหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่เป็นอันตราย


โดยรายงานจาก CyBle มีการค้นพบดังนี้
  • "chat-gpt-go[.]online" ใช้แพร่กระจายมัลแวร์ที่ขโมยข้อมูลบนคลิปบอร์ด และ Aurora stealer
  • "chat-gpt-pc[.]online" ใช้แพร่กระจายมัลแวร์ Lumma
  • "openai-pc-pro[.]online" ใช้แพร่กระจายมัลแวร์ในตระกูลที่ยังไม่เป็นที่รู้จัก
  • "pay[.]chatgptftw[.]com" ใช้ขโมยข้อมูลบัตรเครดิต ซึ่งคาดว่าจะหลอกให้ผู้เข้าใช้งานเว็บไซต์ชำระเงินเพื่อซื้อ ChatGPT Plus ปลอม โดย CyBle ยังพบแอปพลิเคชันที่เป็นอันตรายกว่า 50 รายการที่ใช้ไอคอนของ ChatGPT และชื่อที่คล้ายกัน โดยทั้งหมดเป็นแอปพลิเคชันปลอม และพยายามสร้าง activities ที่เป็นอันตรายบนอุปกรณ์ของผู้ใช้


 ตัวอย่างที่ปรากฏในรายงานคือ 'chatGPT1' ซึ่งเป็นแอปพลิเคชันหลอกเรียกเก็บเงินผ่าน SMS และ 'AI Photo' ซึ่งประกอบด้วยมัลแวร์ Spynote สามารถขโมยบันทึกการโทร รายชื่อผู้ติดต่อ SMS และไฟล์จากอุปกรณ์ได้

คำแนะนำ
  • ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันที่หลอกว่าเป็น ChatGPT เนื่องจากในปัจจุบัน ChatGPT ยังสามารถใช้งานได้ผ่านทางหน้าเว็ปไซต์เท่านั้น
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

27/02/2566

MyloBot Botnet แพร่กระจายอย่างรวดเร็วทั่วโลกมากกว่า 50,000 เครื่องต่อวัน


 BitSight บริษัทด้านความปลอดภัย ได้ค้นพบ Botnet ที่มีความน่าสนใจซึ่งมีการแพร่กระจายได้อย่างรวดเร็วในชื่อ MyloBot โดยเหยื่อส่วนใหญ่อยู่ในประเทศอินเดีย สหรัฐอเมริกา อินโดนีเซีย และอิหร่าน โดยพบว่ามีเครื่องที่ติด MyloBot เพิ่มเฉลี่ย 50,000 เครื่องต่อวัน ซึ่งพบว่าลดลงจากปี 2020 ที่มีติดเฉลี่ย 250,000 เครื่องต่อวัน

MyloBot Botnet
 MyloBot ถูกพบครั้งแรกในปี 2017 แต่ได้ถูกรายงานครั้งแรกโดย Deep Instinct ในปี 2018 โดยมันมีความสามารถในการหลบหลีกการตรวจจับ และทำหน้าที่เป็น downloader ในการดาวน์โหลดมัลแวร์ รวมไปถึงเพย์โหลดอันตรายอื่น ๆ เข้ามาติดตั้งในเครื่องอีกด้วย
 นอกจากนี้ยังพบว่า MyloBot มีขั้นตอนในการโจมตีที่ซับซ้อน เมื่อสามารถแพร่กระจายสู่เครื่องเป้าหมายได้แล้ว ตัวมันเองจะทำการหยุดการทำงานเป็นเวลา 14 วัน เพื่อหลบหลีกการตรวจจับจากระบบรักษาความปลอดภัย ก่อนที่จะพยายามติดต่อเซิร์ฟเวอร์ command-and-control (C2) โดยเปลี่ยนเครื่องที่ถูกโจมตีให้กลายเป็น ‘Proxy Server’ ในการรับคำสั่งควบคุม และสั่งการ จาก C2 server อีกที รวมไปถึงทำการดาวน์โหลด MyloBot payload ที่มีการเข้ารหัสเพื่อเลี่ยงการตรวจจับ


 โดยจากการตรวจสอบและวิเคราะห์เพิ่มเติม โดยการ reverse DNS lookup IP ที่ได้ทำการเรียกกลับไปยัง C2 server พบว่า MyloBot อาจมีความเกี่ยวข้องกับแคมเปญการโจมตีของกลุ่ม Hacker ขนาดใหญ่ ซึ่งพบว่า ในปี 2022 MyloBot ได้ทำการส่งจดหมายเรีกค่าไถ่จากเครื่องที่ถูกโจมตีไปในระบบของเหยื่อ โดยเรียกค่าไถ่เป็นมูลค่ากว่า 2,700 ดอลลาร์ ซึ่งต้องจ่ายเป็น Bitcoin

IOC
 จากการตรวจสอบและวิเคราะห์ ค้นพบว่า MyloBot Botnet มีการเชื่อมต่อไปยัง proxy service ที่มีชื่อว่า BHProxies
"clients.bhproxies[.]com"

