BlackCat Ransomware ใช้ Windows Kernel Driver ที่เป็นอันตรายในการโจมตี

    BlackCat ใช้ Windows Kernel Driver ที่เป็นอันตรายเพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยระหว่างการโจมตี Driver ดังกล่าว เป็นของ Malware POORTRY ซึ่งถูกตรวจพบโดย Microsoft, Mandiant, Sophos และ SentinelOne

    Malware POORTRY เป็น Driver ที่ใช้ในการขโมยคีย์จากบัญชี Windows Hardware Developer Program ของ Microsoft โดยปกติซอฟต์แวร์รักษาความปลอดภัยจะได้รับการป้องกันจากการถูกหยุดกระบวนการหรือดัดแปลง แต่ Windows Kernel Driver ที่ทำงานด้วยสิทธิ์สูงสุดในระบบปฏิบัติการสามารถหยุดกระบวนการเกือบทุกชนิดได้

    Driver ที่ใช้ในการโจมตี คือ ktgn,sys ถูกปล่อยลงใน filesystem ของเหยื่อในโฟลเดอร์ %Temp% จากนั้นจะโหลดโปรแกรมชื่อ tjr.exe ทำให้ดำเนินการด้วยสิทธิ์ Windows Kernel ได้จากการวิเคราะห์ มีการใช้รหัส Device Input and Output Control (IOCTL) เพื่อปิดการทำงานของกระบวนการความปลอดภัยที่ติดตั้งอยู่บนระบบ

    ผู้ดูแลระบบควรตรวจสอบให้แน่ชัดว่าได้เปิดใช้งาน Driver Signature Enforcement ซึ่งจะบล็อกการติดตั้ง Driver ที่ไม่ที่ถูกต้อง

คำแนะนำ

• หลีกเลี่ยง Website, link หรือ File ที่ไม่น่าไว้วางใจ
• ติดตั้ง Antivirus และ Full Scan อยู่เสมอ
• อัปเกรดระบบปฏิบัติการ และ ซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด
• ทำการ Backup file สำคัญไว้หลายๆที่และควรสำรองข้อมูลแบบออฟไลน์ เช่น copy ไฟล์เก็บไว้ใน Harddisk หรือ Clound

Ref : bleepingcomputer

ฟิชชิ่งบน Microsoft 365 โดยใช้ข้อความ RPMSG ที่เข้ารหัส

    พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์

    ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

    ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

• เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
• ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
• อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
• หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

• จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading...Wait" ขณะที่สคริปต์ที่เป็นอันตรายกำลังรวบรวมข้อมูลต่าง ๆ บนระบบของเหยื่อ
• ข้อมูลที่รวบรวมจะประกอบไปด้วย visitor ID, connect token และ hash, ข้อมูล video card renderer, ภาษาของระบบ, หน่วยความจำอุปกรณ์, hardware concurrency, ปลั๊กอินที่ถูกติดตั้งบนเบราว์เซอร์, รายละเอียดต่าง ๆ บนเบราว์เซอร์ และระบบปฏิบัติการ
• เมื่อสคริปต์รวบรวมข้อมูลของเป้าหมายเสร็จเรียบร้อยแล้ว จะแสดงแบบฟอร์มการเข้าสู่ระบบ Microsoft 365 ซึ่งจะส่งชื่อผู้ใช้ และรหัสผ่านที่ถูกป้อนไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
• ไฟล์แนบ RPMSG ที่เข้ารหัส ยังทำให้เป็นการปกปิดข้อความฟิชชิงจากอีเมลเกตเวย์ เนื่องจาก hyperlink เดียวที่อยู่ในอีเมลฟิชชิ่งเป็นบริการที่ถูกต้องของ Microsoft

คำแนะนำ

• ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับลักษณะของภัยคุกคาม และไม่พยายามถอดรหัส หรือปลดล็อกข้อความจากภายนอกที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
• เปิดใช้งาน Multi-Factor Authentication (MFA)

Ref : bleepingcomputer

Chrome ออกแพตช์ Update ของ browser เวอร์ชัน 113 แก้ไขช่องโหว่ระดับ Critical

    ในสัปดาห์นี้ Google ประกาศอัปเดตด้านความปลอดภัยของ Chrome browser เวอร์ชัน 113 เพื่อแก้ไขช่องโหว่ทั้งหมด 12 รายการ ซึ่งเป็นช่องโหว่ที่อยู่ในระดับ Critical 6 รายการ

    โดยช่องโหว่ 1 รายการ ที่ถูกรายงานโดยนักวิจัยภายนอกมีหมายเลข CVE-2023-2721 รายงานโดย Guang Gong นักวิจัยจาก Qihoo 360 ซึ่งระบุว่าช่องโหว่ดังกล่าวเป็นช่องโหว่ use-after-free ใน Navigation ที่ทำให้ผู้โจมตีสามารถสร้างเพจ HTML ที่ออกแบบมาเป็นพิเศษ เพื่อหลอกให้ผู้ใช้งานเข้าถึงเพจเพื่อส่งผลให้เกิด heap corruption จากช่องโหว่ดังกล่าว

    ช่องโหว่ Use-after-free คือช่องโหว่ของหน่วยความจำ ซึ่งเกิดขึ้นเมื่อ pointer ไม่ถูกเคลียร์ภายหลังจากการจัดสรรหน่วยความจำ ซึ่งอาจนำไปสู่การสั่งรันโค้ดที่เป็นอันตราย, การปฏิเสธการให้บริการ (denial-of-service) หรือการทำให้ข้อมูลเสียหายได้ โดยใน Chrome ปัญหาของ use-after-free นั้นสามารถถูกนำมาใช้ประโยชน์เพื่อเจาะผ่าน browser sandbox ได้

    การอัปเดตล่าสุดของ Chrome ได้แก้ไขปัญหาของ use-after-free ซึ่งเป็นช่องโหว่ 3 รายการที่มีการรายงานจากนักวิจัยภายนอก และช่องโหว่ทั้งหมดมีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ Autofill UI, DevTools และ Guest View components ของเบราว์เซอร์

    เบราเซอร์เวอร์ชันใหม่ยังแก้ไข confusion bug ระดับความรุนแรงสูงใน V8 JavaScript engine และช่องโหว่ระดับความรุนแรงปานกลางใน WebApp Installs โดย Chrome เวอร์ชันล่าสุดคือ 113.0.5672.126 สำหรับ macOS และ Linux และเวอร์ชัน 113.0.5672.126/.127 สำหรับ Windows

คำแนะนำ

ทำการ Uparde Google Chrome เป็น 113ฃฃ

Malware PowerExchange backdoors โจมตีเซิร์ฟเวอร์ Microsoft Exchange

    มีการตรวจพบ Malware ตัวใหม่ที่มีการใช้งาน PowerShell ที่มีชื่อว่า PowerExchange ถูกนำมาใช้ในการโจมตีที่เชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดี APT34 ของอิหร่านไปยังเซิร์ฟเวอร์ Microsoft Exchange ภายในองค์กร

    หลังจากเเฝงตัวอยู่ใน Mail Server ผ่านอีเมลฟิชชิ่งที่มีไฟล์ปฏิบัติการที่เป็นอันตราย ผู้ไม่ประสงค์ดี ได้   ปรับใช้เว็บ shell ชื่อ ExchangeLeech ที่สามารถขโมยข้อมูล Credentials ของผู้ใช้ได้ ทีมวิจัยภัยคุกคามของ FortiGuard Labs พบ PowerExchange backdoor บนระบบที่ถูกบุกรุกขององค์กรรัฐบาลสหรัฐอาหรับเอมิเรตส์

