28/06/2567

ตรวจพบการโจมตีรูปแบบใหม่โดยใช้ MSC files และช่องโหว่ Windows XSS เพื่อเข้าถึงเครือข่ายของเป้าหมาย


    พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console
    ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ผู้ไม่ประสงค์ดีต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทนโดยพบว่าผู้ไม่ประสงค์ดีได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows
    ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ผู้ไม่ประสงค์ดีต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files
โดยปัจจุบันผู้ไม่ประสงค์ดีได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools
 จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.dll เพื่อเรียกใช้ Cobalt Strike
    Elastic ได้พบตัวอย่าง ('sccm-updater.msc') ที่ถูกอัปโหลดไปยัง VirusTotal เมื่อวันที่ 6 มิถุนายน 2024 ซึ่งถูกเรียกว่า GrimResource แสดงให้เห็นว่าเทคนิคดังกล่าวได้ถูกใช้ในการโจมตีอย่างแพร่หลาย ทั้งนี้ไม่พบว่ามี antivirus engines บน VirusTotal ตัวใดที่แจ้งว่าไฟล์ดังกล่าวเป็นอันตราย
แม้ว่าแคมเปญนี้จะใช้เทคนิคดังกล่าวเพื่อติดตั้ง Cobalt Strike สำหรับการเข้าถึงเครือข่ายในเบื้องต้น แต่ก็อาจสามารถใช้เพื่อการดำเนินการอื่น ๆ ได้เช่นกัน

GrimResource ทำงานอย่างไร
    การโจมตีที่เรียกว่า GrimResource เริ่มต้นด้วยไฟล์ MSC ที่เป็นอันตรายซึ่งจะพยายามใช้ประโยชน์จากช่องโหว่ DOM-based cross-site scripting (XSS) ในไลบรารี 'apds.dll' ซึ่งช่วยให้สามารถเรียกใช้ JavaScript ได้ตามที่ต้องการผ่าน URL ที่สร้างขึ้น ช่องโหว่ดังกล่าวได้ถูกรายงานไปยัง Adobe และ Microsoft ในเดือนตุลาคม 2018 ซึ่ง Microsoft แจ้งว่ากรณีดังกล่าวไม่ตรงตามเกณฑ์สำหรับการแก้ไขช่องโหว่โดยทันที
    ในเดือนมีนาคม 2019 ช่องโหว่ XSS ยังคงไม่ได้รับการแก้ไข และไม่ชัดเจนว่าได้รับการแก้ไขไปแล้วหรือไม่ โดย BleepingComputer ได้ติดต่อไปยัง Microsoft เพื่อขอคำยืนยันว่าได้แก้ไขช่องโหว่ดังกล่าวไปแล้วหรือไม่ แต่ยังไม่ได้ข้อมูลการตอบกลับ
MSC file อันตราย ที่เผยแพร่โดยผู้โจมตีมีการ reference ถึง APDS resource ที่มีช่องโหว่ในส่วน StringTable section ทำให้เมื่อเป้าหมายเปิดไฟล์อันตรายขึ้นมา MMC จะทำการประมวลผล และดำเนินการ JS ด้วย 'mmc.exe'


    Elastic อธิบายว่าช่องโหว่ XSS สามารถใช้ร่วมกับเทคนิค 'DotNetToJScript' เพื่อรัน .NET code ที่กำหนดเองผ่าน JavaScript engine ได้โดยไม่ผ่านการตรวจสอบจากมาตรการรักษาความปลอดภัยที่มีอยู่
ตัวอย่างการใช้ 'transformNode' เพื่อหลีกเลี่ยงคำเตือนของ ActiveX ในขณะที่โค้ด JS สร้าง VBScript ขึ้นใหม่ที่ใช้ DotNetToJScript เพื่อโหลด .NET component ในชื่อ 'PASTALOADER'


    P   ASTALOADER จะทำการเรียกเพย์โหลด Cobalt Strike จาก environment variables ที่กำหนดโดย VBScript เพื่อสร้าง instance ใหม่ในชื่อ 'dllhost.exe' และ inject โดยใช้เทคนิค 'DirtyCLR' รวมกับ การทำ function unhooking และการทำ system calls


การป้องกัน GrimResource ทั้งนี้ผู้ดูแลระบบควรตรวจสิ่งเหล่านี้:
  • การทำงานของไฟล์ที่เกี่ยวข้องกับ apds.dll ที่ถูกเรียกใช้โดย mmc.exe
  • การดำเนินการที่น่าสงสัยผ่าน MCC โดยเฉพาะ Process ที่สร้างโดย mmc.exe พร้อมด้วย .msc file arguments
  • การจัดสรรหน่วยความจำ RWX โดย mmc.exe ที่มาจาก script engines หรือ .NET components
  • การสร้าง .NET COM object ที่ผิดปกติภายใน script interpreters ที่ไม่ได้มาตรฐาน เช่น JScript หรือ VBScript
  • ไฟล์ Temporary HTML ที่สร้างขึ้นใน INetCache folder อันเป็นผลมาจากการเปลี่ยนเส้นทางของ APDS XSS
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

25/06/2567

รัฐบาลของสหรัฐฯ สั่งห้ามใช้ผลิตภัณฑ์ของ Kaspersky เนื่องจากความเสี่ยงด้านความปลอดภัย


    ทางรัฐบาลของสหรัฐ และ CISA แจ้งเตือนถึงกลุ่มผู้ใช้งานทุกผลิตภัณฑ์ของ Kaspersky ในสหรัฐฯ และให้กำหนดเวลาจนถึงวันที่ 29 กันยายน 2024 เพื่อหาผลิตภัณฑ์หรือซอฟต์แวร์รักษาความปลอดภัยอื่น ๆ มาใช้งานแทน
 ผู้ใช้งานที่ใช้ซอฟต์แวร์รักษาความปลอดภัยของ Kaspersky ในสหรัฐฯ อาจต้องมองหาทางเลือกอื่น เนื่องจากเมื่อวันที่ 20 มิถุนายน 2024 กระทรวงพาณิชย์สหรัฐฯ ได้ประกาศห้ามใช้ซอฟต์แวร์ของ Kaspersky และห้ามบริษัทจากรัสเซียขายผลิตภัณฑ์ด้านความปลอดภัยใด ๆ ในสหรัฐฯ