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

24/02/2566

WhiskerSpy Backdoor แพร่กระจายผ่านตัวติดตั้ง trojan video codec


 นักวิจัยจาก Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์ พบ Backdoor ตัวใหม่ ในชื่อ WhiskerSpy ที่ถูกเผยแพร่โดยกลุ่ม Hacker ที่มีชื่อว่า Earth Kitsune ซึ่งมุ่งเป้าหมายการโจมตีไปยังกลุ่มผู้สนับสนุนประเทศเกาหลีเหนือ โดย Trend Micro ได้เริ่มติดตามการดำเนินกิจกรรมของกลุ่ม Hacker ดังกล่าวมาตั้งแต่ปี 2019

การโจมตีแบบ Watering hole attack
 นักวิจัยพบว่า Hacker จะเลือกเป้าหมายการโจมตีไปยังกลุ่มผู้เยี่ยมชมเว็บไซต์ที่มีเนื้อหาสนับสนุนประเทศเกาหลีเหนือ โดยพบว่า Hacker จะกำหนดเป้าหมายการโจมตีไปยัง ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address มาจาก ประเทศจีน, ประเทศญี่ปุ่น และประเทศบราซิล จากการตรวจสอบเพิ่มเติมพบว่า ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address จากประเทศบราซิล ถูกใช้เพื่อทดสอบการโจมตีแบบ watering hole โดยใช้การเชื่อมต่อแบบ VPN เท่านั้น ซึ่งเป้าหมายที่แท้จริงก็คือ ผู้เยี่ยมชมเว็บไซต์ที่มีที่ IP address จากประเทศจีน และประเทศญี่ปุ่น Hacker จะทำการโจมตีเว็บไซต์ดังกล่าว และฝังสคริปต์ที่เป็นอันตราย ที่จะขอให้เป้าหมายทำการติดตั้งซอฟต์แวร์ video codec (ที่มีการฝัง Backdoor เอาไว้) เพื่อให้สามารถที่จะเปิดสื่อวิดีโอได้ และทำเหยื่อไม่สงสัย


 ซึ่งเป้าหมายจะได้รับข้อความแสดงข้อผิดพลาดด้านล่าง ซึ่งเป็นการแจ้งให้ติดตั้งซอฟต์แวร์ video codec แต่ในความจริงแล้วซอฟต์แวร์ video codec ดังกล่าวคือ MSI executable เพื่อเรียกใช้คำสั่ง PowerShell ในการดาวน์โหลด WhiskerSpy นั้นเอง


 รวมไปถึงยังพบว่า Hacker ยังได้ใช้วิธีการฝังตัวเองในระบบ (Persistence) โดยการ ติดตั้งโปรแกรมอันตรายในส่วนขยายของ Google Chrome ที่มีชื่อว่า Google Chrome Helper ซึ่งจะทำหน้าที่ในการอนุญาตให้ดำเนินการเพย์โหลดอันตรายทุกครั้งที่เบราว์เซอร์เริ่มทำงาน นอกจากนี้ยังได้ใช้ประโยชน์จากช่องโหว่ของ OneDrive ในการแนบไฟล์อันตราย (fake “vcruntime140.dll”) ในไดเร็กทอรี OneDrive อีกด้วย


รายละเอียด WhiskerSpy
 WhiskerSpy เป็นเพย์โหลดหลักที่ใช้ในแคมเปญการโจมตีล่าสุดของกลุ่ม Earth Kitsune โดยเรียกใช้คำสั่งจาก command and control (C2) server ซึ่งจะทำการเชื่อมต่อเป็นระยะ ๆ เพื่ออัปเดตสถานะ โดยใช้ 16-byte AES key สำหรับการเข้ารหัส

มีความสามารถดังต่อไปนี้
  • ใช้ shellcode ในการตอบโต้ และสั่งการ
  • ดาวน์โหลดไฟล์
  • อัพโหลดไฟล์
  • ลบไฟล์
  • รวบรวมรายการ files
  • ดาวน์โหลดคำสั่งการ และส่งออกข้อมูล
  • แทรก shellcode ใน process ของระบบ
  • ถ่ายภาพหน้าจอ

 นอกจากนี้ยังพบว่า WhiskerSpy เวอร์ชันก่อนหน้านี้ ได้ ใช้ FTP protocol แทน HTTP สำหรับการสื่อสารกับ C2 server แต่พบว่าเวอร์ชันดังกล่าวนั้นมีข้อบกพร่อง จึงได้มีการพัฒนาจนกลายเป็นเวอร์ชันปัจจุบัน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

23/02/2566

Microsoft: แจ้งเตือน Exchange Server 2013 กำลังจะ end-of-support ภายในเดือนเมษายน 2023