 Malware สื่อสารกับเซิร์ฟเวอร์ Command-and-control (C2) ผ่านอีเมลที่ส่งโดยใช้ Exchange Web Services (EWS) API ส่งข้อมูลที่ถูกขโมยและรับคำสั่งที่เข้ารหัส base64 ผ่านไฟล์แนบข้อความไปยังอีเมลด้วย “Update Microsoft Edge” Backdoor ช่วยให้ผู้ไม่ประสงค์ดีส่งเพย์โหลดที่เป็นอันตรายเพิ่มเติมบนเซิร์ฟเวอร์ที่ถูกโจมตีและเพื่อกำจัดไฟล์ที่ใช้ขโมย

    นักวิจัยพบ ExchangeLeech web shell ซึ่งติดตั้งเป็นไฟล์ชื่อ System.Web.ServiceAuthentication.dll ซึ่งเลียนแบบหลักการตั้งชื่อไฟล์ IIS ExchangeLeech จะรวบรวมชื่อผู้ใช้และรหัสผ่านของผู้ที่เข้าสู่ระบบเซิร์ฟเวอร์ Exchange ที่ถูกโจมตี

  โดยใช้ basic authentication โดยการตรวจสอบการรับส่งข้อมูล HTTP แบบข้อความ และบันทึกข้อมูล Credentials จาก Webform data หรือ HTTP headers

    FortiGuard Labs เชื่อมโยงการโจมตีเหล่านี้กับกลุ่มแฮ็ก APT34 ที่ได้รับการสนับสนุนจากรัฐของอิหร่าน โดยสังเกตว่ามีความคล้ายคลึงกันกันระหว่าง PowerExchange และMalware TriFive ที่พวกเขาใช้เพื่อโจมตีองค์กรรัฐบาลคูเวต

คำเเนะนำ

• ไม่เปิดไฟล์เเนบอีเมลที่ไม่รู้เเหล่งที่มาหรือไม่น่าเชื่อถือ
• ติดตั้ง Antivirus และ Full scan อยู่เสมอ

Ref : bleepingcomputer

Extension อันตรายบน Microsoft VSCode หลอกขโมยรหัสผ่าน และเปิดช่องทาง remote shells

    กลุ่มผู้ไม่หวังดีมุ่งเป้าโจมตี VSCode Marketplace ของ Microsoft โดยอัปโหลด extension Visual Studio ที่เป็นอันตราย 3 รายการ โดยมีนักพัฒนาบน Windows ดาวน์โหลดไปแล้วกว่า 46,600 ครั้ง

    จากรายงานของ Check Point นักวิเคราะห์พบ extension ที่เป็นอันตราย และรายงานไปยัง Microsoft ว่า extension ดังกล่าวทำให้แฮ็กเกอร์สามารถขโมยข้อมูล credentials, ข้อมูลระบบ และสร้างช่องทาง remote shell บนเครื่องของเหยื่อ Extension ถูกพบ และรายงานเมื่อวันที่ 4 พฤษภาคม 2023 และต่อมาก็ถูกลบออกจาก VSCode Marketplace ในวันที่ 14 พฤษภาคม 2023

    Visual Studio Code (VSC) เป็น source-code editor ที่เผยแพร่โดย Microsoft และถูกใช้งานจากนักพัฒนาซอฟต์แวร์มืออาชีพจำนวนมากทั่วโลก

    Microsoft ยังดำเนิน extensions market สำหรับ IDE ที่เรียกว่า VSCode Marketplace ซึ่งมีโปรแกรมเสริมมากกว่า 50,000 รายการที่ขยายการรองรับการทำงานของแอปพลิเคชัน และมีตัวเลือกสำหรับการปรับแต่งเพิ่มเติม

extension ที่เป็นอันตรายที่ค้นพบโดยนักวิจัยของ Check Point มีดังต่อไปนี้ :

    Theme Darcula dark – extension นี้ใช้เพื่อขโมยข้อมูลพื้นฐานเกี่ยวกับระบบของผู้พัฒนา, รวมถึงชื่อ Host ระบบปฏิบัติการ, แพลตฟอร์ม, CPU, หน่วยความจำทั้งหมด และข้อมูลเกี่ยวกับ CPU แม้ว่า extension จะยังไม่มีพฤติกรรมที่เป็นอันตรายอื่น ๆ แต่ก็ไม่ใช่ลักษณะการทำงานทั่วไป โดย extension นี้มีการดาวน์โหลดมากที่สุด โดยมีการดาวน์โหลดไปแล้วมากกว่า 45,000 ครั้ง

• python-vscode – extension นี้ถูกดาวน์โหลด 1,384 ครั้ง แม้ไม่มีคำอธิบายรายละเอียดของ extension และชื่อผู้อัปโหลดเป็น 'testUseracc1111' ซึ่งจากการวิเคราะห์โค้ดแสดงให้เห็นว่าเป็น C# shell injector ที่สามารถรันโค้ด หรือคำสั่งบนเครื่องของเหยื่อได้
• prettiest java – ชื่อ และคำอธิบายของ extension สร้างขึ้นเพื่อเลียนแบบเครื่องมือจัดรูปแบบโค้ด 'prettier-java' ที่เป็นที่นิยม โดย extension นี้จะขโมยข้อมูล credentials หรือโทเค็นการตรวจสอบสิทธิ์ที่บันทึกไว้จาก Discord และ Discord Canary, Google Chrome, Opera, Brave Browser และ Yandex Browser ซึ่งถูกส่งไปยังผู้โจมตีผ่าน webhook Discord โดย extension นี้มีการติดตั้งไปแล้ว 278 ครั้ง

   นอกจากนี้ Check Point ยังพบ extension ที่น่าสงสัยอีกหลายรายการ ซึ่งยังไม่สามารถระบุได้ว่าเป็นอันตราย แต่มีพฤติกรรมที่ผิดปกติ เช่น การดึงโค้ดจากที่เก็บส่วนตัว หรือการดาวน์โหลดไฟล์

    ที่เก็บซอฟต์แวร์ที่อนุญาตให้ผู้ใช้มีส่วนร่วม เช่น NPM และ PyPi ได้รับการพิสูจน์ว่ามีความเสี่ยงในการใช้งานเนื่องจากกลายเป็นเป้าหมายที่ได้รับความนิยมจากแฮ็กเกอร์ ในขณะที่ VSCode Marketplace เพิ่งเริ่มตกเป็นเป้าหมาย โดยนักวิจัยจาก AquaSec ได้ทดสอบในเดือนมกราคมพบว่าการอัปโหลด extension ที่เป็นอันตรายไปยัง VSCode Marketplace นั้นค่อนข้างง่าย และแนะนำพฤติกรรมที่อาจเป็นอันตรายในลักษณะอื่น ๆ อย่างไรก็ตามในเวลานั้นยังไม่พบ extension ที่เป็นลักษณะมัลแวร์

คำแนะนำ

    ให้ติดตั้งเฉพาะ ที่มาจากแหล่งที่เชื่อถือได้ ซึ่งมีการดาวน์โหลด และการให้คะแนนจำนวนมากโดยชุมชนนักพัฒนา อ่านบทวิจารณ์ของผู้ใช้ และตรวจสอบซอร์สโค้ดของ extension ทุกครั้งก่อนทำการติดตั้ง

Ref : bleepingcomputer

ตรวจพบช่องโหว่ใน KeePass สามารถดึง master password ในรูปแบบของ cleartext ได้

    โปรแกรมจัดการรหัสผ่านยอดนิยม KeePass มีช่องโหว่ที่ทำให้สามารถดึง master password ออกจากหน่วยความจำของแอปพลิเคชันได้ ซึ่งทำให้ผู้ไม่ประสงค์ดีที่เข้าถึงอุปกรณ์สามารถเรียกดู master password โดยไม่สนว่าฐานข้อมูลจะถูกล็อกอยู่หรือไม่ก็ตาม