    การสั่งห้ามเกิดขึ้นหลังจากการสอบสวนโดยสำนักงานอุตสาหกรรม และความมั่นคง (BIS) ของกระทรวงพาณิชย์ ซึ่งพบว่าบริษัท และผลิตภัณฑ์ของ Kaspersky เป็นความเสี่ยงด้านความปลอดภัย เพื่อสนับสนุนการสั่งห้ามครั้งนี้ BIS อ้างถึง "ความเสี่ยงที่ยอมรับไม่ได้ต่อความมั่นคงแห่งชาติของสหรัฐฯ และความปลอดภัยของประชาชน" โดยระบุปัจจัยจากการสอบสวนดังต่อไปนี้
  • Kaspersky อยู่ภายใต้เขตอำนาจ การควบคุม หรือการชี้นำของรัฐบาลรัสเซีย
  • ซอฟต์แวร์ของ Kaspersky ให้อำนาจรัฐบาลรัสเซียเข้าถึงข้อมูลที่สำคัญของลูกค้าในสหรัฐฯ
  • รัสเซียเป็นประเทศคู่ขัดแย้งที่ยังคงคุกคามสหรัฐฯ
  • ซอฟต์แวร์ของ Kaspersky มีความสามารถในการติดตั้งซอฟต์แวร์ที่เป็นอันตราย และพบการไม่อัปเดตช่องโหว่ที่สำคัญ
  • การถูกควบคุมได้ของซอฟต์แวร์ของ Kaspersky โดยเฉพาะที่อยู่ในโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ อาจส่งผลให้เกิดการขโมยข้อมูล สอดแนม และการทำงานที่ผิดพลาดได้
    Kaspersky เคยเป็นที่ต้องสงสัยในสายตาของรัฐบาลสหรัฐฯ เนื่องจากความสัมพันธ์ของบริษัทกับรัฐบาลรัสเซีย และในปี 2017 สหรัฐฯ สั่งห้ามการใช้ผลิตภัณฑ์ของบริษัทในหน่วยงานรัฐบาลทั้งหมด
    อย่างไรก็ตาม การห้ามครั้งนี้เป็นครั้งแรกที่ผลิตภัณฑ์ของ Kaspersky จะไม่สามารถใช้งานในผู้ใช้งานทั่วไป หรือในธุรกิจระดับประเทศได้อีกต่อไป
    ตั้งแต่วันที่ 20 กรกฎาคม Kaspersky และบริษัทในเครือ และบริษัทย่อยจะถูกห้ามขาย หรืออนุญาตให้ใช้ซอฟต์แวร์รักษาความปลอดภัย หรือแอนติไวรัสในสหรัฐฯ โดยตั้งแต่วันที่ 29 กันยายน ผู้ขายจะไม่สามารถขายผลิตภัณฑ์ของ Kaspersky ได้อีกต่อไป ในขณะที่นักพัฒนาผลิตภัณฑ์ของ third-party จะถูกห้าม รวมถึงซอฟต์แวร์ใด ๆ ที่ออกแบบหรือจัดหาโดย Kaspersky
  ในเอกสารของ BIS ระบุผลิตภัณฑ์ของ Kaspersky จำนวน 81 รายการที่ถูกรวมอยู่ในคำสั่งห้าม แต่ผลิตภัณฑ์ และบริการที่ไม่ถูกห้าม ได้แก่ Kaspersky Threat Intelligence, การฝึกอบรมด้านความปลอดภัยของ Kaspersky และบริการที่ปรึกษา และให้คำแนะนำของ Kaspersky
 ข้อจำกัดนี้มีความหมายว่า Kaspersky จะสิ้นสุดบทบาทของในฐานะผู้ให้บริการผลิตภัณฑ์ด้านความปลอดภัยให้แก่ธุรกิจ และผู้บริโภคในสหรัฐฯ แล้ว

    สำหรับลูกค้าปัจจุบัน ตั้งแต่วันที่ 29 กันยายนในสหรัฐฯ Kaspersky จะไม่สามารถให้การอัปเดตซิกเนเจอร์ ,แอนติไวรัส และการอัปเดตโค้ดสำหรับผลิตภัณฑ์ที่ถูกห้ามได้อีกต่อไป
    นอกจากนี้ Kaspersky Security Network ซึ่งทำการวิเคราะห์ภัยคุกคามด้านความปลอดภัย จะไม่สามารถดำเนินการในสหรัฐฯ ได้อีก ทาง BIS ระบุว่ากำหนดเวลาช่วงเดือนกันยายนเพื่อให้ลูกค้าปัจจุบันมีเวลาเพียงพอในการหาผลิตภัณฑ์ และบริการอื่นมาทดแทน
    Kaspersky ตอบสนองต่อคำสั่งห้ามโดยออกแถลงข่าวระบุว่า บริษัทไม่ได้ทำกิจกรรมใด ๆ ที่คุกคามความมั่นคงแห่งชาติของสหรัฐฯ แทนที่จะเป็นเช่นนั้น บริษัทได้ให้การป้องกันต่อภัยคุกคามหลากหลายประเภทที่มุ่งเป้าไปที่ผลประโยชน์ของสหรัฐฯ และพันธมิตร โดย Kaspersky ยังคงตั้งคำถามกับกระบวนการที่ BIS ใช้ในการสอบสวน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

21/06/2567

กลุ่ม Black Basta ransomware กำลังโจมตีช่องโหว่ Zero-Day บน Windows


    ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการที่มีการใช้ช่องโหว่แบบ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows โดยที่ช่องโหว่นี้มีเลข CVE เป็น
  • CVE-2024-26169 (คะแนนความรุนแรง CVSS 7.8/10 ระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024
    โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta
    Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows
การโจมตีช่องโหว่ CVE-2024-26169
    Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot
ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้
    สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.sys ในส่วน security descriptor ที่มีค่า null เมื่อสร้าง registry keys โดย exploit tool จะสร้าง registry keys (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) และตั้งค่า "Debugger" ให้เป็น pathname ที่เรียกทำงานได้ด้วยตัวเอง ทำให้สามารถเปิด shell ด้วยสิทธิ์ SYSTEM ของระบบ