   Microsoft แจ้งว่า Exchange Server 2013 จะถึงวันสิ้นสุดการ support (extended end-of-support : EOS) หลังจากนี้อีก 60 วัน (11 เมษายน 2023) โดยการประกาศนี้ได้เกิดขึ้นภายหลังจากที่บริษัทมีการแจ้งเตือนไปยังผู้ใช้งานก่อนหน้านี้สองครั้งในช่วงเดือนมกราคม และมิถุนายนที่ผ่านมา ซึ่งมีการแนะนำให้ทำการอัปเกรด หรือย้าย Server Exchange ของตนเอง
   Exchange Server 2013 เปิดตัวครั้งแรกในเดือนมกราคม 2013 และถึงกำหนดวันที่สิ้นสุดการแนะนำเมื่อสี่ปีที่แล้วในเดือนเมษายน 2018
โดยหลังจากนี้เมื่อถึงวันที่ extended end-of-support (EOS) แล้ว Microsoft จะหยุดให้การสนับสนุนด้าน technical support และการแก้ไขข้อผิดพลาด หรือช่องโหว่ต่าง ๆ ที่ถูกพบใหม่ ซึ่งอาจส่งผลกระทบต่อการใช้งานของเซิร์ฟเวอร์
 ถึงแม้ Exchange Server 2013 จะยังคงสามารถใช้งานต่อไปได้ แต่จากความเสี่ยงข้างต้น Microsoft แนะนำให้ผู้ดูแลระบบอัปเกรด Server จาก Exchange 2013 ไปยัง Exchange Online หรือ Exchange 2019 เพื่อความปลอดภัยจากช่องโหว่ใหม่ ๆ โดยเร็วที่สุด

Exchange Online หรือ Server 2019

 เซิร์ฟเวอร์ Exchange 2013 สามารถย้ายไปยัง Exchange Online ซึ่งมีให้บริการในรูปแบบ Office 365 subscription หรือเป็นบริการแบบ stand-alone หลังจากย้าย Mailboxes, Public folders และข้อมูลอื่น ๆ เรียบร้อยแล้ว ผู้ดูแลระบบสามารถทำการลบ Exchange servers ภายในองค์กร และ Active Directory ได้เลย
  โดย Microsoft ระบุว่า หากองค์กรใดเลือกที่จะย้าย Mailboxes ไปยัง Microsoft 365 แต่วางแผนที่จะใช้ Azure AD Connect เพื่อจัดการบัญชีผู้ใช้งานใน Active Directory ต่อไป จำเป็นต้องมี Microsoft Exchange ไว้ในองค์กรอย่างน้อย 1 server เนื่องจากหากลบ Exchange servers ทั้งหมด จะไม่สามารถเปลี่ยนแปลง recipient ใน Exchange Online ได้ เพราะการจัดการนี้จะอยู่ที่ Active Directory
  Microsoft ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยของ Exchange Server ในเดือนกุมภาพันธ์ 2023 โดยระบุว่า "แม้ว่าจะยังไม่พบการโจมตีที่เกิดขึ้นจากช่องโหว่ แต่แนะนำให้ทำการอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี"

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

21/02/2566

ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจาก CISA เปิดตัวเครื่องมือถอดรหัส ESXiArgs


  หลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware ก็มีการตรวจพบ ESXiArgs Ransomware ตัวใหม่อีก ชนิดหนึ่งโดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้นรวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี

    Ransomwere แพลตฟอร์มรวบรวมข้อมูลสถิติได้เปิดเผยว่าจากการสำรวจในวันที่ 9 กุมภาพันธ์ 2566 พบว่ามี VMware ESXi มากถึง 1,252 เครื่องที่ติด ESXiArgs Ransomware เวอร์ชันใหม่ โดย 1,168 เครื่องเป็นเครื่องที่เคยโดนโจมตีมาก่อน โดยตั้งแต่เริ่มมีการระบาดของRansomware ดังกล่าวในต้นเดือนกุมภาพันธ์ พบ VMware ESXi กว่า 3,800 เครื่องถูกโจมตี
    นอกจากนี้ Rapid7 บริษัทด้านความปลอดภัยทางไซเบอร์ ยังได้พบ VMware ESXi กว่า 18,581 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ตที่มีช่องโหว่ CVE-2021-21974 และยังพบว่ากลุ่ม RansomExx2 ได้กำหนดเป้าหมายการโจมตีไปยังเซิร์ฟเวอร์ VMware ESXi ที่มีความเสี่ยงเหล่านี้อีกด้วยโดยเครื่องมือในการเข้ารหัสข้อมูลของ ESXiArgs Ransomware เช่น Cheerscrypt และ PrideLocker มีพื้นฐานมาจาก Babuk locker ที่ได้มีการเผยแพร่ซอร์สโค้ดในเดือนกันยายน 2021 แต่ก็มีสิ่งที่ทำให้ ESXiArgs แตกต่างจาก Ransomware กลุ่มอื่น

    นั่นคือการที่ ESXiArgs ไม่ได้มีการสร้างเว็บไซต์ที่เผยแพร่ข้อมูลการโจมตี และข้อมูลของเหยื่อ ซึ่งบ่งชี้ได้ว่า ESXiArgs Ransomware นั้นไม่ได้เป็นลักษณะ ransomware-as-a-service (RaaS) โดย ESXiArgs จะทำการเรียกค่าไถ่ที่มากกว่าสองบิตคอยน์ (47,000 ดอลลาร์สหรัฐ) และเหยื่อจะมีเวลา 3 วันในการจ่ายเงินค่าไถ่
    VMware ระบุว่า แม้ว่าในตอนแรกจะสงสัยว่าการบุกรุกนั้นเกี่ยวข้องกับช่องโหว่ OpenSLP VMware ESXi (CVE-2021-21974) ซึ่งได้มีการออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้ว แต่จนถึงปัจจุบันยังไม่พบหลักฐานบ่งชี้ว่ามีการใช้ช่องโหว่ดังกล่าวเพื่อแพร่กระจาย Ransomware ทำให้มีความเป็นไปได้ที่กลุ่ม Hackers อาจใช้ช่องโหว่อื่น ๆ ที่ได้รับการเปิดเผยออกมาหลายรายการใน VMware ESXi เพื่อโจมตีเป้าหมาย รวมไปถึงปัจจุบันยังไม่สามารถระบุได้ว่าการโจมตีของ ESXiArgs Ransomware มาจาก Hackers กลุ่มไหนกันแน่