    ช่องโหว่นี้ถูกพบโดยนักวิจัยด้านความปลอดภัยชื่อ 'vdohney' ซึ่งเป็นผู้เผยแพร่ proof-of-concept (PoC) ที่ทำให้ผู้ไม่ประสงค์ดีสามารถดึงข้อมูล master password ของ KeePass จากหน่วยความจำได้ โปรแกรมจัดการรหัสผ่านจะช่วยให้ผู้ใช้งานสามารถสร้างรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชีออนไลน์ และเก็บข้อมูลแบบเข้ารหัสไว้ในฐานข้อมูลที่ง่ายต่อการค้นหา หรือที่เรียกว่า "password vault" ซึ่งจะช่วยให้ผู้ใช้งานไม่ต้องจำรหัสผ่านแต่ละอัน อย่างไรก็ตามเพื่อรักษาความปลอดภัยของ "password vault" ผู้ใช้จำเป็นต้องจำ master password ที่ใช้ในการปลดล็อกเพื่อเข้าถึงข้อมูลรหัสผ่านอื่น ๆ

    master password จะถูกใช้เพื่อเข้าไปในฐานข้อมูลของ KeePass ต่าง ๆ ได้ เพื่อป้องกันไม่ให้มีการเปิด หรืออ่านข้อมูลได้โดยไม่ต้องป้อนรหัสผ่านก่อน อย่างไรก็ตาม เมื่อ master password ถูกขโมย จึงทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลรหัสผ่านทั้งหมดที่เก็บในฐานข้อมูลได้ ดังนั้นเพื่อให้โปรแกรมจัดการรหัสผ่านมีความปลอดภัยอย่างเหมาะสม สิ่งสำคัญคือผู้ใช้งานจะต้องรักษา master password ไว้เป็นความลับ และไม่แชร์กับผู้อื่น

 โดยช่องโหว่ใหม่ของ KeePass ที่มีหมายเลข CVE-2023-3278 ทำให้สามารถดึงข้อมูล master password ของ KeePass ในรูปแบบของข้อความ (cleartext) ยกเว้นตัวอักษรแรก หรือสองตัวอักษรแรก โดยไม่สนว่าการทำงานของ KeePass จะถูกล็อก หรือโปรแกรมจะปิดการทำงานไปแล้ว

  "KeePass Master Password Dumper" เป็นเครื่องมือ POC ที่ใช้สำหรับดัมพ์ master password จากหน่วยความจำของ KeePass โดยนักวิจัยด้านความปลอดภัยเตือนว่านอกเหนือจากตัวอักษรแรกของรหัสผ่านมีความเป็นไปได้สูงที่จะสามารถดึงรหัสผ่านในรูปแบบข้อความออกมาได้

 "ไม่จำเป็นต้องมีการประมวลผลโค้ดบนระบบเป้าหมาย เพียงแค่การดัมพ์หน่วยความจำเท่านั้น ไม่ว่าจะเป็นการดัมพ์กระบวนการ (process dump), swap file (pagefile.sys), hibernation file (hiberfil.sys) หรือการดัมพ์หน่วยความจำ RAM ของระบบทั้งหมด โดยไม่สนว่า workspace จะถูกล็อกหรือไม่ก็ตาม"

    ช่องโหว่นี้เกิดขึ้นจากซอฟต์แวร์ใช้กล่องป้อนรหัสผ่านที่กำหนดเอง ที่ชื่อ "SecureTextBoxEx" ซึ่งทำให้เกิดร่องรอยของทุกตัวอักษรที่ผู้ใช้ป้อนลงในหน่วยความจำ นักวิจัยระบุว่า "KeePass 2.X ใช้กล่องข้อความที่พัฒนาขึ้นเองสำหรับการป้อนรหัสผ่านชื่อ SecureTextBoxEx ซึ่งกล่องข้อความนี้ ไม่เพียงแค่ใช้สำหรับการป้อนรหัสผ่าน master password เท่านั้น แต่ยังใช้กับส่วนอื่น ๆ ใน KeePass ด้วย เช่น กล่องแก้ไขรหัสผ่าน (ดังนั้นการโจมตียังสามารถดึงเนื้อหาของรหัสผ่านดังกล่าวได้)"

    ช่องโหว่นี้ส่งผลกระทบต่อ KeePass เวอร์ชันล่าสุด 2.53.1 และเนื่องจากโปรแกรมนี้เป็นโอเพนซอร์ส โปรเจกต์ที่แยกออกมาก็อาจได้รับผลกระทบจากช่องโหว่นี้ได้เช่นเดียวกัน

  จากรายงานของนักพัฒนาเครื่องมือดัมพ์รหัสผ่าน ดูเหมือนว่า KeePass 1.X, KeePassXC, และ Strongbox จะไม่ได้รับผลกระทบจาก CVE-2023-32784

    นอกจากนี้ ในขณะที่โค้ด PoC สามารถทำงานได้บนระบบปฏิบัติการ Windows แต่ช่องโหว่ดังกล่าวอาจถูกนำไปประยุกต์ใช้งาน ทำให้สามารถใช้งานกับระบบปฏิบัติการ Linux และ macOS ได้ เนื่องจากช่องโหว่ดังกล่าวไม่เกี่ยวข้องกับระบบปฏิบัติการ แต่เกี่ยวกับวิธีการที่ KeePass จัดการกับข้อมูลของผู้ใช้

สามารถใช้ช่องโหว่ในการโจมตีได้ง่าย เนื่องจากต้องมีการเข้าถึงการดัมพ์หน่วยความจำเพื่อดึง master password ของ KeePass ดังนั้นการใช้ช่องโหว่ CVE-2023-32784 จึงจำเป็นต้องมีการเข้าถึง หรือติดตั้งมัลแวร์บนเครื่องเป้าหมายให้ได้ก่อน

    อย่างไรก็ตาม มัลแวร์ที่ใช้สำหรับขโมยข้อมูลก็สามารถตรวจสอบได้อย่างรวดเร็วว่ามีการติดตั้ง KeePass อยู่ในคอมพิวเตอร์ หรือกำลังทำงานอยู่หรือไม่ และหากมี อาจจะสั่งให้ดัมพ์หน่วยความจำของโปรแกรม และส่งข้อมูลดังกล่าวพร้อมกับฐานข้อมูล KeePass กลับไปยังผู้ไม่ประสงค์ดี เพื่อดึงรหัสผ่านแบบออฟไลน์ในรูปแบบข้อความที่ถูกเขียนลงในหน่วยความจำออกมาได้

   BleepingComputer ทดสอบเครื่องมือ 'keepass-password-dumper' ของ vdohney โดยติดตั้ง KeePass บนอุปกรณ์ทดสอบ และสร้างฐานข้อมูลใหม่ด้วย master password 'password123' ดังภาพด้านล่าง

    จากนั้นล็อกพื้นที่ทำงานของ KeePass เพื่อป้องกันการเข้าถึง จนกว่าจะป้อนรหัสผ่านหลักอีกครั้ง ในการทดสอบ ผู้ใช้งานสามารถใช้ Process Explorer เพื่อดัมพ์หน่วยความจำของโปรเจกต์ KeePass ได้ เพื่อให้ทำงานได้อย่างถูกต้องจำเป็นต้องใช้การดัมพ์หน่วยความจำแบบเต็ม ไม่ใช่การดัมพ์หน่วยความจำแบบมินิดัมพ์

   หลังจากคอมไพล์เครื่องมือของ vdohney โดยใช้ Visual Studio แล้ว จะทำการเรียกใช้เครื่องมือนี้เพื่อดัมพ์หน่วยความจำ และดึงรหัสผ่านแบบ cleartext โดยจะขาดเพียงสองตัวอักษรแรกเท่านั้น

  แม้ว่าจะไม่ใช่รหัสผ่านที่สมบูรณ์ แต่การพิจารณาว่าอักขระใดขาดหายไปนั้นถือว่าค่อนข้างง่ายมากนักวิจัยยังเตือนว่า master password ที่ใช้ในอดีตอาจยังคงอยู่ในหน่วยความจำ ดังนั้นจึงสามารถเรียกคืนได้แม้ว่า KeePass จะไม่ได้ทำงานอยู่บนคอมพิวเตอร์แล้วก็ตาม KeePass จะแก้ไขช่องโหว่เร็ว ๆ นี้