    การค้นพบ exploit tool ของ Symantec ถูกพบตั้งแต่วันที่ 27 กุมภาพันธ์ 2024 ในขณะที่อีกตัวอย่างถูกพบก่อนหน้านี้ในวันที่ 18 ธันวาคม 2023 หมายความว่าการโจมตีช่องโหว่ Zero-Day ดังกล่าวถูกใช้งานมามากกว่า 85 วันก่อนที่ Microsoft จะเปิดเผยช่องโหว่ดังกล่าว
    ในเดือนพฤษภาคม 2024 ทาง CISA และ FBI ได้แจ้งเตือนถึงการโจมตีของกลุ่ม Black Basta กว่า 500 ครั้งนับตั้งแต่เดือนเมษายน 2022 รวมถึงได้มีคำแนะนำการป้องกันโจมตีจากกลุ่ม Black Basta ผู้ดูแลระบบควรอัปเดตความปลอดภัยของ Windows อย่างสม่ำเสมอ และปฏิบัติตามแนวทางด้านความปลอดภัยของ CISA

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

20/06/2567

Malware "More_eggs" แฝงมาใน Resumes โดยมีเป้าหมายเป็นผู้จัดหางาน


    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบการโจมตีแบบฟิชชิ่งที่แพร่กระจาย Malware More_eggs โดยปลอมเป็น Resumes ซึ่งเทคนิคนี้ถูกพบครั้งแรกเมื่อกว่าสองปีที่แล้ว โดยบริษัท eSentire บริษัทรักษาความปลอดภัยทางไซเบอร์ของแคนาดาเปิดเผยเมื่อสัปดาห์ที่แล้วว่า การโจมตีนี้มุ่งเป้าไปที่บริษัทที่ไม่ระบุชื่อในอุตสหกรรมด้านการให้บริการในเดือนพฤษภาคม 2567
    ตามรายงานระบุว่า "บุคคลที่เป็นเป้าหมายคือผู้จัดหางานที่ถูกแฮ็กเกอร์หลอกให้เข้าใจผิดว่าตนเป็นผู้สมัครงาน และหลอกล่อให้พวกเขาเข้าไปที่เว็บไซต์เพื่อดาวน์โหลดMalware"
    ผู้เชี่ยวชาญคาดว่า More_eggs เป็นผลงานของแฮ็กเกอร์ที่รู้จักกันในชื่อ Golden Chickens (หรือที่รู้จักกันในชื่อ Venom Spider) โดยเป็นโมดูล backdoor ที่สามารถเก็บรวบรวมข้อมูลที่มีความสำคัญได้ ซึ่งมันถูกเสนอขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบของ Malware-as-a-Service (MaaS)
    โดยเมื่อปีที่แล้ว eSentire ได้เปิดเผยตัวตนของบุคคลสองคนที่คาดว่าเป็นผู้ดำเนินการวิธีการโจมตีนี้
รูปแบบการโจมตีล่าสุดผู้โจมตีใช้วิธีการตอบกลับโพสต์งานบน LinkedIn ด้วยลิงก์ไปยังเว็บไซต์ดาวน์โหลด Resumes ปลอมที่จะดาวน์โหลดไฟล์ Windows Shortcut (LNK) ที่เป็นอันตราย
เป็นที่น่าสังเกตว่าพฤติกรรมของ More_eggs คือมุ่งเป้าการโจมตีไปที่ผู้เชียวชาญจัดหางานบน LinkedIn เพื่อหลอกล่อให้พวกเขาดาวน์โหลดMalware
    eSentire ระบุว่า "หากลองเข้าไปยัง URL เดิมในวันถัดไป จะนำไปสู่ Resumes ของบุคคลนั้น ๆ ในรูปแบบ HTML ธรรมดา โดยจะไม่มีการเปลี่ยนเส้นทาง หรือการดาวน์โหลดใด ๆ"
    ไฟล์ LNK ถูกนำมาใช้เพื่อโหลด DLL ที่เป็นอันตรายโดยใช้ประโยชน์จากโปรแกรมบน Microsoft ที่มีชื่อว่า ie4uinit.exe หลังจากนั้น library จะถูกเรียกใช้โดย regsvr32.exe เพื่อสร้างการฝังตัวเพื่อเก็บรวบรวมข้อมูลของโฮสต์ที่ติดMalware และวาง payload เพิ่มเติม รวมถึง JavaScript ของ More_eggs backdoor
    eSentire ระบุว่า "วิธีการโจมตีของ More_eggs นี้ยังคงมีการดำเนินการอยู่ และผู้ใช้งานยังคงใช้วิธีการ social engineering เช่น การปลอมเป็นผู้สมัครงานที่ต้องการตำแหน่งาน และหลอกล่อเหยื่อ (โดยเฉพาะผู้จัดหางาน) ให้ดาวน์โหลดMalwareของพวกเขา"
    "นอกจากนี้วิธีการโจมตีของ More_eggs ที่ใช้รูปแบบ MaaS ดูเหมือนจะเป็นการโจมตีที่เลือกเป้าหมายเฉพาะเจาะจง เมื่อเปรียบเทียบกับเครือข่ายการแพร่กระจายMalwareสแปมทั่วไป"
การพัฒนาดังกล่าวเกิดขึ้นภายหลังจากที่บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของวิธีการโจมตี drive-by download ที่ใช้เว็บไซต์ปลอมเพื่อใช้เครื่องมือ KMSPico Windows activator ในการแพร่กระจาย Vidar Stealer