    ดังนั้นสิ่งที่ผู้ดูแลระบบควรทำคือเร่งดำเนินการอัปเดตเพื่อป้องกันช่องโหว่โดยเร็วที่สุด เพื่อป้องกันการตกเป็นเป้าหมายในการโจมตี

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

20/02/2566

Royal Ransomware เวอร์ชัน Linux มีเป้าหมายโจมตีไปที่ VMware ESXi

 


    Royal Ransomware เป็น Ransomware ที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้ โดยมีเป้าหมายโจมตีไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจาก Ransomware Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่นๆ เช่น BlackTasta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX เป็นต้น โดยมีการดำเนินการโดยใช้ Command line

    Command ที่สามารถทำให้ Ransomware ตัวนี้สามารถเข้ารหัส

        Stopvm > หยุด VM ที่กำลังใช้งานอยู่ทั้งหมด เพื่อเข้ารหัส

        Vmonly - เข้ารหัส

        Fork – ยังไม่มีข้อมูล

        Logs – ยังไม่มีข้อมูล

        Id : ต้องมีการใช้จำนวนตัวอักษรที่มีความยาว 32 ตัว


Royal Ransomware

    - Royal Ransomware เป็นกลุ่มผู้โจมตีที่มีความผู้เชี่ยวชาญ ซึ่งก่อนหน้านี้เคยทำงานร่วมกับปฏิบัติการของ Conti ransomware โดย Royal Ransomware ได้มีปฏิบัติการ การโจมตีอย่างต่อเนื่องมาหลายเดือนก่อนที่จะถูกพบเป็นครั้งแรกเมื่อเดือนมกราคม 2565

    - ที่ผ่านมากลุ่ม Royal ได้มีการนำตัวเข้ารหัสของกลุ่ม Ransomware กลุ่มอื่น ๆ มาใช้ เช่น BlackCat Ransomware แต่ปัจจุบันได้เปลี่ยนมาใช้วิธีการดำเนินการของตัวเอง ซึ่งเป็นการเรียกค่าไถ่ที่คล้ายกับที่ถูกสร้างโดยกลุ่ม Conti Ransomware

    - กลุ่มนี้ได้มีการเปลี่ยนชื่อเป็น "Royal" และเริ่มใช้ตัวเข้ารหัสใหม่ในการโจมตี โดยหลังที่จากที่เข้าถึงระบบเครือข่ายขององค์กรที่ตกเป็นเป้าหมายแล้ว จะมีการเรียกค่าไถ่ ตั้งแต่ 250,000 ดอลลาร์ไปจนถึง 10 ล้านดอลลาร์

    ในเดือนธันวาคม กระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) แจ้งเตือนถึงการโจมตีจาก Royal ransomware ที่กำหนดเป้าหมายเป็นองค์กรในภาคการดูแลสุขภาพ และสาธารณสุข (HPH)



กลุ่มแรนซัมแวร์ส่วนใหญ่กำลังมุ่งเป้าหมายไปที่ Linux

    การเปลี่ยนแปลงของกลุ่มแรนซัมแวร์ที่มีการกำหนดเป้าหมายเป็น ESXi นั้น เป็นเพราะว่าองค์กรต่าง ๆ หันมาใช้ virtual machines เนื่องจากทำให้สามารถปรับปรุง และจัดการทรัพยากรได้มีประสิทธิภาพมากขึ้น

    โดยหลังจากการติดตั้งเพย์โหลดบนโฮสต์ของ ESXi ได้แล้ว ตัวเข้ารหัสจะใช้เพียงคำสั่งเดียวในการเข้ารหัสเซิร์ฟเวอร์พร้อมกันหลาย ๆ เครื่อง โดยจากรายงานของ Lansweeper พบว่าเซิร์ฟเวอร์ VMware ESXi หลายหมื่นตัวที่สามารถเข้าถึงได้บนอินเทอร์เน็ตเป็นเวอร์ชันที่ไม่มีแพตซ์อัปเดตแล้วในปัจจุบัน (end-of-life)


Ref : https://www.bleepingcomputer.com/



ที่ ไม่มีความคิดเห็น:

16/02/2566

พบการส่ง QBot Malware ผ่าน Microsoft OneNote ในชื่อ QakNote

 



    พบการโจมตีด้วย QBot Malware ตัวใหม่ที่เรียกว่า QakNote โดยใช้ไฟล์แนบ ‘.one’ ของ Microsoft OneNote ที่เป็นอันตรายเพื่อทำให้ระบบติดไวรัสด้วย Banking Trojan

    Qbot หรือที่รู้จักกันในชื่อ QakBot เป็น Banking Trojan ที่พัฒนาเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ทำให้ผู้ไม่ประสงค์ดีสามารถโหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกบุกรุก และทำการขโมยข้อมูล

