แสดงบทความที่มีป้ายกำกับ eset แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ eset แสดงบทความทั้งหมด

03/12/2567

ช่องโหว่ Zero-days ใน Firefox และ Windows กำลังถูกโจมตีจากกลุ่มผู้ไม่ประสงค์ดี RomCom จากรัสเซีย


    กลุ่มอาชญากรรมทางไซเบอร์ RomCom จากรัสเซีย กำลังใช้ช่องโหว่แบบ Zero-Days 2 รายการในการโจมตีครั้งล่าสุด โดยมุ่งเป้าไปที่ผู้ใช้งาน Firefox และ Tor Browser ในยุโรป และอเมริกาเหนือ
  • ช่องโหว่ที่ 1 CVE-2024-9680: เป็นช่องโหว่แบบ use-after-free ในฟีเจอร์ animation timeline ของ Firefox ซึ่งช่วยให้สามารถเรียกใช้โค้ดใน sandbox ของเว็บเบราว์เซอร์ ได้ โดย Mozilla ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อวันที่ 9 ตุลาคม 2024 เพียงหนึ่งวันหลังจากที่ ESET รายงานปัญหานี้
  • ช่องโหว่ที่ 2 CVE-2024-49039: ช่องโหว่การยกระดับสิทธิ์ ใน Windows Task Scheduler service ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้โค้ดนอก sandbox ของ Firefox ได้ Microsoft ได้แก้ไขช่องโหว่นี้ไปแล้วเมื่อต้นเดือนที่ผ่านมา เมื่อวันที่ 12 พฤศจิกายน 2024
    RomCom ใช้ช่องโหว่ทั้ง 2 รายการในการโจมตีแบบ Zero-Days ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน เป้าหมายของพวกเขาเพียงแค่ให้ผู้ใช้งานเข้าชมเว็บไซต์ที่ถูกควบคุม และปรับแต่งโดยผู้ไม่ประสงค์ดีก็เพียงพอที่จะทำให้มีการดาวน์โหลด และรันแบ็คดอร์ RomCom บนระบบของเหยื่อ
    จากชื่อของหนึ่งใน JavaScript ที่ใช้ในการโจมตี (main-tor.js) แสดงให้เห็นว่าผู้ไม่ประสงค์ดีได้มุ่งเป้าไปที่ผู้ใช้งาน Tor Browser ด้วย (เวอร์ชัน 12 และ 13 ตามการวิเคราะห์ของ ESET)


    Damien Schaeffer นักวิจัยจาก ESET ระบุว่า "กระบวนการโจมตีประกอบด้วยเว็บไซต์ปลอมที่จะเปลี่ยนเส้นทางของเหยื่อไปยังเซิร์ฟเวอร์ที่มีโค้ดสำหรับการโจมตี และหากการโจมตีสำเร็จ shell code จะถูกรันเพื่อดาวน์โหลด และรันแบ็คดอร์ RomCom"
    "แม้เราไม่ทราบว่าลิงก์ไปยังเว็บไซต์ปลอมนั้นถูกเผยแพร่ได้อย่างไร แต่หากมีการเข้าถึงหน้าเว็บด้วยเบราว์เซอร์ที่มีช่องโหว่ เพย์โหลดจะถูกดาวน์โหลด และรันบนคอมพิวเตอร์ของเหยื่อโดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้"
    เมื่อมัลแวร์ถูกติดตั้งบนอุปกรณ์ของเหยื่อแล้ว ผู้ไม่ประสงค์ดีสามารถรันคำสั่ง และติดตั้งเพย์โหลดอื่นเพิ่มเติมได้
    ESET ระบุเพิ่มเติมว่า "การเชื่อมโยงช่องโหว่ Zero-Day 2 รายการเข้าด้วยกันช่วยให้ RomCom มีโค้ดโจมตีที่ไม่ต้องการการโต้ตอบจากผู้ใช้ ความซับซ้อนในระดับนี้แสดงให้เห็นถึงความตั้งใจ และความสามารถของผู้ไม่ประสงค์ดีในการพัฒนาความสามารถที่มากขึ้น"
    นอกจากนี้ จำนวนความพยายามโจมตีที่ประสบความสำเร็จของแบ็คดอร์ RomCom บนอุปกรณ์ของเหยื่อ ทำให้ ESET เชื่อว่านี่เป็นแคมเปญการโจมตีในวงกว้าง ESET ระบุว่า "จำนวนเป้าหมายที่อาจได้รับผลกระทบมีตั้งแต่เหยื่อเพียงรายเดียวต่อประเทศไปจนถึงสูงสุดถึง 250 ราย ตามข้อมูลจากระบบ telemetry ของ ESET"