    eSentire ระบุว่า "เว็บไซต์ kmspico[.]ws โฮสต์อยู่ที่เบื้องหลัง Cloudflare Turnstile ทำให้ต้องมีการกรอกข้อมูลจากมนุษย์ก่อน (การกรอกรหัส) เพื่อดาวน์โหลดไฟล์ ZIP สุดท้าย ซึ่งขั้นตอนเหล่านี้ไม่ปกติสำหรับหน้าดาวน์โหลดแอปพลิเคชันที่ถูกต้อง และถูกทำขึ้นเพื่อซ่อนหน้าเว็บ และ payload สุดท้ายจากโปรแกรมรวบรวมข้อมูลอัตโนมัติของผู้เชี่ยวชาญ"
    Trustwave SpiderLabs ระบุเมื่อสัปดาห์ที่แล้วว่า วิธีการโจมตี social engineering ในลักษณะที่คล้ายกัน มีการใช้งานเว็บไซต์ที่ดูเหมือนจะเป็นซอฟต์แวร์ที่ถูกต้อง เช่น Advanced IP Scanner เพื่อแพร่กระจาย Cobalt Strike
    นอกจากนี้ยังพบการใช้งานเครื่องมือฟิชชิ่งใหม่ที่ชื่อว่า V3B ที่ถูกนำมาใช้เพื่อโจมตีลูกค้าของธนาคาร European Union โดยมีเป้าหมายขโมยข้อมูล credentials และรหัสผ่านที่ใช้แบบครั้งเดียว (OTP)
ชุดเครื่องมือนี้ถูกเสนอให้เช่าในราคา $130-$450 ต่อเดือน ผ่านรูปแบบของ Phishing-as-a-Service (PhaaS) ผ่านทาง dark web และช่องทาง Telegram ที่ถูกสร้างขึ้นโดยเฉพาะตั้งแต่เดือนมีนาคม 2023 มันถูกออกแบบมาเพื่อรองรับธนาคารมากกว่า 54 แห่งที่ตั้งอยู่ในประเทศออสเตรีย เบลเยียม ฟินแลนด์ ฝรั่งเศส เยอรมนี กรีซ ไอร์แลนด์ อิตาลี ลักเซมเบิร์ก และเนเธอร์แลนด์
    สิ่งที่สำคัญที่สุดของ V3B คือมี template ที่ปรับแต่ง และใช้ภาษาท้องถิ่นเพื่อจำลองกระบวนการตรวจสอบ และการยืนยันต่าง ๆ ที่เป็นที่นิยมในระบบธนาคารออนไลน์ (online banking) และระบบ e-commerce ในภูมิภาคนั้น
 นอกจากนี้ยังมีความสามารถขั้นสูงในการสื่อสารกับเหยื่อแบบเรียลไทม์ และรับรหัส OTP และรหัส PhotoTAN โดยใช้ความสามารถในการโจมตีแบบ QRLJacking (หรือที่เรียกว่าการโจมตีแบบ QR code login jacking) ในบริการต่าง ๆ เช่น WhatsApp ที่อนุญาตให้เข้าสู่ระบบผ่าน QR code
โดย Resecurity ระบุว่า "ผู้โจมตีได้มุ่งเป้าหมายไปที่สถาบันการเงินยุโรป และคาดว่ามีอาชญากรไซเบอร์หลายร้อยคนใช้ชุดเครื่องมือนี้เพื่อทำการหลอกเอาเงินจากบัญชีของเหยื่อ"

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

14/06/2567

PHP แก้ไขช่องโหว่ RCE ระดับ Critical ที่ส่งผลกระทบต่อ Windows ทุกเวอร์ชัน


PHP ออกอัปเดตเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution     (RCE)) บน Windows ซึ่งส่งผลกระทบตั้งแต่เวอร์ชัน 5.x และอาจส่งผลกระทบต่อเซิร์ฟเวอร์จำนวนมากทั่วโลก
    PHP เป็น open-source scripting language ที่ใช้กันอย่างแพร่หลาย โดยถูกออกแบบมาเพื่อการพัฒนาเว็บ และใช้กันทั่วไปบนเซิร์ฟเวอร์ทั้งบน Windows และ Linux
  • CVE-2024-4577 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่เกิดจากการจัดการ character encoding โดยเฉพาะฟีเจอร์ 'Best-Fit' บน Windows เมื่อใช้ PHP ในโหมด CGI
    ทำให้ผู้ไม่ระสงค์ดีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถเลี่ยงการป้องกันของช่องโหว่ CVE-2012-1823 ก่อนหน้านี้ ด้วย character ที่เฉพาะเจาะจง ทำให้สามารถดำเนินการได้บน PHP servers ผ่านการโจมตีแบบ argument injection attack ซึ่งช่องโหว่ถูกค้นพบโดย Orange Tsai ผู้เชี่ยวชาญด้ารความปลอดภัยด้านความปลอดภัยของ Devcore Principal เมื่อวันที่ 7 พฤษภาคม 2024 และได้รายงานช่องโหว่ให้แก่นักพัฒนา PHP ในเวลาต่อมา
   ช่องโหว่ CVE-2024-4577 ส่งผลกระทบต่อ PHP ทุกเวอร์ชันบน Windows หากผู้ใช้งานใช้ PHP 8.0 (End of Life), PHP 7.x (End of Life) หรือ PHP 5.x (End of Life) ควรอัปเดตให้เป็นเวอร์ชันที่ใหม่กว่า หรือใช้วิธีการลดผลกระทบของช่องโหว่
    ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า แม้ว่า PHP จะไม่ได้ใช้งาน CGI mode แต่ช่องโหว่ CVE-2024-4577 ก็อาจยังคงสามารถถูกโจมตีได้ ตราบใดที่ไฟล์ปฏิบัติการ PHP (เช่น php.exe หรือ php-cgi.exe) อยู่ในไดเร็กทอรีที่สามารถเข้าถึงได้โดย web server และเนื่องจากการกำหนดค่าเริ่มต้นบน XAMPP สำหรับ Windows ทำให้ XAMPP ทั้งหมดบน Windows มีแนวโน้มว่าจะมีความเสี่ยงต่อช่องโหว่ดังกล่าว
รวมถึงปัญหาจะมากยิ่งขึ้นเมื่อมีการใช้ encoding ที่มีความเสี่ยง เช่น Traditional Chinese, Simplified Chinese และ Japanese
    ขณะนี้มีการออกอัปเดตเพื่อแก้ไขช่องโหว่ CVE-2024-4577 แล้ว รวมถึงปัจจุบันได้มีการเปิดเผยชุดสาธิตการโจมตี (PoC) ออกมาแล้ว และปัจจุบัน Shadowserver Foundation ได้ตรวจพบ IP addresses หลายรายการที่กำลังสแกนหาเซิร์ฟเวอร์ที่มีช่องโหว่ดังกล่าว จึงแจ้งเตือนให้ผู้ดูแลระบบทำการอัปเดตให้เป็นเวอร์ชัน PHP 8.3.8, PHP 8.2.20 และ PHP 8.1.29 เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