    นักพัฒนาของ KeePass ชื่อ 'Dominik Reichl' ได้รับรายงานช่องโหว่ และจะแก้ไขช่องโหว่ CVE-2023-32784 ในเวอร์ชัน 2.54 ที่คาดว่าจะเปิดให้ใช้งานในช่วงเดือนกรกฎาคม 2023

    อย่างไรก็ตาม Reichl ได้แจ้งกับ BleepingComputer ว่า KeePass เวอร์ชัน 2.54 มีโอกาสที่จะเผยแพร่แก่ผู้ใช้งานในอีกประมาณสองสัปดาห์ ดังนั้นคาดว่าจะมีการเผยแพร่ตัวอัปเดตในต้นเดือนมิถุนายน Reichl ได้พัฒนาเกี่ยวกับช่องโหว่ด้านความปลอดภัย และวิธีการในการลดผลกระทบที่อาจเกิดขึ้น และมีการกล่าวถึงการปรับปรุงความปลอดภัยสองรายการสำหรับเวอร์ชัน KeePass ที่กำลังจะมาถึงดังนี้

  ดำเนินการเรียกใช้ API โดยตรงเพื่อรับ/ตั้งค่าข้อความในกล่องข้อความ โดยหลีกเลี่ยงการสร้างสตริงที่จัดการแล้วในหน่วยความจำ ซึ่งอาจทำให้ข้อมูลรั่วไหลออกไปได้ สร้างชิ้นส่วนที่เป็นข้อมูลสมมติที่มีอักขระสุ่มในหน่วยความจำของกระบวนการ ซึ่งจะมีความยาวใกล้เคียงกับรหัสผ่านหลักของผู้ใช้ โดยทำให้สามารถปกปิดคีย์จริงได้ KeePass 2.54 สำหรับระบบปฏิบัติการ Windows จะมีการปรับปรุงทั้งสองอย่าง ในขณะที่เวอร์ชันสำหรับ macOS และ Linux จะได้รับการปรับปรุงเฉพาะอย่างที่สองเท่านั้น

  นักพัฒนาได้เผยแพร่เวอร์ชันทดสอบพร้อมกับการปรับปรุงความปลอดภัยใหม่ที่ช่วยลดปัญหานี้ได้ ดังนั้นผู้ที่อยากทดลองใช้งานเวอร์ชันที่อาจยังไม่เสถียรสามารถดาวน์โหลดได้จากที่นี่ โดยผู้สร้าง PoC ได้ยืนยันว่าเขาไม่สามารถทำการโจมตีได้แล้วด้วยการปรับปรุงความปลอดภัยทั้งสองรายการ ดังนั้นภาพรวมของการแก้ไขดูแล้วน่าจะมีประสิทธิภาพ

  แม้ว่าเวอร์ชันใหม่จะถูกเผยแพร่แล้ว master password อาจยังคงถูกเก็บไว้ในหน่วยความจำ นักวิจัยเตือนว่าเพื่อความปลอดภัย 100% ที่รหัสผ่านหลักจะไม่อยู่บนระบบ ผู้ใช้งานจำเป็นต้องลบไฟล์ swap file และ hibernation file ของระบบให้เรียบร้อยก่อนที่จะฟอร์แมทฮาร์ดดิสก์โดยใช้โหมด "overwrite data" เพื่อป้องกันการดึงข้อมูล และทำการติดตั้งระบบปฏิบัติการใหม่

  สำหรับผู้ใช้งานส่วนมาก การรีสตาร์ทคอมพิวเตอร์ ลบไฟล์ swap file และ hibernation file และไม่ใช้ KeePass จนกว่าเวอร์ชันใหม่จะถูกเผยแพร่ เป็นมาตรการรักษาความปลอดภัยที่สมเหตุสมผลในช่วงนี้

สำหรับการป้องกันที่ดีที่สุด ควรระมัดระวังอย่างมากในการไม่ดาวน์โหลดโปรแกรมจากเว็บไซต์ที่ไม่น่าเชื่อถือ และระมัดระวังการโจมตีด้วยเทคนิคฟิชชิ่งที่อาจติดมัลแวร์บนอุปกรณ์ ทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงอุปกรณ์ และฐานข้อมูล KeePass ของผู้ใช้ได้

Ref : bleepingcomputer

Microsoft บังคับใช้ฟังก์ชัน number matching เพื่อป้องกันการโจมตีแบบ MFA fatigue attacks

    Microsoft จะเริ่มบังคับใช้ฟังก์ชัน number matching ใน Microsoft Authenticator เพื่อป้องกันการโจมตีแบบ multi-factor authentication (MFA) fatigue attacks ในการโจมตีดังกล่าว ซึ่งถูกเรียกอีกแบบว่า Push Bombing หรือ MFA push spam ผู้โจมตีจะหลอกเหยื่อด้วยการทำให้เกิดการแจ้งเตือนแบบ push notifications เพื่อให้ผู้ใช้งานอนุมัติการเข้าสู่ระบบบัญชีขององค์กรจำนวนมาก โดยใช้ข้อมูล credentials ที่ขโมยมา ทำให้ส่วนใหญ่แล้วเหยื่อมักจะกดยอมรับ push notifications MFA ทั้งโดยไม่ได้ตั้งใจ หรือเพื่อหยุดการแจ้งเตือนที่เกิดขึ้นโดยไม่ทันได้สังเกต ซึ่งจะทำให้ผู้โจมตีสามารถเข้าสู่ระบบได้ ซึ่งพิสูจน์แล้วว่าประสบความสำเร็จเป็นอย่างมาก

    โดยกลุ่ม Lapsus$ และ Yanluowang ซึ่งใช้วิธีการโจมตีนี้เพื่อเจาะระบบองค์กรที่มีชื่อเสียง เช่น Microsoft , Cisco และ Uber ได้สำเร็จ ปัจจุบัน Microsoft ระบุว่าจะเริ่มบังคับใช้ฟังก์ชัน number matching สำหรับการแจ้งเตือน MFA ของ Microsoft Authenticator เพื่อบล็อกความพยายามโจมตี MFA ในรูปแบบดังกล่าวตั้งแต่วันที่ 8 พฤษภาคม 2023 เป็นต้นไป โดยบริการที่เกี่ยวข้องจะเริ่มใช้ฟังก์ชันนี้ ภายหลังจากวันที่ 8 พฤษภาคม 2023 ซึ่งผู้ใช้งานจะเริ่มเห็นหมายเลขที่ต้องระบุให้ตรงกันสำหรับการเข้าสู่ระบบ

    หากต้องการเปิดใช้งาน number matching ด้วยตนเอง สามารถไปตั้งค่าได้ที่ Security > Authentication methods > Microsoft Authenticator ใน Azure portal

ทำตามขั้นตอนต่อไปนี้:

• ใน Tab Enable and Target คลิก Yes และ All users เพื่อเปิดใช้งาน policy สำหรับทุกคน หรือเพิ่มผู้ใช้ และกลุ่มที่เลือก จากนั้นตั้งค่า Authentication mode เป็น Any หรือ Push
• กำหนดค่า Require number matching for push notifications เปลี่ยน Status เป็น Enabled เลือกกลุ่มที่จะ include หรือ exclude และคลิก Save
  ผู้ใช้งานสามารถเปิดใช้งาน number matching สำหรับผู้ใช้ทั้งหมด หรือกลุ่มเดียวได้