    ผู้ไม่ประสงค์ดีสามารถฝังไฟล์ได้เกือบทุกชนิดเมื่อสร้างเอกสาร OneNote ที่เป็นอันตราย รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งไฟล์จะทำงานเมื่อผู้ใช้ดับเบิลคลิกที่ไฟล์แนบที่ฝังอยู่ใน OneNote โดยเมื่อเปิดใช้งานแล้วไฟล์แนบที่ฝังไว้สามารถรันคำสั่งบนเครื่อง เพื่อดาวน์โหลดและติดตั้งมัลแวร์




    Sophos นักวิจัยของ Andrew Brandt กล่าวว่าผู้ไม่มีประสงค์ดีที่ ได้เริ่มใช้วิธีนี้ในการโจมตีตั้งแต่วันที่ 31 มกราคม 2023 โดยใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML แบบฝัง (ไฟล์ HTA) ที่เรียกข้อมูลเพย์โหลดของมัลแวร์ Qbot สคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.exe เพื่อดาวน์โหลดไฟล์ DLL (Qbot Malware) ไปยังโฟลเดอร์ C:\ProgramData และดำเนินการโดยใช้ Rundll32.exe




    QBot Payload จะแทรกตัวเองเข้าไปใน Windows Assistive Technology (“AtBroker.exe”) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือ AV ที่ทำงานอยู่บนอุปกรณ์

    Sophos รายงานว่าผู้ดำเนินการของ QBot ใช้วิธีการเผยแพร่สองวิธีสำหรับไฟล์ HTA เหล่านี้คือ วิธีหนึ่งส่งอีเมลพร้อมลิงก์แบบฝังไปยังไฟล์ .one และอีกวิธีหนึ่งใช้วิธี “thread injections” เพื่อทำให้การโจมตีเหล่านี้หลอกลวงเหยื่อได้มากยิ่งขึ้น ผู้ไม่ประสงค์ดีจึงใช้ปุ่มปลอมในไฟล์ Notebook ที่หลอกล่อเหยื่อว่าจะดาวน์โหลดเอกสารจากระบบคลาวด์ แต่หากคลิกปุ่มดังกล่าวจะเรียกใช้ไฟล์แนบ HTA ที่ฝังอยู่แทน


คำแนะนำ

    - ไม่ควรเปิดไฟล์แนบอีเมลที่ไม่รู้แหล่งที่มา

    - ควรทำการ Full Scan เครื่องคอมพิวเตอร์ด้วยโปรแกรม Antivirus

    - ควรตระหนักถึงภัยคุกคามทางไซเบอร์


Ref: https://www.bleepingcomputer.com/

ที่ ไม่มีความคิดเห็น:

15/02/2566

Apple ได้ออก Patch แก้ปัญหา Zero day ของ IOS, iPadOS, macOS และ Safari

 


    Apple ได้ปล่อย Patch สำหรับ iOS, iPadOS, macOS และ Safari เพื่อแก้ไขช่องโหว่ Zero day ที่ถูกใช้โจมตีอย่างแพร่หลาย เป็นช่องโหว่ CVE-2023-23529 มีความสามารถในการช่วยให้ผู้ไม่ประสงค์ดี สามารถโจมตีจากระยะไกล และเรียกใช้ Code ที่เป็นอันตรายบนระบบของเป้าหมายได้ ช่องโหว่นี้เกิดจากข้อผิดพลาดของใน WebKit browser ทำให้เว็ปไซต์ที่เป็นภัย สามารถเปิดใช้งานได้ซึ่งทางผู้ผลิต iPhone กล่าวว่า ช่องโหว่นี้ได้รับการแก้ไขเรียบร้อยแล้ว

    นอกจากนี้แก้ไขในส่วนของช่องโหว่ CVE-2023-23514 ที่ทำให้แอปพลิเคชันในเครื่องสามารถเพิ่มระดับสิทธิ์เป็นสิทธ์สูงสุดในระบบได้ และช่องโหว่ CVE-2023-23522 ของ macOS ที่อนุญาติให้แอปพลิเคชันที่ติด Malware สามารถดูข้อมูลส่วนตัวของผู้ใช้ที่ไม่มีการป้องกันได้ ด้วยการปรับปรุงการจัดการของไฟล์ชั่วคราว


คำแนะนำ

    - สำหรับ iPhone 8 และรุ่นที่ใหม่กว่า ควรทำการอัปเดตแพทช์เป็น iOS 16.3.1

    - สำหรับอุปกรณ์ iPad Pro ทุกรุ่น ,iPad Air3 และรุ่นที่ใหม่กว่า, iPad 5 และรุ่นที่ใหม่กว่า และ iPad mini5 และรุ่นที่ใหม่กว่าควรอัป Patch เป็น iPadOS 16.3.1

    - สำหรับอุปกรณ์ Mac ที่ใช้ macOS Ventura, macOS Big Sur และ macOS Monterey ควรอัป Patch เป็น macOS Ventura 13.2.1