การลดผลกระทบช่องโหว่ CVE-2024-4577
    สำหรับระบบที่ไม่สามารถอัปเดตได้ทันที และผู้ใช้เวอร์ชันที่ End of Life ไปแล้ว แนะนำให้ใช้ mod_rewrite rule เพื่อป้องกันการโจมตี ดังต่อไปนี้:
  • RewriteEngine On
  • RewriteCond %{QUERY_STRING} ^%ad [NC]
  • RewriteRule .? – [F,L]
    หากผู้ดูแลระบบใช้ XAMPP และไม่ต้องการฟีเจอร์ PHP CGI ให้ค้นหาคำสั่ง 'ScriptAlias' ใน Apache configuration file (โดยทั่วไปจะอยู่ที่ 'C:/xampp/apache/conf/extra/httpd-xampp.conf') และ comment บรรทัดดังกล่าวออกไป
    ผู้ดูแลระบบสามารถระบุได้ว่าตนใช้ PHP-CGI หรือไม่ โดยใช้ฟังก์ชัน phpinfo() และตรวจสอบค่า 'Server API' ในเอาต์พุต นอกจากนี้ยังแนะนำให้ผู้ดูแลระบบพิจารณาย้ายจาก CGI ไปยังทางเลือกที่ปลอดภัยกว่า เช่น FastCGI, PHP-FPM และ Mod-PHP

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

12/06/2567

ช่องโหว่ร้ายแรงใน Veeam Backup Enterprise Manager ที่ถูกเปิดเผย

 


            มีช่องโหว่ร้ายแรง (CVE-2024-29849) ใน Veeam Backup Enterprise Manager (VBEM) ช่องโหว่นี้ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีเข้าควบคุม VBEM โดยไม่ต้องใช้รหัสผ่าน ซึ่งหมายความว่าผู้ไม่ประสงค์ดีสามารถลบหรือทำลายการสำรองข้อมูล ขโมยข้อมูลสำคัญ และติดตั้งมัลแวร์บนระบบ
รายละเอียดช่องโหว่ Veeam Backup Enterprise Manager (VBEM)

            นักวิจัยด้านความปลอดภัยไซเบอร์ Sina Kheirkha ได้อธิบายรายละเอียดทางเทคนิคของช่องโหว่นี้ ดังนี้

            บริการที่ได้รับผลกระทบ

                        'Veeam.Backup.Enterprise.RestAPIService.exe' - บริการนี้ทำงานบนพอร์ต TCP 9398 ทำหน้าที่เป็นเซิร์ฟเวอร์ REST API สำหรับเว็บแอปพลิเคชันหลักของ VBEM

            วิธีการโจมตี

                        ผู้ไม่ประสงค์ดีใช้ Veeam API เพื่อส่ง Token พิเศษเลียนแบบการรับรองความถูกต้องแบบ single-sign-on (SSO) ของ VMware ไปยังบริการ VBEM ที่มีช่องโหว่

            Token ปลอม ประกอบด้วยสองส่วน

                        คำขออนุญาตปลอมแปลงเป็นผู้ดูแลระบบ

                        URL ของบริการ SSO ซึ่ง Veeam ไม่ได้ตรวจสอบความถูกต้อง

            การยืนยันปลอม

                        Token ที่เข้ารหัสแบบ base64 จะถูกถอดรหัสและแปลงเป็นรูปแบบ XML

                        ระบบ VBEM จะส่งคำขอ SOAP ไปยัง URL ที่ผู้ไม่ประสงค์ดีควบคุม เพื่อยืนยันความถูกต้องของ Token

                        เซิร์ฟเวอร์ปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้น จะตอบกลับคำขอว่าถูกต้องเสมอ



        ผลของการโจมตี

                        เนื่องจากได้รับการตอบกลับยืนยันปลอม VBEM จึงยอมรับ Token และอนุญาตสิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ไม่ประสงค์ดี

            ตัวอย่างการโจมตี

                        บทความวิจัยของ Kheirkha สาธิตขั้นตอนการโจมตีทั้งหมด รวมถึงการตั้งค่าเซิร์ฟเวอร์ปลอม การส่ง Token ปลอม, และการดึงรายการเซิร์ฟเวอร์ไฟล์เพื่อเป็นหลักฐานความสำเร็จ

การรับมือกับช่องโหว่ Veeam Backup Enterprise Manager (VBEM)

                        แม้ว่ายังไม่มีรายงานการโจมตีช่องโหว่นี้ (CVE-2024-29849) ในระบบจริง แต่การที่มีวิธีการโจมตีเผยแพร่สาธารณะ ก็มีความเสี่ยงที่สถานการณ์จะเปลี่ยนแปลงเร็วๆ นี้ ดังนั้น การอัปเดต Veeam Backup Enterprise Manager (VBEM) เป็นเวอร์ชัน 12.1.2.172 หรือใหม่กว่า

            สำหรับผู้ดูแลระบบที่ไม่สามารถอัปเดต VBEM ทันที ควรปฏิบัติตามคำแนะนำเหล่านี้

            จำกัดการเข้าถึงเว็บอินเตอร์เฟส VBEM

                        อนุญาตให้เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้นเข้าถึง VBEM ผ่านการกำหนดค่าเครือข่าย

            ใช้ Policy Firewall  

                        ตั้งค่ากฎเพื่อบล็อกการเข้าถึงพอร์ตที่บริการ Veeam ใช้ เช่น พอร์ต 9398 สำหรับ REST API

            เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA)

                        กำหนดให้บัญชีผู้ใช้ทั้งหมดที่เข้าถึง VBEM ต้องใช้ MFA เพื่อเพิ่มความปลอดภัย

            ใช้ Web Application Firewall (WAF)

