แสดงบทความที่มีป้ายกำกับ WinRAR แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ WinRAR แสดงบทความทั้งหมด

24/10/2566

Google พบกลุ่ม Hacker ชาวรัสเซีย และจีนเกี่ยวข้องกับการโจมตีช่องโหว่ของ WinRAR


    Google เผยแพร่รายงานการพบกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย
WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน
    Threat Analysis Group (TAG) ของ Google ซึ่งเป็นทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Google พบกลุ่ม ผู้ไม่ประสงค์ดี ที่ได้รับการสนับสนุนจากรัฐบาลหลายประเทศกำลังมุ่งเป้าการโจมตีไปที่ช่องโหว่ WinRAR รวมถึงกลุ่ม ผู้ไม่ประสงค์ดี Sandworm, APT28 และ APT40 จากรัสเซีย และจีน
โดย TAG ระบุว่า แม้ว่าทาง Microsoft จะออกแพตซ์อัปเดตช่องโหว่ของ WinRAR มาแล้ว แต่ยังพบว่ามีผู้ใช้งานจำนวนมากที่ยังคงไม่ได้ทำการอัปเดต รวมถึงกลุ่ม ผู้ไม่ประสงค์ดี ที่ได้รับการสนับสนุนจากรัฐบาล ก็ใช้ช่องโหว่นี้เป็นส่วนหนึ่งของขั้นตอนการโจมตี

ช่องโหว่ zero-day ของ WinRAR ถูกใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023
    ช่องโหว่ zero-day ของ WinRAR (CVE-2023-38831) ถูกพบการโจมตีมาตั้งแต่เดือนเมษายน 2023 ทำให้ ผู้ไม่ประสงค์ดี สามารถเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมายได้ โดยหลอกให้เป้าหมายเปิดไฟล์ RAR และ ZIP อันตราย ซึ่งมี booby-trapped decoy files อยู่ รวมถึงได้ถูกนำไปใช้ในการโจมตีควบคู่กับเพย์โหลดมัลแวร์อื่น ๆ เช่น DarkMe, GuLoader และ Remcos RAT


    นักวิจัยจาก Group-IB พบการมุ่งเป้าหมายการโจมตีไปยังฟอรัมการซื้อขาย cryptocurrency, หลักทรัพย์ และหุ้น โดย ผู้ไม่ประสงค์ดี ได้ปลอมตัวเป็นสมาชิก และทำการแบ่งปันกลยุทธ์การซื้อขายกับเป้าหมาย โดยหลังจากการค้นพบของ Group-IB ก็ได้เริ่มมีการเผยแพร่ชุดสาธิตการโจมตีหรือ PoC บน GitHub repositories ที่ทาง TAG ของ Google เรียกว่า "testing activity CVE-2023-38831" โดยกลุ่ม ผู้ไม่ประสงค์ดี ที่มีแรงจูงใจทางการเงิน และกลุ่ม APT รวมไปถึงบริษัทรักษาความปลอดภัยทางไซเบอร์อื่น ๆ ยังได้พบเชื่อมโยงการโจมตีที่ใช้ช่องโหว่ใน WinRAR นี้กับกลุ่ม ผู้ไม่ประสงค์ดี อื่น ๆ อีกหลายกลุ่ม เช่น DarkPink (NSFOCUS) และ Konni (Knownsec)
    ทั้งนี้ช่องโหว่ WinRAR (CVE-2023-38831) ได้ถูกอัปเดตเพื่อแก้ไขไปแล้ว ด้วย WinRAR เวอร์ชัน 6.23 เมื่อวันที่ 2 สิงหาคม 2023 ที่ผ่านมา ซึ่งยังได้แก้ไขช่องโหว่ด้านความปลอดภัยอื่น ๆ อีกด้วย รวมถึง CVE-2023-40477 ซึ่งเป็นช่องโหว่ที่สามารถเรียกใช้คำสั่งผ่านไฟล์ RAR ที่สร้างขึ้นเป็นพิเศษเพื่อโจมตีเป้าหมายได้
    ทาง Google ได้แนะนำให้ผู้ใช้งานทำการอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน เนื่องจากพบว่ากลุ่ม ผู้ไม่ประสงค์ดี ได้นำช่องโหว่ไปใช้ในการโจมตีแล้วในปัจจุบัน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

29/08/2566

พบช่องโหว่ WinRAR zero-day ถูกนำมาใช้ในการโจมตีตั้งแต่เดือนเมษายนเพื่อขโมยบัญชี trading