    - สำหรับ Safari ควรทำการอัป Patch เป็น 16.3.1

    ซึ่งในปี 2022 ได้มีการแก้ไขปัญหา Zero days ถึง 10 ครั้ง โดย 9 ครั้งเป็นการเปิดเผยจากผู้ไม่ประสงค์ดีเอง โดย 4 ครั้งเป็นการพบช่องโหว่จาก WebKit


ที่ ไม่มีความคิดเห็น:

09/02/2566

พบช่องโหว่ร้ายแรงใน Cisci IOx และ F5BIG-IP




    F5 ได้แจ้งเตือนช่องโหว่ร้ายแรง ที่ส่งผลกับอุปกรณ์ BIG-IP ทำให้สามารถ Denial-of-service (DoS) หรือการเรียกใช้ Code ต่าง ๆ ได้เวอร์ชันของ F5 BIG-IP ที่ได้รับผลกระทบมีดังนี้

        Version 13.1.5

        Version 14.1.4.6 – 14.1.5

        Version 15.1.5.1 – 15.1.8

        Version 16.1.2.2 – 15.1.3 และ 17.0.0

    โดยช่องโหว่ดังกล่าวหมายเลข CVE-2023-22374 (ได้คะแนนจาก CVSS: 7.5/8.5) โดยทางผู้เชี่ยวชาญได้ออกมารายงานช่องโหว่นี้เมื่อ วันที่ 6 ธันวาคม 2022 โดยเป็นช่องโหว่ทีเกิดจาก iControl Simple Object Access Protocol (SOAP) สามารถทำงานในสิทธิ Root ได้ เมื่อผู้ไม่ประสงค์ดีเข้ามาก็จะได้รับสิทธิ Root ไปด้วย และสามารถเรียกใช้คำสั่งได้จากระยะไกลได้ ในการแก้ไขปัญหาเบื้อต้น User ที่สามารถเข้าใช้งาน iControl SOAP API ควรจะต้องเป็น User ที่น่าเชื่อถือเท่านั้น


Cisco ออก Patch เกี่ยวกับ Command Injection Bug in Cisco IOx

    Cisco ได้ออก Patch เพื่อแก้ไขช่องโหว่บน Application environment บน Cisco IOx ที่ส่งผลให้สามารถหลบการตรวจสอบด้านความปลอดภัยได้ และเรียกใช้ Code จากระยะไกลได้ รวมไปถึงการเรียกใช้งาน Payload เพื่อมาติดตั้ง Malware และ Backdoor

    ยังมีการใช้ CVE -2023-20076 ที่เป็นช่องโหว่บน Application hosting environment ที่ทำให้สามารถเลี่ยงการตรวจของระบบความปลอดภัยได้ และเรียกใช้คำสั่งที่เป็นอันตรายได้ด้วยสิทธิ Root บน Host operating system

    บริษัทด้านความปลอดภัยทางไซเบอร์ Trellix ได้วิเคราห์ช่องโหว่ CVE-2023-20076 ที่สามารถเลี่ยงการตรวจสอบจากระบบความปลอดภัยได้ ด้วยไฟล์ TAR archive extraction ซึ่งจะอนุญาตให้ผู้โจมตีสามารถเข้าไปเขียนระบบพื้นฐานของ OS ได้ด้วยสิทธิ Root และเรียกใช้คำสั่งจากระยะไกลเพื่อเรียกใช้ Payload ที่ใช้ในการติดตั้ง Backdoor รวมไปถึงสามารถฝังตัวอยู่ในระบบ แม้จะทำการรีบูตระบบ หรือการอัพเกรดเฟิร์มแวร์ก็ตาม หากต้องการลบออกต้องรีเซ็ตเป็น ค่าเริ่มต้นจากโรงงานเท่านั้น

    แม้ว่าการโจมตี จำเป็นต้องได้รับการยืนยันตัวตน และมีสิทธิ์ระบบผู้ใช้ระบบ แต่ผู้ไม่ประสงค์ดีก็มีวิธีการที่หลากหลายในการไปให้ถึงระบบ Root เช่น Phishing หรือ Social engineering เพื่อขดมยข้อมูล

    ปัจจุบันทาง Cisco ได้ออก Patch ในการปิดช่องโหว่แล้ว ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบต่ออุปกรณ์ที่ใช้ Cisco IOS EX และเปิดใช้งาน Cisco IOx

        Cisco 800 Series Industrial ISRs

        Cisco Catalyst Access Points

        Cisco CGR1000 Compute Modules

        Cisco IC3000 Industrial Compute Gateways 

        Cisco IR510 WPAN Industrial Routers

การป้องการตอนนี้คือการเร่ง Patch ให้เร็วที่สุดเพื่อปิดช่องโหว่


Ref : thehackernews.com

ที่ ไม่มีความคิดเห็น:

06/02/2566

ESXiArgs ransomware โจมตี VMware ESXi servers ทั่วโลก

 