                        ติดตั้ง WAF เพื่อช่วยตรวจจับและบล็อกการโจมตีที่มุ่งเป้าไปยัง VBEM

            ตรวจสอบบันทึกการเข้าถึง

                         ตรวจสอบบันทึกการเข้าถึง VBEM อย่างสม่ำเสมอเพื่อหาความพยายามเข้าถึงที่น่าสงสัยหรือไม่ได้รับอนุญาต ตั้งค่าการแจ้งเตือนเมื่อมีการพยายามเข้าสู่ระบบจากที่อยู่ IP ที่ไม่น่าเชื่อถือ

            แยกเซิร์ฟเวอร์ VBEM

                        แยกเซิร์ฟเวอร์ VBEM ออกจากระบบสำคัญอื่นๆ ภายในเครือข่าย เพื่อลดความเสี่ยงกรณีผู้โจมตีสามารถเข้าถึง VBEM แล้วแพร่กระจายไปยังระบบอื่นๆ

โดยสรุป: ช่องโหว่นี้เกี่ยวข้องกับการปลอมแปลง Token  SSO เพื่อหลอกระบบ VBEM ให้ยอมรับและอนุญาตสิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ไม่ประสงค์ดี และการอัปเดต VBEM เป็นวิธีการป้องกันที่ดีที่สุด แต่หากยังไม่สามารถอัปเดตได้ ควรปฏิบัติตามคำแนะนำเหล่านี้เพื่อลดความเสี่ยง



Ref : bleepingcomputer


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

Patch Tuesday ของ Microsoft ประจำเดือน มิถุนายน 2567


แพทช์วันอังคารประจำเดือนมิถุนายน 2567 ของ Microsoft ที่ได้ทำการอับเดตความปลอดภัยสำหรับช่องโหว่ถึง 51 รายการ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล RCE จำนวน 18 รายการ และช่องโหว่แบบ Zero-day ที่ถูกเปิดเผยอีก 1 รายการ
รายละเอียดการอัปเดตความปลอดภัยของ Microsoft ของ RCE จำนวน 18 รายการแต่มีเพียง 1 รายการที่มีความเสี่ยงร้ายแรงรายการนั้นคือ
ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Microsoft Message Queuing (MSMQ)
  • รายการอื่น ๆ ตามหมวดต่าง ๆ ดังนี้:
  • 25 Elevation of Privilege Vulnerabilities
  • 18 Remote Code Execution Vulnerabilities
  • 3 Information Disclosure Vulnerabilities
  • 5 Denial of Service Vulnerabilities
หากต้องการศึกษารายละเอียดการอัปเดตในด้านอื่น ๆ ที่ไม่เกี่ยวข้องกับความปลอดภัยสามารถศึกษาได้ที่:
Zero-day ที่แก้ไขในรอบนี้
Keytrap (Link) ในโปรโตคอล DNS ที่ Microsoft ได้แก้ไขในรอบนี้แล้ว
ถูกระบุเป็นเลข CVE-2023-50868 MITRE: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU หรือการใช้ DNSSEC เรียกใช้งานระบบมากเกินไปทำให้เกิดการปฏิเสธการให้บริการ

ส่วนการอัปเดทอื่น ๆ จากทาง Microsoft ที่น่าสนใจคือ การเรียกใช้งานจากระยะไกลของ Microsoft Office และ Outlooks RCEs การแก้ไขการยกระดับสิทธิ์ใน Windows Kernel อีก 7 รายการ
การอัปเดทจากผู้ผลิตอื่น ๆ
- Apple แก้ไขข้อบกพร่องใน VisionOS 1.2
- Cisco แก้ไขความปลอดภัยของ Cisco Finesse และ Webex (Link)
- PHP แก้ไขข้อบกพร่องของ RCE (Link)
- VMware แก้ไขข้อบกพร่องแบบ Zero-Day 3 รายการ (Link)


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

10/06/2567

Microsoft ประกาศยุติการใช้งาน New Technology LAN Manager (NTLM) authentication บน Windows


    Microsoft ประกาศยุติการให้บริการ authentication ผ่าน NTLM บน Windows server อย่างเป็นทางการ โดยระบุว่าจะเปลี่ยนไปใช้การ authentication ผ่าน Kerberos หรือ Negotiation แทน เพื่อแก้ไขปัญหาการโจมตีผ่าน NTLM
    New Technology LAN Manager หรือที่รู้จักกันดีในชื่อ NTLM เป็น authentication protocol ที่เปิดตัวครั้งแรกในปี 1993 โดยเป็นส่วนหนึ่งของ Windows NT 3.1 และเป็นตัวแทนของ LAN Manager (LM) protocol
    โดย NTLM ได้ถูกใช้งานอย่างแพร่หลายจนถึงปัจจุบัน ซึ่ง Microsoft ประกาศว่า NTLM จะไม่ได้รับการพัฒนาอีกต่อไปในเดือนมิถุนายน 2024 และจะค่อย ๆ ยุติการใช้งานลง เพื่อรองรับทางเลือกอื่น ๆ ที่มีความปลอดภัยยิ่งขึ้น ภายในเดือนตุลาคม 2024 ซึ่ง Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปใช้ Kerberos authentication และระบบการ authentication อื่น ๆ เช่น Negotiate
  เนื่องจาก NTLM มักถูกผู้ใช้งานนำไปใช้ในการโจมตีที่เรียกว่า 'NTLM Relay Attacks' ซึ่งจะทำให้ Windows domain controller ถูกเข้าควบคุม โดยการบังคับให้ทำการ authentication กับเซิร์ฟเวอร์ที่เป็นอันตราย แม้ว่า Microsoft จะมีการเปิดตัวมาตรการใหม่เพื่อป้องกันการโจมตีเหล่านั้น เช่น SMB security signing แต่การโจมตี NTLM ก็ยังคงเกิดขึ้น
    ตัวอย่างการโจมตี เช่น การขโมย password hash และนำมาใช้ในการโจมตีแบบ "pass-the-hash", การโจมตีแบบฟิชชิ่ง และการดึงข้อมูลโดยตรงจาก Active Directory database หรือหน่วยความจำของเซิร์ฟเวอร์ รวมไปถึงผู้ใช้งานยังสามารถ crack password hash เพื่อทำให้ได้รหัสผ่านแบบ plaintext ของผู้ใช้ได้ เนื่องจากวิธีการเข้ารหัสที่ไม่ดีพอ
    Microsoft จึงได้แนะนำให้เปลี่ยนไปใช้ protocol ที่มีความปลอดภัยกว่า เช่น Kerberos ที่มีการเข้ารหัสที่ดีกว่า