    หากผู้ใช้งานมีวิธีการตรวจสอบสิทธิ์ในรูปแบบอื่น ๆ จะไม่มีการเปลี่ยนแปลงใด ๆ ในการลงชื่อเข้าใช้ ผู้ใช้งานที่ต้องการเพิ่มการป้องกันเพิ่มเติมจากการโจมตี MFA fatigue attacks สามารถจำกัดจำนวนการพยายามเข้าสู่ระบบผ่าน MFA ต่อผู้ใช้งาน (Microsoft, DUO, Okta) และล็อคบัญชี หรือส่งการแจ้งเตือนไปยังทีม Security หรือผู้ดูแลระบบโดเมนเมื่อมีการพยายามเข้าสู่ระบบที่เกินกว่าที่กำหนดไว้

Ref : bleepingcomputer

พบกลุ่ม Hacker ในชื่อ ‘Greatness’ มุ่งเป้าหมายการโจมตี Phishing ไปยัง Microsoft 365

    ผู้เชี่ยวชาญจาก Cisco Talos เปิดเผยการค้นพบกลุ่ม Hacker Phishing-as-a-Service (PhaaS) ในชื่อ 'Greatness' ที่พบการโจมตีเป็นจำนวนมากไปยังองค์กรเป้าหมายที่ใช้ Microsoft 365 ในสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ออสเตรเลีย และแอฟริกาใต้

โดย Cisco Talos เปิดเผยว่า เริ่มพบการโจมตีของ Greatness phishing platform ในช่วงกลางปี ​​2022 และเพิ่มขึ้นอย่างรวดเร็วในเดือนธันวาคม 2022 และพบอีกครั้งในเดือนมีนาคม 2023 ซึ่งกลุ่มเป้าหมายส่วนใหญ่อยู่ในกลุ่มอุตสาหกรรม ภาคการผลิต การดูแลสุขภาพ เทคโนโลยี การศึกษา อสังหาริมทรัพย์ การก่อสร้าง การเงิน และบริการธุรกิจ

การโจมตีของ 'Greatness'

    Greatness Phishing-as-a-Service ใช้เครื่องมือเช่นเดียวกับ Phishing-as-a-Service กลุ่มอื่น ๆ โดยเมื่อเริ่มการโจมตี Hacker จะดำเนินการผ่านทาง admin panel โดยใช้ API key และระบุรายชื่อที่อยู่อีเมลเป้าหมาย หลังจากนั้น PhaaS platform จะสร้าง infrastructure พื้นฐานในการโจมตี เช่น server ที่จะเผยแพร่หน้า phishing page ตลอดจนสร้างไฟล์แนบ HTML การสร้างเนื้อหาอีเมล์ และจัดเตรียมเนื้อหาอื่น ๆ ที่สำคัญในการโจมตี

    จากนั้นจะทำการส่ง phishing email ที่แนบไฟล์ HTML อันตรายไปยังเป้าหมาย เมื่อเป้าหมายทำการเปิดอีเมล์ โค้ด JavaScript ที่เป็นอันตรายจะทำการเรียกเบราว์เซอร์เพื่อเชื่อมต่อกับ 'Greatness' server เพื่อดึงหน้า phishing page มาแสดงให้แก่เป้าหมาย ซึ่งหน้า phishing page ดังกล่าว จะแทรกโลโก้ และภาพพื้นหลังของบริษัทเป้าหมายโดยอัตโนมัติจากหน้าเข้าสู่ระบบ Microsoft 365

   โดย Hacker จะทำการกรอกอีเมล์ของเป้าหมายไว้ เหลือเพียงแค่รหัสผ่านเพื่อให้เหยื่อไม่สงสัย เมื่อเป้าหมายทำการกรอกรหัสผ่านแล้ว phishing page จะทำหน้าที่เป็นพร็อกซีระหว่างเบราว์เซอร์ของเป้าหมาย และหน้าเข้าสู่ระบบ Microsoft 365 จริง เพื่อขโมย session cookie ของบัญชีเป้าหมาย

    หากบัญชีเป้าหมายของเป้าหมายมีการเปิดการรับรองความถูกต้องโดยใช้ Multifactor Authentication (MFA) ไว้ Hacker จะส่งคำขอตรวจสอบสิทธิดังกล่าวไปยังเป้าหมายเพื่อให้ทำการกรอกรหัส

  เมื่อเป้าหมายทำการใส่หัส MFA แล้ว Hacker จะทำการรับรองความถูกต้องในบัญชีเป้าหมายบนแพลตฟอร์ม Microsoft จริง และส่ง session cookie ของบัญชีเป้าหมายที่ผ่านการรับรองความถูกต้องไปยังบริษัทในเครือผ่านช่องทาง Telegram หรือบน web panel ของ Hacker หลังจากนั้นก็จะแสดงข้อความการการรับรองความถูกต้องที่ผิดพลาด หรือ session การตรวจสอบความถูกต้องหมดเวลาไปยังเป้าหมาย เพื่อออกจากหน้า phishing page

   จากนั้น Hacker ก็สามารถใช้ session cookie นี้เพื่อเข้าถึงอีเมล ไฟล์ และข้อมูลของเหยื่อในบริการ Microsoft 365 เพื่อเข้าสู่ระบบเครือข่ายขององค์กร และนำไปสู่การโจมตีที่อันตรายยิ่งกว่า เช่น การติดตั้งแรนซัมแวร์

Ref : bleepingcomputer

Microsoft ออกแพตซ์แก้ไขสำหรับช่องโหว่ Secure Boot ที่กำลังถูกนำมาใช้ในการโจมตี

Microsoft เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Secure Boot zero-day ที่กำลังถูกนำมาใช้ในการโจมตีจาก BlackLotus UEFI malware ซึ่งกำลังแพร่กระจายบนระบบ Windows

Secure Boot เป็นคุณลักษณะด้านความปลอดภัยที่จะ blocks bootloader ที่ไม่น่าเชื่อถือโดย OEM บนคอมพิวเตอร์ที่มีเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) และชิป Trusted Platform Module (TPM) เพื่อป้องกัน rootkit ระหว่างกระบวนการ startup process

จากบล็อกโพสต์ของ Microsoft Security Response Center ช่องโหว่ด้านความปลอดภัย Secure Boot Security Feature Bypass Vulnerability (CVE-2023-24932) ถูกใช้เพื่อ bypass แพตซ์อัปเดตด้านความปลอดภัยของ Secure Boot Security Feature Bypass Vulnerability (CVE-2022-21894) ซึ่งเป็นช่องโหว่ของ Secure Boot ที่ได้ถูกใช้ในการโจมตีของ BlackLotus UEFI

ซึ่งช่องโหว่ดังกล่าวทำให้ Hacker สามารถเรียกใช้รหัส self-signed code ที่ระดับ Unified Extensible Firmware Interface (UEFI) ในขณะที่เปิดใช้งาน Secure Boot เพื่อฝังตัวในระบบ (Persistence) และการหลีกเลี่ยงการตรวจจับ (Defense Evasion) โดย ระบบ Windows ที่เปิดใช้งาน Secure Boot protection จะได้รับผลกระทบจากช่องโหว่นี้ รวมถึง on-premises, virtual machines และ cloud-based device

โดยปัจจุบันแพตซ์อัปเดตด้านความปลอดภัยของ CVE-2023-24932 มีให้สำหรับ Windows 10, Windows 11 และ Windows Server เวอร์ชันที่รองรับเท่านั้น

หากต้องการตรวจสอบว่ามีการเปิดใช้งานการป้องกัน Secure Boot ในระบบของคุณหรือไม่ สามารถเรียกใช้คำสั่ง msinfo32 จากพรอมต์คำสั่งของ Windows เพื่อเปิดแอปข้อมูลระบบ

Secure Boot จะเปิดใช้งานอยู่หากเห็นข้อความ "Secure Boot State ON" ที่ด้านซ้ายของหน้าต่างหลังจากเลือก "System Summary"