    ทาง French Computer Emergency Response Team (CERT-FR) ได้ออกมาเตือนภัยว่า มีผู้ไม่ประสงค์ดีมีเป้าหมายการโจมตีไปที่ VMware ESXi server ที่ไม่ได้รับการ Patch มาแล้วอย่างน้อย 2 ปี ซึ่งช่องโหว่สามารถทำให้ Remote เพื่อเรียกใช้ Code ผ่านช่องโหว่ได้ เพื่อติดตั้ง Ransomware ตัวใหม่ในชื่อ ESXiArgs โดยมีรหัสคือ CVE-2021-21974 เป็นช่องโหว่ความปลอดภัย โดยปัญหาคือ Heap overflow ใน OpenSLP service สามารถเข้าโดยไม่ต้องผ่านการยืนยันตัวตน แต่ช่องโหว่ดังกล่าวได้มีการออก Patch มาแก้ตั้งแต่ 23 กุมภาพันธ์ 2021

    ระบบปัจจุบันมักจะมีเป้าหมายไปที่ ESXi hypervisors ในเวอร์ชัน 6.x จนถึง 6.7 เพื่อที่จะป้องกันการโจมตี ผู้ดูแลต้องปิดช่องโหว่ของ Service Location Protocal (SLP) เป็น Service บน ESXi hypervisors ที่ยังไม่ได้รับการ Patch

    โดยทาง CERT-FR แนะนำเป็นอย่างมากในการ Patch ให้เร็วที่สุด แต่จะมีระบบบ้างอย่างที่ยังไม่ได้รับการ Patch อาจะต้องหาด้วยตนเอง นั่นคือ CVE-2021-21974 อาจจะอยู่บนระบบดังนี้

- ESXi version 7.x prior to ESXi70U1c-17325551

- ESXi version 6.7.x prior to ESXi670-202102401-SG

- ESXi version 6.5.x prior to ESXi650-202102101-SG



    เมื่อถูก Ransomware โจมตีจะถูก Encryption file เช่น .vmxf, .vmx, .vmdk, vmsd และ .nvram และจะมีการสร้างไฟล์ .args ต่อท้ายเอกสารที่ถูก Encryption คาดว่ามีไว้เพื่อการ Decryption

    ในขณะที่ผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังการโจมตีได้ออกมาบอกว่า มีการขโมยข้อมูลจากเหยื่อ แต่จากการตรวจสอบของผู้ดูแล ได้ระบุว่าข้อมูลยังไม่ถูกนำออกไป และยังพบจดหมายเรียกค่าไถ่ ในชื่อ “ransom.hrml” และ “How to Restore Your File.html” 



    โดยทางแก้ไขอย่างง่าย จากผู้เชี่ยวชาญ Enes Sonmez ได้เขียนคู่มือ ที่จะช่วยให้ผู้ดูแล สามารถ Rebuild VM และ Recover data ได้แบบฟรีๆ

    ผู้เชี่ยวชาญได้วิเคราะห์ Script และข้อมูลที่ถูก Encryption ทำให้สามารถเข้าใจการโจมตีได้ดียิ่งขึ้นเมื่อ Server ถูกโจมตี จะมีการพยายามตามหาไฟล์ใน /tmp folder ดังนี้

- encrypt – The encryptor ELF executable

- encrypt.sh - A shell script that acts as the logic for the attack, performing various tasks before executing the encryptor, as described below

- public.pem - A public RSA key used to encrypt the key that encrypts a file

- motd - The ransom note in text form that will be copied to /etc/motd so it is shown on login. The server's original file will be copied to /etc/motd1

- index.html - The ransom note in HTML form that will replace VMware ESXi's home page. The server's original file will be copied to index1.html in the same folder

 

    จากการวิเครห์ของผู้เชี่ยวชาญ ได้บ่งชี้ว่า ESXiArgs จะใช้พื้นฐานจาก Source code ที่รั่วไหลออกมา ของ Babuk ransomware ที่ก่อนหน้านี้ใช้ในการโจมตี ESXi จาก ransomware ตัวอื่น เช่น CheersCrypt และ PrideLocker

    โดยการกระบวนการ encryption จะใช้ไฟล์ Shell script กับ Command line ที่ต่างออกไปจากปกติ โดยไฟล์ที่ถูก encrypt จะไม่มีการกำหนดขนาดของ Block และขนาดของไฟล์



    เมื่อมีการใช้งาน Script จะมีการเรียกใช้ Command เพื่อแก้ไขไฟล์ Configuration ของ VM ESXi (.vmx) โดยจะมีการแก้ในส่วนของ '.vmdk' และ '.vswp' เป็น '1.vmdk' and '1.vswp'


    ซึ่งจะทำให้เป็นการหยุดการใช้งานคำส่ง ‘vmx’ เป็นลักษณะเดียวกับบทความ VMware support article โดย Script จะใช้ Command 'esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F'  ' '{print $2}'' เพื่อดึงรายชื่อของ ESXi volumes

Volumes ที่จะถูกค้นหามีดังนี้

  • .vmdk
  • .vmx
  • .vmxf
  • .vmsd
  • .vmsn
  • .vswp
  • .vmss
  • .nvram
  • .vmem

    เมื่อพบไฟล์ดังกล่าว จะมีการสร้างไฟล์ [file_name].args ใน Folder เดียวกัน เช่น Server.vmx จะมีการสร้างเป็นไฟล์ Server.vmx.args โดยจะมีการ encrypt ไฟล์ตามรูปด้านล่าง