    เหตุการณ์นี้ไม่ใช่ครั้งแรกที่ RomCom ใช้ช่องโหว่ Zero-Day ในการโจมตี โดยในเดือนกรกฎาคม 2023 ผู้ไม่ประสงค์ดีได้ใช้ช่องโหว่ Zero-Day (CVE-2023-36884) ในผลิตภัณฑ์หลายตัวของ Windows และ Office เพื่อโจมตีองค์กรที่เข้าร่วมการประชุม NATO Summit ที่เมืองวิลนีอุส ประเทศลิทัวเนีย
    RomCom (ซึ่งยังถูกติดตามในชื่อ Storm-0978, Tropical Scorpius หรือ UNC2596) โดยเชื่อมโยงกับแคมเปญที่มีแรงจูงใจทางการเงิน, การโจมตีด้วยแรนซัมแวร์ และการขู่กรรโชก รวมถึงการขโมยข้อมูล credential (ซึ่งน่าจะมีเป้าหมายในการสนับสนุนการดำเนินการด้านข่าวกรอง)
    กลุ่มผู้ไม่ประสงค์ดียังถูกเชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์ Industrial Spy ซึ่งหลังจากนั้นได้เปลี่ยนไปใช้แรนซัมแวร์ Underground
ตามรายงานของ ESET ตอนนี้ RomCom กำลังมุ่งเป้าไปที่องค์กรในยูเครน ยุโรป และอเมริกาเหนือ สำหรับการโจมตีเพื่อจารกรรมข้อมูลในหลากหลายอุตสาหกรรม ซึ่งรวมถึงหน่วยงานรัฐบาล, กลาโหม, พลังงาน, ยา และประกันภัย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

09/10/2566

Deadglyph: Advanced Backdoor New Malware


    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบ Advanced Backdoor ที่ยังไม่เคยมีการบันทึกไว้มาก่อนที่ถูกเรียกว่า "Deadglyph" ซึ่งถูกใช้โดยผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ "Stealth Falcon"
ESET ระบุในรายงานใหม่ที่แชร์กับ The Hacker News ว่า "โครงสร้างของ Deadglyph เป็นโครงสร้างที่ค่อนข้างผิดปกติ เนื่องจากประกอบด้วยส่วนประกอบที่ทำงานร่วมกัน - ส่วนหนึ่งเป็น x64 binary และอีกส่วนหนึ่งคือ .NET assembly"
    การรวมกันลักษณะนี้เป็นเรื่องผิดปกติ เนื่องจากมัลแวร์โดยทั่วไปจะใช้เพียงภาษาโปรแกรมเดียวสำหรับส่วนประกอบต่าง ๆ ความแตกต่างนี้อาจเป็นการบ่งชี้ถึงการพัฒนาส่วนประกอบทั้งสองนี้แยกกัน ในขณะเดียวกันก็ใช้ประโยชน์จากคุณสมบัติเฉพาะของภาษาโปรแกรมที่แตกต่างกัน
การใช้ภาษาโปรแกรมที่แตกต่างกันยังถูกสงสัยว่าเป็นกลยุทธ์ที่จงใจเพื่อป้องกันการวิเคราะห์ ทำให้มีความยากลำบากมากขึ้นในการตรวจสอบ และแก้ไขช่องโหว่
ต่างจาก Backdoor แบบดั้งเดิมที่มีลักษณะคล้ายกัน Backdoor Deadglyph จะรับคำสั่งจากเซิร์ฟเวอร์ที่ผู้ไม่ประสงค์ดีควบคุมในรูปแบบของโมดูลเพิ่มเติมที่ช่วยให้สร้าง process ใหม่ อ่านไฟล์ และรวบรวมข้อมูลจากระบบที่ถูกบุกรุก