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

07/06/2567

Ransomware Target Company เวอร์ชัน Linux มุ่งเป้าโจมตีไปที่ VMware ESXi

        


        นักวิจัยพบ Ransomware TargetCompany เวอร์ชันใหม่บนระบบ Linux ที่มุ่งโจมตี VMware ESXi โดยใช้ Shell Script เพื่อส่งผ่านข้อมูลและวางไฟล์ข้อมูลที่เครื่องเป้าหมาย

        ผู้ไม่ประสงค์ดีที่ใช้ Ransomware TargetCompany  โจมตีนั้นยังเป็นที่รู้จักในชื่อ  Mallox, FARGO  และ  Tohnichi  ปรากฏตัวขึ้นในเดือนมิถุนายน 2021 โดยมุ่งโจมตีฐานข้อมูล MySQL, Oracle, SQL Server ขององค์กรต่างๆ ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

        ในเดือนกุมภาพันธ์ 2022 บริษัทรักษาความปลอดภัย AvastAvast ประกาศแจกฟรีเครื่องมือถอดรหัสสำหรับ Ransomware เวอร์ชันต่างๆ ที่ออกก่อนหน้านั้น แต่ถึงเดือนกันยายน กลุ่มโจมตีก็กลับมาโจมตีอีกครั้ง มุ่งเป้าไปยังเซิร์ฟเวอร์ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อว่าจะปล่อยข้อมูลที่ขโมยไปผ่าน Telegram

Ransomware Target Company เวอร์ชันใหม่บน Linux

        บริษัทด้านความปลอดภัยไซเบอร์  Trend Micro  รายงานว่า Ransomware TargetCompany  เวอร์ชันใหม่บน  Linux  จะตรวจสอบสิทธิ์การเป็นผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีต่อ ผู้ไม่หวังดีใช้เขียน Script ไฟล์เพื่อดาวน์โหลดและรันเพย์โหลดของ Ransomware โดย Script นี้ยังสามารถขโมยข้อมูลไปยังเซิร์ฟเวอร์แยกต่างหากสองเครื่อง เพื่อป้องกันกรณีมีปัญหาทางเทคนิคกับเครื่องเป้าหมาย หรือกรณีเครื่องเป้าหมายถูกโจมตี


        เมื่อเข้าสู่ระบบเป้าหมายแล้ว เพย์โหลดจะตรวจสอบว่ามีระบบ VMware ESXi หรือไม่ โดยใช้คำสั่ง uname และค้นหาคำว่า "vmkernel" จากนั้น จะสร้างไฟล์ "TargetInfo.txt" และส่งไปยังเซิร์ฟเวอร์ควบคุม (C2) ไฟล์นี้มีข้อมูลของเหยื่อ เช่น ชื่อโฮสต์, ที่อยู่ IP, รายละเอียดระบบปฏิบัติการ, ผู้ใช้ที่เข้าสู่ระบบและสิทธิ์, และรายละเอียดเกี่ยวกับไฟล์และไดเร็กทอรี่ที่ถูกเข้ารหัส

        Ransomware จะเข้ารหัสไฟล์ที่มีนามสกุลเกี่ยวข้องกับ VM (vmdk, vmem, vswp, vmx, vmsn, nvram) โดยจะต่อด้วยนามสกุล “.locked” กับไฟล์ที่ถูกเข้ารหัส

        สุดท้าย Ransomware จะวางไฟล์เรียกค่าไถ่ชื่อ “HOW TO DECRYPT.txt” ซึ่งมีคำแนะนำสำหรับเหยื่อเกี่ยวกับวิธีจ่ายค่าไถ่และรับคีย์ถอดรหัสที่ถูกต้อง หลังจากดำเนินการทั้งหมดเสร็จสิ้น สคริปต์เชลล์จะลบเพย์โหลดโดยใช้คำสั่ง rm -f x เพื่อลบร่องรอยทั้งหมดที่อาจใช้ในการตรวจสอบเหตุการณ์หลังการโจมตีออกจากเครื่องที่ได้รับผลกระทบ

 


ข้อมูลเพิ่มเติมจากนักวิเคราะห์ของ Trend Micro

        นักวิเคราะห์ของ  Trend Micro  เชื่อว่า การโจมตีด้วย  Ransomware TargetCompany สายพันธุ์  Linux  ใหม่นี้เป็นฝีมือของผู้ร่วมขบวนการชื่อ “vampire” ซึ่งน่าจะเป็นคนเดียวกับที่ปรากฏในรายงานของ Sekoia เมื่อเดือนที่แล้ว

        ที่อยู่ IP ที่ใช้สำหรับส่งเพย์โหลดและรับไฟล์ข้อความที่มีข้อมูลของเหยื่อนั้น ถูกติดตามไปยังผู้ให้บริการอินเทอร์เน็ต (ISP) ในประเทศจีน อย่างไรก็ตาม ข้อมูลนี้ยังไม่เพียงพอที่จะระบุแหล่งที่มาของผู้โจมตีได้อย่างแม่นยำ

        Ransomware TargetCompany มุ่งโจมตีเครื่อง Windows แต่การเปิดตัวสายพันธุ์ Linux และการเปลี่ยนไปโจมตีและเข้ารหัสเครื่อง VMware ESXi แสดงให้เห็นถึงวิวัฒนาการของกลุ่มโจมตี

คำแนะนำจาก Trend Micro

        Trend Micro แนะนำให้เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA), สำรองข้อมูล, และอัปเดตระบบให้เป็นเวอร์ชันล่าสุด นักวิจัยยังให้รายการตัวบ่งชี้การรั่วไหล (Indicators of Compromise: IOC) พร้อมค่าแฮช (Hash) สำหรับ Ransomware เวอร์ชัน Linux, สคริปต์เชลล์แบบกำหนดเอง และตัวอย่างที่เกี่ยวข้องกับผู้ร่วมขบวนการ "vampire"