    หลังจากที่มีการ encryption จะมีการแทนที่ไฟล์ ESXi index.html และ motd file ของ Server ด้วยโน๊ตเรียกค่าไถ่ และสุดท้ายจะมีการลบอะไรก็ตามที่ดูเหมือนตัวติดตั้ง Backdoor จาก /store/packages/vmtools.py [VirusTotal] และลบคำสั่งอีกหลายบรรทัด



    แนะนำผู้ดูแลทุกคนจึงควรเช็คว่ามีไฟล์ vmtools.py อยู่หรือไม่ หากพบควรจะลบให้เร็วที่สุด


ref : www.bleepingcomputer.com


ที่ ไม่มีความคิดเห็น:

02/02/2566

NAS QNAP กว่า 29,000 เครื่อง ไม่ได้ทำการ Patch แก้ข้อบกพร่อง

 


    มีอุปกรณ์ QNAP เป็น Network attached storage (NAS) กว่า 29,000 เครื่อง ที่ยังไม่ได้ patch เพื่อจัดการกับข้อบกพร่องร้ายแรง โดยข้อบกพร่องนี้ ผู้ไม่ประสงค์ดีสามารถโจมตีผ่านช่องโหว่ SQL (CVE-2022-27596) เป็นช่องโหว่ที่ใช้ Code ที่เป็นอันตรายในการโจมตีเป้าหมายผ่าน Internet และอุปกรณ์ QNAP ที่ไม่ได้รับการ Patch

    QNAP ยังถูกให้คะแนนข้อพกพร่องนี้โดย CVSS อยู่ที่ 9.8/10 และการโจมตีเป็นแบบ low-complexity โดยไม่ต้องผ่านระบบยืนยันตัวตน ทางบริษัทแนะนำ ให้ผู้ใช้ที่ได้รับผลกระทบ ที่กำลังใช้ QTS 5.0.1 และ QuTS hero h5.0.1 ให้อัพเดทเป็น QTS 5.0.1.2234 หรือใหม่กว่านั้น และ QuTS hero h5.0.1.2248 หรือใหม่กว่านั้น เพื่อป้องกันการโจมตี มีคำแนะนำว่าแม้ QNAP ของผู้ใช้ที่ไม่อยู่ในความเสี่ยง ก็แนะนำให้ทำการอัพเดทให้เป็นเวอร์ชันล่าสุด ให้เร็วที่สุดเนื่องจาก QNAP เป็นเป้าหมายของผู้ไม่หวังดีที่จะโจมตีด้วย Ransomware จำนวนมาก

    หนึ่งวันหลังจาก QNAP ปล่อย Security patch เพื่อแก้ข้อบกพร่องที่ร้ายแรง Censys ผู้เชี่ยวชาญด้านความปลอดภัย ได้รายงานออกมาว่ามีเพียง QNAP NAS 550 เครื่อง จาก 60,000 เครื่องเท่านั้น ที่ได้รับการ Patch ได้มีการสังเกตุว่ามี 67,415 host ที่มีการใช้ QNAP-based system แต่โชคไม่มีนักที่สามารถระบุเวอร์ชันได้เพียง 30520 host เท่านั้น และถ้าตามการคาดการของผู้เชี่ยวชาญกว่า 98% จะมีช่องโหว่ที่สามารถถูกโจมตีได้

    การพบ 30,520 host ที่ระบุเลขเลขเวอร์ชั่นได้ มีเพียง 557 host เท่านั้นที่ใช้ QuTS Hero เวอร์ชันมากกว่าหรือเท่ากับ ‘h5.0.1.2248’ หรือ QTS เวอร์ชันมากกว่าหรือเท่ากับ ‘5.0.1.2234’ หมายความว่าอีก 29968 host จะมีช่องโหว่ที่สามารถถูกโจมตีได้

    โชคยังดีที่ตั้งแต่ข้อบกพร่องนี้ ยังไม่เป็นที่แพร่หลาย และคาดว่า Code ที่เป็นอันตรายยังไม่ปรากฎบนโลกออนไลน์ จึงยังมีเวลาในการ Patch แก้ไขข้อบกพร่องของอุปกรณ์ NAS ซึ่งเป็นเป้าหมายของ Ransomware หลายตัว รวมไปถึง Muhstik, eChoraix/QNAPCrypt, QSnatch, Agelocker, Qlocker, DeadbBolt, Checkmate ซึ่งควรจะรีบ Patch อุปกรณ์ NAS ก่อนที่ผู้ไม่ประสงค์ดีจะเข้ามา และสามารถ encrypt ไฟล์ต่างๆได้




    เพื่อเป็นมาตรการป้องกันจากการโจมตีแนะนำให้ปฏิบัติดังนี้

- ปิด Port Forwarding ของ Router โดยให้ไปที่ Management interface ของ Router และเช็ค Virtual Server, NAS หรือ Port Forwarding setting และทำการปิด Port forwarding ของ NAS management service port (port 8080 and 433)

- ปิด UPnP function ของ QNAP NAS โดยไปที่ myQNAPcloud บน QTS menu และเลือก “Auto Router Configuration” และเลือกปิด UPuP Port forwarding

    แนะนำว่าควรจะปิดการเชื่อมต่อ SSH และ Telnet และเปลี่ยนเป็นระบบ Port number,เปลี่ยน Password, และเปิดใช้ IP และ Account access protection โดยทำตาม Link : step by step procedures


ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)