การแก้ไขช่องโหว่ CVE-2023-24932 ด้วยตนเอง

    แม้ว่าการอัปเดตด้านความปลอดภัยที่เผยแพร่โดย Microsoft จะมีการแก้ไขตัว Windows boot manager แต่การอัปเดตดังกล่าวจะถูกปิดการใช้งานตามค่าเริ่มต้น รวมไปถึงยังไม่ได้ลดความเสี่ยงที่จะถูกโจมตีจาก BlackLotus ดังนั้นหากต้องการเปิดการใช้งานการป้องกันช่องโหว่ Secure Boot bypass (CVE-2023-24932) ด้วยตนเองควรทำตามขั้นตอนดังนี้

• ติดตั้งตัวอัปเดตของวันที่ 9 พฤษภาคม 2023 ในระบบที่ได้รับผลกระทบ
• อัปเดต bootable media ด้วยตัวอัปเดต Windows ที่เผยแพร่ในวันที่ 9 พฤษภาคม 2023 หากยังไม่ได้สร้าง bootable media จะต้องมี official media ที่อัปเดตจาก Microsoft หรือผู้ผลิตอุปกรณ์ (OEM)
• เรียกใช้คำสั่งเพื่อป้องกันช่องโหว่ CVE-2023-24932

    ทั้งในขั้นตอนของการทำการป้องกันด้วยวิธีดังกล่าวมีความซับซ้อน รวมถึงเมื่อทำการอัปเดตป้องกันช่องโหว่แล้ว จำเป็นต้องทำการอัปเดตค่า bootable media หลังจากการอัปเดตช่องโหว่ ไม่อย่างนั้นจะไม่สามารถใช้ bootable media ได้อีกต่อไป โดยขณะนี้ทาง Microsoft ยังไม่มีวิธีการอื่นนอกจากนี้ จึงได้แนะนำให้ทำตามขั้นตอนอย่างละเอียด : https://support.microsoft.com

Ref : bleepingcomputer

พบ Malware BPFDOOR เวอร์ชั่นล่าสุด บนระบบปฏิบัติการ Linux

    พบ Malware BPFDOOR เวอร์ชั่นล่าสุด ซึ่งเป็น Malware ที่เข้ารหัสและทำลายข้อมูลบนระบบปฏิบัติการ Linux และพยายามหลีกเหลี่ยงการตรวจจับ BPFDoor เป็นMalwareที่มีการใช้งานมาตั้งแต่ปี 2017

แต่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนก่อน BPFDoor ได้รับการออกแบบมา เพื่อให้ผู้ไม่ประสงค์ดีสามารถคงอยู่ในบนระบบ Linux

    และทำการเลี่ยงการจำกัดของไฟร์วอลบนการจราจรเข้าระบบ เมื่อเริ่มการทำงาน BPFDoor จะสร้างและล็อคไฟล์รันไทม์ที่ “/var/run/initd.lock” จากนั้นจะแยกตัวเองเพื่อทํางานเป็นกระบวนการย่อยและในที่สุดก็ตั้งค่าตัวเองให้ละเว้นสัญญาณระบบปฏิบัติการต่างๆที่อาจขัดจังหวะ

  Malware จะจัดสรรหน่วยความจำและสร้างตัวเก็บข้อมูลชนิดแพ็คเก็ตที่ใช้สำหรับการระบุการสแน็กข้อมูลจากการจราจรเข้าสู่ระบบ โดยมีลำดับบิตเริ่มต้นที่ต้องเข้ากันเป็นชุดข้อมูล (“magic” byte sequence) คือ (“\x44\x30\xCD\x9F\x5E\x14\x27\x66”)

    ในขั้นตอนนี้ BPFDoor จะแนบ Berkley Packet Filter เข้ากับซ็อกเก็ตเพื่ออ่านเฉพาะการรับส่งข้อมูล UDP, TCP และ SCTP ผ่านพอร์ต 22 (ssh), 80 (HTTP) และ 443 (HTTPS) การจำกัดข้อจำกัดของไฟร์วอลบนเครื่องที่ถูกแฮ็กไม่ส่งผลต่อกิจกรรมการสแน็กข้อมูลนี้ เนื่องจาก BPFDoor ทำงานในระดับที่ต่ำมากที่ไม่สามารถนำมาประยุกต์ใช้ได้

    เมื่อ BPFDoor พบแพ็คเก็ตที่มีไบต์ตัวเลข ‘magic’ (magic bytes) ในการกรองการจราจร ที่เป็นเป้าหมาย มันจะถือว่าเป็นข้อความจากผู้ดำเนินการและจะแยกวิเคราะห์ออกเป็นสองส่วนและทำการแยกตัวออกอีกครั้ง กระบวนการหลักจะดำเนินการต่อและตรวจสอบการจราจรที่ผ่านมาผ่านตัวกรองที่เชื่อมต่อ ในขณะที่กระบวนการลูกจะใช้ข้อมูลที่แยกวิเคราะห์ได้ก่อนหน้านี้เป็นความเป็นไปได้ของ IP-Port สำหรับ Command & Control และจะพยายามเชื่อมต่อไปยัง IP-Port ดังกล่าว” หลังจากสร้างการเชื่อมต่อกับ C2 (Command & Control) แล้ว Malware จะตั้งค่า Reverse Shell และรอคำสั่งจากเซิร์ฟเวอร์

    BPFDoor ยังคงไม่ถูกตรวจพบโดยซอฟต์แวร์รักษาความปลอดภัย ดังนั้นผู้ดูแลระบบอาจต้องพึ่งพาการตรวจสอบการจราจรเครือข่ายและบันทึกการทำงานด้วยการใช้ผลิตภัณฑ์การป้องกันที่ทันสมัยและตรวจสอบความสมบูรณ์ของไฟล์บน “/var/run/initd.lock” 

    รายงานของ CrowdStrike ในเดือนพฤษภาคม ปี 2022 ได้เน้นว่า BPFDoor ใช้ช่องโหว่ที่เกิดขึ้นใน 

ปี 2019 เพื่อทำให้ Malware ที่เข้าถึงระบบเป็นตัวต่ออย่างยาวนาน ดังนั้นการปรับใช้การอัปเดตความปลอดภัยที่มีอยู่เป็นกลยุทธ์สำคัญตลอดเวลาเพื่อป้องกันการเข้าระบบของ Malware ทุกชนิด

คำแนะนำ

• ตรวจสอบไฟล์ที่เป็นเป้าหมายของ BPFDoor เช่น “/var/run/initd.lock” เพื่อตระหนักถึงการเข้าถึงไม่ยุติธรรม
• ใช้โซลูชันการป้องกันปลายทางที่มีความทันสมัยเพื่อตรวจจับและป้องกันการเข้าระบบของMalware BPFDoor และอื่น ๆ ตามความเหมาะสม
• ตรวจสอบและติดตั้งอัปเดตที่มีอยู่สำหรับระบบปฏิบัติการ Linux เพื่อปิดช่องโหว่ที่อาจถูกใช้โดย BPFDoor หรือMalwareอื่น ๆ

Ref : bleepingcomputer

Microsoft ออกแพตซ์กอัปเดต เพื่อแก้ไขปัญหาการ bypass หลังการอัปเดตช่องโหว่ Outlook zero-click [EndUser]

Microsoft ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย Outlook zero-click เพิ่มเติม เนื่องจากพบว่า Hacker สามารถ bypass แพตซ์อัปเดตของช่องโหว่ Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-23397) ได้

โดยช่องโหว่ zero-click bypass มีชื่อว่า Windows MSHTML Platform Security Feature Bypass Vulnerability หรือ CVE-2023-29324 (คะแนนCVSS 6.5/10 ระดับความรุนแรงปานกลาง) โดยส่งผลกระทบต่อ Outlook client ใน Windows รุ่นที่รองรับทั้งหมด