    ช่องโหว่ Zero-day ของ WinRAR (CVE-2023-38831) กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้โจมตีจะหลอกล่อให้เหยื่อคลิกเปิดไฟล์ archive เพื่อติดตั้งมัลแวร์ ซึ่งอาจทำให้ Hacker สามารถขโมยบัญชีซื้อขายสกุลเงินดิจิทัลออนไลน์ได้ โดยนักวิจัยพบว่าช่องโหว่ดังกล่าวได้ถูกนำมาใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023 เพื่อแพร่กระจายมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT
    CVE-2023-38831 เป็นช่องโหว่ Zero-day ของ WinRAR ที่ทำให้สามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย ซึ่งแสดงไฟล์ที่ดูเหมือนไม่มีอันตราย เช่น รูปภาพ JPG (.jpg), ไฟล์ข้อความ (.txt), หรือเอกสาร PDF (.pdf) แต่เมื่อเหยื่อทำการเปิดไฟล์ดังกล่าว ช่องโหว่ก็จะทำการเรียกสคริปต์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ โดย Group-IB เป็นผู้ค้นพบช่องโหว่ CVE-2023-38831 ในเดือนกรกฎาคม 2023 และได้ทำการเผยแพร่รายละเอียดข้อมูลของช่องโหว่ดังกล่าวแล้ว
    โดยทาง BleepingComputer ได้ทดสอบเปิดไฟล์ที่เป็นอันตรายซึ่งถูกแชร์โดย Group-IB ซึ่งเป็นผู้ค้นพบแคมเปญการโจมตี ซึ่งพบว่าเพียงดับเบิลคลิกบน PDF ก็ทำให้ CMD script ถูกเรียกใช้งานเพื่อติดตั้งมัลแวร์ทันที
    ปัจจุบันช่องโหว่ CVE-2023-38831 ได้รับการแก้ไขแล้วในอัปเดตแพตซ์ของ WinRAR เวอร์ชัน 6.23 ที่ออกมาในวันที่ 2 สิงหาคม 2023 ที่ผ่านมา โดยได้แก้ไขช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ CVE-2023-40477 ที่สามารถดำเนินการคำสั่งเมื่อเปิดไฟล์ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ

การมุ่งเป้าหมายไปที่ crypto traders
    นักวิจัยจาก Group-IB ได้เผยแพร่รายงานการค้นพบช่องโหว่ WinRAR Zero-day ได้ถูกใช้เพื่อมุ่งเป้าหมายการโจมตีไปยังฟอรัมที่เกี่ยวกับ cryptocurrency โดย Hacker ได้ปลอมตัวเป็นผู้ที่มาให้ความรู้ และข้อมูลกลยุทธ์การซื้อขาย ซึ่งโพสต์ในฟอรัมจะมีการแนบลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งประกอบด้วย PDF ไฟล์ข้อความ และรูปภาพ


ขั้นตอนในการโจมตีประกอบไปด้วย
    เมื่อเหยื่อทำการเปิดไฟล์ จะเห็นสิ่งที่ดูเหมือนเป็นไฟล์ที่ไม่เป็นอันตราย เช่น PDF โดยมีโฟลเดอร์ที่ตรงกับชื่อไฟล์เดียวกัน


    เมื่อเหยื่อดับเบิลคลิกที่ PDF ช่องโหว่ CVE-2023-38831 จะทำการเรียกสคริปต์ในโฟลเดอร์ เพื่อติดตั้งมัลแวร์บนอุปกรณ์ในเวลาเดียวกัน ซึ่งสคริปต์เหล่านี้จะโหลดเอกสารหลอกล่อเพื่อไม่ให้เหยื่อเกิดความสงสัย


    ช่องโหว่ดังกล่าวจะสร้างไฟล์เป็นพิเศษด้วยโครงสร้างที่ได้รับการปรับเปลี่ยนเล็กน้อยเมื่อเปรียบเทียบกับไฟล์ที่ปลอดภัย ซึ่งทำให้ฟังก์ชัน ShellExecute ของ WinRAR ได้รับ parameter ที่ไม่ถูกต้องเมื่อพยายามเปิดไฟล์ล่อ ส่งผลให้โปรแกรมข้ามไฟล์ที่ไม่เป็นอันตราย และค้นหา และเรียกใช้ CMD script แทน ดังนั้นแม้ว่าเหยื่อจะคิดว่าได้ทำการเปิดไฟล์ที่ปลอดภัย แต่โปรแกรมจะเปิดไฟล์อื่นขึ้นมาแทน
    ซึ่ง CMD script จะทำการเรียกใช้ไฟล์ self-extracting (SFX) CAB เพื่อติดตั้งมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT ลงบนเครื่องเหยื่อ เพื่อให้สามารถเข้าถึงได้จากระยะไกล