Ref: bleepingcomputer


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

04/06/2567

GhostEngine mining Malware ที่มีความสามารถในการสั่ง "หยุดการทำงานของ EDR โดยใช้ไดรเวอร์ที่มีช่องโหว่"


    รูปแบบการโจมตีของ Malware แบบขุดคริปโตเคอเรนซีที่มีชื่อว่า 'REF4578' ถูกพบว่ากำลังพยายามใช้ Pay load ที่เป็นอันตรายในชื่อ GhostEngine ซึ่งมีการใช้ไดรเวอร์ที่มีช่องโหว่เพื่อปิดการทำงานของอุปกรณ์ป้องกันด้านความปลอดภัย และติดตั้ง XMRig miner
    นักวิจัยจาก Elastic Security Labs เป็นผู้รายงานถึงความซับซ้อนของการโจมตีจาก Malware ขุดคริปโตเคอเรนซีเหล่านี้ เพื่อช่วยให้ผู้ใช้งานสามารถระบุ และหยุดการโจมตีเหล่านั้นได้อย่างทันท่วงที
อย่างไรก็ตาม ยังไม่มีรายงานที่ระบุว่าพฤติกรรมดังกล่าวมาจากกลุ่มผู้ไม่ประสงค์ดีกลุ่มใด และยังไม่มีการเผยรายละเอียดของเหยื่อ ดังนั้นจึงทำให้ยังไม่ทราบที่มา และขอบเขตของรูปแบบการโจมตี

GhostEngine
    ยังไม่เป็นที่แน่ชัด ว่าผู้ไม่ประสงค์ดีเข้าถึง และ โจมตีบนเครื่องแม่ข่ายได้อย่างไร แต่การโจมตีของผู้ไม่ประสงค์ดีเริ่มต้นด้วยการเรียกใช้ไฟล์ชื่อ 'Tiworker.exe' ซึ่งปลอมเป็นไฟล์บน Windows ที่ดูปกติ โดยไฟล์ปฏิบัติการนี้เป็นเพย์โหลดเริ่มต้นสำหรับ GhostEngine ซึ่งเป็นสคริปต์ PowerShell ที่จะดาวน์โหลดโมดูลต่าง ๆ เพื่อดำเนินการลักษณะการทำงานที่แตกต่างกันบนอุปกรณ์ที่ติด Malware 
  เมื่อ Tiworker.exe เมื่อถูกเรียกใช้งานจะดาวน์โหลดสคริปต์ PowerShell ชื่อ 'get.png' จากเซิร์ฟเวอร์ command and control (C2) ของผู้ไม่ประสงค์ดี ซึ่งทำหน้าที่เป็น loader หลักของ GhostEngine สคริปต์ PowerShell นี้จะดาวน์โหลดโมดูลเพิ่มเติม และการตั้งค่าการปิดใช้งาน Windows Defender, เปิดใช้งาน remote services และลบ Windows event logs ต่าง ๆ จากนั้น get.png จะตรวจสอบว่าระบบมีพื้นที่ว่างอย่างน้อย 10 เมกะไบต์หรือไม่ ซึ่งจะจำเป็นสำหรับการโจมตีต่อไป โดยมันจะสร้าง scheduled tasks ชื่อ OneDriveCloudSync, DefaultBrowserUpdate และ OneDriveCloudBackup


    จากนั้นสคริปต์ PowerShell จะดาวน์โหลด และเรียกใช้งานไฟล์ smartsscreen.exe ซึ่งทำหน้าที่เป็นเพย์โหลดหลักของ GhostEngine
    Malware นี้มีหน้าที่สำคัญในการหยุดการทำงาน และลบซอฟต์แวร์ EDR ออกไป รวมถึงการดาวน์โหลด และเรียกใช้งาน XMRig เพื่อทำการขุดคริปโตเคอเรนซี โดยหากต้องการหยุดการทำงานของซอฟต์แวร์ EDR นั้น GhostEngine จะโหลด kernel drivers ที่มีช่องโหว่สองตัว ได้แก่ aswArPots.sys (ไดรเวอร์ Avast) ซึ่งใช้เพื่อหยุดการทำงานของ EDR process และ IObitUnlockers.sys (ไดรเวอร์ Iobit) เพื่อลบไฟล์ปฏิบัติการที่เกี่ยวข้อง


รายการ Process ที่เป็นเป้าหมายในการหยุดการทำงานของ EDR มีดังนี้
    DLL ที่ชื่อว่า 'oci.dll' จะถูกโหลดโดย Windows service ชื่อ 'msdtc' เมื่อเริ่มทำงาน DLL นี้จะดาวน์โหลดสำเนาใหม่ของ 'get.png' เพื่อติดตั้ง GhostEngine เวอร์ชันล่าสุดบนเครื่อง
แม้ว่าทีม Elastic จะพบว่า Wallet ID ของ Malware ดังกล่าวทำเงินจากการขุดคริปโตเคอเรนซีได้ไม่มากนัก แต่ก็เป็นไปได้ที่เหยื่อแต่ละรายจะมี wallet ที่ไม่ซ้ำกัน ดังนั้นจำนวนเงินโดยรวมของการขุดคริปโตของ Malware อาจมีจำนวนมากกว่าที่เห็น


การป้องกัน GhostEngine
    นักวิจัยแนะนำให้ผู้ใช้งานระวังการทำงานของ PowerShell ที่น่าสงสัย, พฤติกรรมที่ผิดปกติ และการรับส่งข้อมูลบนเครือข่ายที่ชี้ไปยัง crypto-mining pools นอกจากนี้การพบการใช้ไดรเวอร์ที่มีช่องโหว่ และการสร้าง kernel mode services ควรถือว่าเป็นพฤติกรรมที่เป็นอันตรายไว้ก่อน    มาตรการเชิงรุกคือการบล็อกการสร้างไฟล์จากไดรเวอร์ที่มีช่องโหว่ เช่น aswArPots.sys และ IobitUnlockers.sys และปรับใช้ YARA rules ในรายงานเพื่อช่วยระบุการติด Malware  GhostEngine

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)