ก่อนหน้านี้ช่องโหว่ของ Microsoft Outlook Elevation of Privilege Vulnerability หรือ CVE-2023-23397 (คะแนนCVSS 9.8/10 ระดับความรุนแรง Critical) เป็นช่องโหว่ในการยกระดับสิทธิ์ใน Outlook client สำหรับ Windows ที่ทำให้ Hacker สามารถขโมย NTLM Hash โดยที่ผู้ใช้ไม่ต้องโต้ตอบใด ๆ เพื่อนำไปใช้ในการโจมตีแบบ NTLM-relay attack ได้

โดย Hacker จะส่งข้อความแบบ MAPI properties ที่มี UNC paths ที่ถูกกำหนดค่าไว้ ทำให้ Outlook client เชื่อมต่อกลับไปยัง SMB shares ที่อยู่ภายใต้การควบคุมของ Hacker ได้

ช่องโหว่ดังกล่าวได้ถูกแก้ไขไปแล้วในเดือนมีนาคม 2023 ซึ่งทาง Microsoft ได้แก้ไขปัญหาด้วยการรวมการเรียก MapUrlToZone เพื่อให้แน่ใจว่า UNC paths ไม่เชื่อมต่อกับ URL อินเทอร์เน็ต รวมถึงแทนที่ notification sound ด้วยค่าเริ่มต้น

ช่องโหว่ถูกใช้โดยกลุ่ม Hacker ชาวรัสเซียเพื่อขโมยข้อมูล

Microsoft เปิดเผยในรายงานการวิเคราะห์ภัยคุกคาม พบว่ากลุ่ม Hacker ชื่อ APT28 ของรัสเซีย (หรือเรียกอีกอย่างว่า STRONTIUM , Sednit, Sofacy และ Fancy Bear) ได้ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีองค์กรรัฐบาล กองทัพ พลังงาน และการขนส่งอย่างน้อย 14 แห่ง ระหว่างกลางเดือนเมษายน ถึงเดือนธันวาคม 2022

โดย Hacker จะใช้ Outlook notes ที่เป็นอันตรายเพื่อขโมย NTLM hashes โดยบังคับให้อุปกรณ์ของเป้าหมายเชื่อมต่อกับ SMB shares ที่ถูกควบคุมโดย Hacker รวมถึงข้อมูลประจำตัวที่ถูกขโมยเหล่านี้ จะถูกใช้สำหรับเข้าถึง และแพร่กระจายในเครือข่ายของเหยื่อ และเพื่อเปลี่ยน permissions บน Outlook เพื่อสามารถขโมยข้อมูลที่สำคัญในอีเมล

Ref : bleepingcomputer

พบ Hacker เริ่มใช้วิธีการ double DLL sideloading ในการหลบเลี่ยงการตรวจจับ

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing

โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์

Double DLL sideloading

DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่

เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ

โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.dll' ที่ชื่อว่า 'appR.dll' และไฟล์ DAT 'appR.dat' ซึ่งภายในมี JavaScript code ที่ใช้ดำเนินการไลบรารีโปรแกรมเรียกใช้สคริปต์ 'appR.dll' โดยจะทำการเปิดแอป Telegram ให้กับเหยื่อ แต่ในขณะเดียวกันก็ทำการติดตั้งส่วนประกอบ sideloading ต่างๆ ในระบบ

ถัดมาจะเป็นการเรียกใช้ 'libexpat.dll' เพื่อโหลดแอปพลิเคชันที่เป็นอันตรายในการโจมตีขั้นตอนต่อไป ซึ่งแอปพลิเคชัน "XLGame.exe" จะถูกเปลี่ยนชื่อเป็น "Application.exe" โดยได้รับการรับรองจาก Beijing Baidu Netcom Science and Technology Co., Ltd. และ "d3dim9.exe" ที่ได้รับการรับรองจาก HP Inc.

นอกจากนี้ยังพบ loader ในขั้นที่สองที่ชื่อ "KingdomTwoCrowns.exe" ซึ่งไม่มีการรับรอง โดยทาง Sophos ยังไม่สามารถระบุได้ว่ามีไว้ใช้ทำอะไร

ในขั้นตอนการโจมตีสุดท้าย DLL เพย์โหลดสุดท้ายจะถูกถอดรหัสจากไฟล์ txt ('templateX.txt') และดำเนินการบนระบบของเป้าหมาย เพื่อติดตั้ง backdoor ที่รองรับคำสั่งต่าง ๆ เช่น การรีบูตระบบ, การแก้ไขรีจิสตรีคีย์, การดึงไฟล์, การขโมยเนื้อหาคลิปบอร์ด, การดำเนินการคำสั่งในหน้าต่าง CMD ที่ซ่อนอยู่ และอื่น ๆ นอกจากนี้ยังกำหนดเป้าหมายไปที่ extension บน Chrome ของ MetaMask cryptocurrency wallet เพื่อขโมย cryptocurrency wallet จากเป้าหมาย

โดยเทคนิค "double DLL sideloading" จะทำให้เกิดความสับสนจึงทำให้สามารถหลบเลี่ยงการตรวจจับ รวมถึงฝังตัวในระบบได้ ทำให้เป้าหมายป้องกัน และตรวจจับการโจมตีได้ยากขึ้น

กลุ่ม LockBit ขู่ปล่อยข้อมูลรั่วไหลของห้างซูเปอร์มาร์เก็ตชื่อดังของไทย

    กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่

รายละเอียดเกี่ยวกับการโจมตีดังกล่าว

   โดยกลุ่ม LockBit ระบุว่า "ข้อมูลทั้งหมดจะถูกเผยแพร่ออกสู่สาธารณะ หากเหยื่อไม่มีการตอบสนองต่อการเรียกค่าไถ่" คาดว่าจะมีการปล่อยข้อมูลรั่วไหลในวันที่ 27 เมษายน 2023 ช่วงเวลา 07:10:14 UTC ตามเวลาที่  กลุ่ม LockBit ได้โพสต์บนเว็บไซต์ของทางกลุ่ม ซึ่งในช่วงที่มีการโพสต์นั้น เว็บไซต์ของซูเปอร์มาร์เก็ตดังกล่าวยังคงทำงานได้ตามปกติ

กลุ่ม LockBit ransomware

    กลุ่ม LockBit เป็นกลุ่ม ransomware ที่มีการโจมตีมากที่สุดจนถึงปัจจุบัน นอกจากการโจมตีซูเปอร์มาร์เก็ตดังกล่าว พบว่า LockBit มีประวัติการโจมตีองค์กรต่าง ๆ มาแล้วกว่า 1,716 ครั้ง จากรายงานของ HIPAA Journal กลุ่ม LockBit 3.0 หรือ LockBit Black ได้มีการเรียกค่าไถ่อยู่ที่ 85,000 ดอลลาร์ต่อเป้าหมาย โดยกลุ่มดังกล่าวเป็นกลุ่ม ransomware-as-a-service และมีการเปลี่ยนชื่อหลายครั้งในช่วงที่กำลังพัฒนา ransomware โดยเวอร์ชันได้เปลี่ยนจาก LockBit 2.0 ในปี 2021 มาเป็น LockBit 3.0 เมื่อเดือนมิถุนายน 2022

รายงานของ Infosecurity ในปี 2022 กลุ่ม LockBit มีการโจมตีมากถึง 44% ของการโจมตีด้วย ransomware ทั้งหมด รองลงมาคือกลุ่ม Conti ที่มีการโจมตีอยู่ที่ 23%

  กลุ่ม LockBit เข้าถึงระบบของเหยื่อโดยใช้ลิงก์ฟิชชิ่ง, ช่องโหว่ zero-day, ช่องโหว่ที่ยังไม่ได้รับ  การแก้ไข และมีการรับซื้อช่องทางสำหรับการเข้าถึงระบบของเหยื่อจากแหล่งต่าง ๆ