    DarkMe malware มีความเชื่อมโยงกับกลุ่ม EvilNum ที่มีเป้าหมายทางการเงิน แต่ปัจจุบันยังไม่พบความเชื่อมโยงของกลุ่ม EvilNum และช่องโหว่ CVE-2023-38831
    Remcos RAT เป็น malware ที่ทำให้ Hacker สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างมีประสิทธิภาพมากขึ้น รวมถึงการสั่งการจากระยะไกล, keylogging, การจับภาพหน้าจอ การจัดการไฟล์ และการทำ reverse proxy ช่วยเพิ่มความสามารถในการโจมให้ดียิ่งขึ้น
    ดังนั้นผู้ใช้ WinRAR จึงควรอัปเดตให้เป็นเวอร์ชันล่าสุด คือ WinRAR version 6.23 เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

17/04/2566

พบแฮกเกอร์ใช้ประโยชน์จากซอฟต์แวร์ WinRAR เพื่อติดตั้งแบ็คดอร์บนเครื่องเหยื่อ


    ผู้ไม่ประสงค์ดีเพิ่มฟังก์ชันการทำงานที่เป็นอันตรายลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX ลงไปเพื่อทำการติดตั้งแบ็คดอร์บนระบบของเป้าหมาย ซึ่งวิธีการนี้ส่งผลให้ผู้ไม่ประสงค์ดีสามารถหลบเลี่ยงการตรวจจับได้ โดยไฟล์ SFX จะมีไฟล์สำหรับเรียกใช้ PowerShell และตัวจัดการสิทธิ์การเข้าถึงของระบบ
    การโจมตีเริ่มต้นจากผู้ไม่ประสงค์ดีจะทำการฝังไฟล์ SFX ที่เข้ารหัสไว้ผ่าน WinRAR หรือ 7-Zip จากนั้นผู้ไม่ประสงค์ดีจะเข้าถึงระบบของเป้าหมายโดยการ compromised credentials และการใช้ Utility Manager (utilman[.] exe) ที่ถูกตั้งค่าให้กำหนดค่า debugger ใน Windows Registry ที่เป็นโปรแกรมเฉพาะ โดยจะเริ่มทำการ debug อัตโนมัติทุกครั้งที่เปิดโปรแกรม ต่อมาที่ utilman[.] exe จะเรียกใช้ไฟล์ SFX ที่ได้รับการออกแบบมาเพื่อเรียกใช้ PowerShell เพิ่มหลายคำสั่ง และสร้างไฟล์ SFX Archive เพื่อเปิดแบ็คดอร์บนระบบของเป้าหมาย
    ภายในไฟล์ SFX จะดูเหมือนว่าว่างเปล่า ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมตรวจจับและผู้ดูแลระบบได้อย่างง่ายดาย แต่เมื่อไฟล์ SFX ได้ทำการ Combined เข้ากับ Registry Key เฉพาะ แล้วนั้นอาจทำให้ผู้ไม่ประสงค์ดีสร้างแบ็คดอร์อย่างถาวรบนระบบของเป้าหมายได้
    เหตุผลที่ผู้ไม่ประสงค์ดีเลือกใช้ utilman[.] exe นั้น เนื่องจากการใช้ utilman[.] exe ทำให้ผู้ไม่ประสงค์ดีสามารถกำหนดค่าแบ็คดอร์ผ่านตัว Image File Execution Options (IFEO) debugger ใน Registry Key ของ Windows ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จาก IFEO Registry Key เพื่อเรียกใช้ไบนารี่ได้โดยไม่มีการตรวจสอบสิทธิ์และผ่านมาตรการรักษาความปลอดภัยบนระบบได้ แม้ว่าเป้าหมายจะไม่มีซอฟต์แวร์ WinRAR หรือ 7-Zip แต่ไฟล์ SFX ก็ยังสามารถแตกไฟล์และแสดงเนื้อหาบนเครื่องของเป้าหมายได้

คำแนะนำ
  • ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ
  • ควรให้ความสนใจเป็นพิเศษกับคลังข้อมูล SFX
  • ควรสแกนไฟล์ SFX Archives เพื่อหาฟังก์ชันที่ซ่อนอยู่เพิ่มเติม
  • ไม่ควรดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ

Ref : cyware
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)