โดยกลุ่ม LockBit มีแรงจูงใจทางด้านการเงินเป็นหลัก และใช้เครื่องมือในการขโมยข้อมูล (Data Exfiltration Tool) หลายตัว เช่น Stealbit, rclone, และ MEGA

LockBit และ อุปกรณ์ของ Apple

    นักวิจัยให้ข้อมูลเกี่ยวกับการโจมตี macOS ของ LockBit ภายหลังจากที่มีการโจมตีอุปกรณ์ Windows และ Linux จำนวนมากว่า อาจจะไม่ได้เป็นไปตามแผนที่ทางกลุ่มคาดไว้ เนื่องจากมาตรการรักษาความปลอดภัยบน masOS

   โดย 'locker_Apple_M1_64' มัลแวร์ที่มุ่งเป้าหมายไปที่อุปกรณ์ macOS ซึ่งถูกพบเมื่อวันที่ 15 เมษายนที่ผ่านมา มีไฟล์นามสกุล .lockbit และเป็นมัลแวร์ในรูปแบบ Cryptovirus ซึ่งถูกออกแบบมาเพื่อเข้ารหัสไฟล์ และเปลี่ยนชื่อไฟล์บนอุปกรณ์ macOS โดยมัลแวร์จะโจมตีเหยื่อโดยใช้อีเมลสแปม และไฟล์แนบที่มีมัลแวร์ ซึ่งพบว่า 'locker_Apple_M1_64' เป็นเวอร์ชันที่ยังไม่ค่อยสมบูรณ์ และมีช่องโหว่จำนวนมากที่ทำให้สามารถตรวจจับได้จากอุปกรณ์ด้านความปลอดภัย

 เนื่องจากมัลแวร์ดังกล่าวถูกออกแบบมาเพื่อโจมตีระบบ Windows แต่ภายหลังมีการปรับเปลี่ยนเพื่อใช้ทดสอบกับ macOS นักวิจัยจึงแนะนำให้นักพัฒนาของ Apple สร้างมาตรการด้านความปลอดภัยเพิ่มขึ้น เพื่อเตรียมรับมือกับมัลแวร์ที่อาจจะถูกออกแบบมาเพื่อโจมตีอุปกรณ์ masOS โดยเฉพาะ

Ref : thecyberexpress

QBot ใช้การโจมตีทางอีเมลรูปแบบใหม่โดยใช้ PDF และ WSF เพื่อติดตั้ง Malware (โจมตีฝั่งผู้ใช้งาน)

  Qbot (หรือที่รู้จักกันในชื่อ QakBot) ซึ่งในอดีตถูกใช้เป็น Banking Trojan แต่ต่อมาได้พัฒนาเป็น Malware ที่สามารถใช้เพื่อเข้าถึงเครือข่ายขององค์กร การเข้าถึงทำได้โดยการ dropping payloads เช่น Cobalt Strike, Brute Ratel และ Malware อื่น ๆ ที่ใช้เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงอุปกรณ์ได้

   โดย QBot มีการแพร่กระจายโดยผ่านฟิชชิงด้วยการใช้ไฟล์ PDF และ Windows Script Files (WSF) เพื่อทำการติดตั้ง Malware บน Windows เมื่อสามารถเข้าถึงเครื่องเป้าหมายได้ ผู้ไม่ประสงค์ดีจะทำการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่ายของเป้าหมายเพื่อขโมยข้อมูล และติดตั้ง Ransomware ในที่สุด

    ทาง กลุ่ม ProxyLife และกลุ่ม Cryptolaemus ได้เริ่มบันทึกวิธีการแพร่กระจายผ่านทางอีเมลของ Qbot ซึ่งเป็นการใช้ไฟล์แนบ PDF ที่จะดาวน์โหลดไฟล์ Windows Script เพื่อติดตั้ง Qbot บนอุปกรณ์ของเป้าหมาย

    ถูกเผยแพร่ผ่านอีเมลฟิชชิ่งในลักษณะ reply-chain เมื่อผู้ไม่ประสงค์ดีเข้าถึงอีเมลของเป้าหมายรายใดรายหนึ่งได้ จะใช้วิธีการตอบกลับอีเมลด้วยการแนบลิงก์ หรือไฟล์แนบที่เป็นอันตราย การใช้การตอบกลับอีเมล เป็นการพยายามทำให้อีเมลฟิชชิ่งน่าสงสัยน้อยลง เนื่องจากเป็นการตอบกลับที่ทำให้ดูเป็นอีเมลที่กำลังอยู่ในการสนทนาอยู่ โดยอีเมลฟิชชิงสามารถใช้ภาษาที่หลากหลาย แสดงให้เห็นว่าเป็นสำหรับการกระจาย Malware ได้ทั่วโลก

    โดยสิ่งที่แนบมากับอีเมลเหล่านี้คือไฟล์ PDF ชื่อ 'CancelationLetter-[number].pdf ' ซึ่งเมื่อเปิดแล้วจะแสดงข้อความว่า "เอกสารนี้มีไฟล์ที่มีการป้องกัน หากต้องการแสดง ให้คลิกที่ปุ่ม "Open"

   อย่างไรก็ตามเมื่อเป้าหมายคลิกปุ่มเปิดแล้ว ไฟล์ ZIP ที่ภายในมีไฟล์ Windows Script (wsf) จะถูกดาวน์โหลดมาแทน

    นอกจากไฟล์สคริปต์ของ Windows ที่ลงท้ายด้วยนามสกุล .wsf ยังมี JScript และ VBScript ซึ่งจะถูกเรียกใช้งานเมื่อไฟล์ถูกดับเบิลคลิกอีกด้วย โดยไฟล์ WSF ที่ใช้ในการกระจาย Malware QBot มีความซับซ้อนเป็นอย่างมาก โดยมีเป้าหมายในการเรียกใช้สคริปต์ PowerShell บนเครื่องของเป้าหมาย

    PowerShell สคริปต์ที่จะดำเนินการผ่านไฟล์ WSF จะดาวน์โหลดไฟล์ DLL จาก URL ซึ่งแต่ละ URL จะถูกลองใช้จนกว่าไฟล์จะถูกดาวน์โหลดไปยังโฟลเดอร์ %TEMP% ได้สำเร็จ

   เมื่อ QBot DLL ถูกประมวลผลแล้ว จะเรียกใช้คำสั่ง PING เพื่อตรวจสอบว่ามีการเชื่อมต่ออินเทอร์เน็ตหรือไม่ จากนั้น Malware จะ inject ตัวเองเข้าไปในโปรแกรม Windows wermgr.exe (Windows error Manager) และทำงานอย่างเงียบ ๆ

    การติด Malware QBot สามารถนำไปสู่การโจมตีเพื่อสร้างความเสียหายบนเครือข่ายขององค์กร ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเข้าใจว่า Malware ถูกแพร่กระจายได้อย่างไร

    ปัจจุบันพบว่า Ransomware as a service (RaaS) หลายแห่ง รวมถึง BlackBasta, REvil, PwnLocker, Egregor, ProLock และ MegaCortex ใช้ Malware Qbot เพื่อเข้าถึงเครือข่ายขององค์กรของเป้าหมาย

    นักวิจัยจาก The DFIR Report ระบุว่า QBot ใช้เวลาเพียงประมาณ 30 นาทีในการขโมยข้อมูลที่มีความสำคัญ ภายหลังจากการติด Malware ได้ในครั้งแรก ที่แย่ไปกว่านั้นคือ Malware นี้ใช้เวลาเพียง 1 ชม. ในการแพร่กระจายไปยัง workstation อื่น ๆ ที่อยู่ใกล้เคียงกันได้

  ดังนั้นหากองค์กรติด Malware QBot สิ่งสำคัญคือต้องทำการต้องออฟไลน์ระบบโดยเร็วที่สุด และรีบทำการประเมินเพื่อหาพฤติกรรมที่ผิดปกติอื่น ๆ บนเครือข่าย

Ref : bleepingcomputer