    Stealth Falcon (aka FruityArmor) เป็นกลุ่มอาชญากรทางไซเบอร์ที่เชื่อว่ามีรัฐบาลสนับสนุน กลุ่มนี้ถูกพบครั้งแรกโดย Citizen Lab ในปี 2016 โดยเชื่อมโยงกับสปายแวร์แบบที่มุ่งเป้าหมายไปยังประเทศในตะวันออกกลาง โดยมีเป้าหมายเป็นนักข่าว นักเคลื่อนไหว และผู้เห็นต่างในสหรัฐอาหรับเอมิเรตส์
การสืบสวนครั้งต่อมาที่ดำเนินการโดย Reuters ในปี 2019 ได้เปิดเผยการปฏิบัติการลับชื่อ Project Raven ซึ่งเกี่ยวข้องกับกลุ่มอดีตเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้รับการว่าจ้างจากบริษัทด้านความปลอดภัยไซเบอร์ชื่อ DarkMatter เพื่อสอดแนมเป้าหมายที่วิจารณ์สถาบันกษัตริย์อาหรับ
    Stealth Falcon และ Project Raven ถูกเชื่อว่าเป็นกลุ่มเดียวกัน เนื่องจากมีความเชื่อมโยงกันในด้านเทคนิคการโจมตี และเป้าหมาย กลุ่ม Stealth Falcon ได้ถูกเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่แบบ zero-day ใน Windows เช่น CVE-2018-8611 และ CVE-2019-0797 โดย Mandiant ระบุในเดือนเมษายน 2020 ว่ากลุ่มผู้ไม่ประสงค์ดีนี้ "ใช้ช่องโหว่แบบ zero-day ในการโจมตีมากกว่ากลุ่มอื่น ๆ" ในช่วงปี 2016 ถึง 2019 ในช่วงเวลาเดียวกัน ESET ได้อธิบายถึงการใช้ Backdoor ที่มีชื่อว่า Win32/StealthFalcon ซึ่งพบว่าใช้ Windows Background Intelligent Transfer Service (BITS) สำหรับการสื่อสารกับ C2 server และเพื่อให้ได้สิทธิ์ควบคุมอุปกรณ์ปลายทางอย่างสมบูรณ์ ตามรายงานระบุว่า Deadglyph เป็น Backdoor ล่าสุดที่กลุ่ม Stealth Falcon ใช้ โดยได้วิเคราะห์จากการโจมตีหน่วยงานรัฐบาลที่ไม่ระบุชื่อในตะวันออกกลาง

    วิธีที่ใช้ในการฝังมัลแวร์ไปยังเป้าหมาย ยังไม่เป็นที่ทราบแน่ชัด แต่ส่วนประกอบเริ่มต้นที่ใช้ในการเริ่มการดำเนินงานของมันคือโปรแกรม loader ของ shellcode ที่ถูกแยก และโหลด shellcode จาก Registry Windows ซึ่งจากนั้นจะเรียกใช้งาน Deadglyph's native x64 module ที่เรียกว่า Executor ของ Deadglyph
จากนั้น Executor จะดำเนินการโหลดส่วนประกอบ .NET ที่เรียกว่า Orchestrator ซึ่งจะสื่อสาร C2 server เพื่อรอรับคำสั่งเพิ่มเติม มัลแวร์ยังมีวิธีการเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งรวมถึงความสามารถในการถอนการติดตั้งตัวเอง
 คำสั่งที่ได้รับจากเซิร์ฟเวอร์จะถูกเรียงลำดับไว้เพื่อรอการดำเนินการ และสามารถแบ่งออกเป็นสามประเภท ได้แก่ Orchestrator tasks, Executor tasks และ Upload tasks ESET รายงานว่า Executor tasks ช่วยให้สามารถจัดการกับ backdoor และเรียกใช้โมดูลเพิ่มเติมได้, Orchestrator tasks ช่วยให้สามารถจัดการการกำหนดค่าของโมดูล Network และ Timer และยังสามารถยกเลิก tasks ที่ค้างอยู่ได้ Executor tasks บางส่วนที่ระบุไว้ประกอบด้วยการสร้าง process การเข้าถึงไฟล์ และการรวบรวม metadata ของระบบ, โมดูล Timer ถูกใช้ในการตรวจสอบเซิร์ฟเวอร์ C2 โดยใช้ร่วมกับโมดูล Network ซึ่งใช้การสื่อสาร C2 โดยใช้การ request ผ่าน HTTPS POST ส่วน Upload tasks คือการให้สิทธิ์ให้ backdoor สามารถอัปโหลดผลลัพธ์จากคำสั่ง และข้อผิดพลาดได้
    ESET รายงานว่าสามารถระบุหน้าจอควบคุม (Control Panel, CPL) ที่ถูกอัปโหลดไปยัง VirusTotal จากประเทศกาตาร์ ซึ่งรายงานว่ามันเป็นจุดเริ่มต้นของการโจมตี multi-stage chain ซึ่งนำไปสู่การดาวน์โหลด shellcode ที่มีความคล้ายกับ Deadglyph แม้ลักษณะของ shellcode ที่ดึงมาจากเซิร์ฟเวอร์ C2 ยังคงไม่ชัดเจน แต่มีการสรุปว่าอาจจะใช้เป็นตัวติดตั้งสำหรับมัลแวร์ Deadglyph

 "Deadglyph ได้รับชื่อมาจากข้อมูลที่พบในตัว backdoor (hexadecimal IDs 0xDEADB001 และ 0xDEADB101 สำหรับโมดูล Timer และการกำหนดค่า) ร่วมกับการใช้การโจมตี homoglyph ที่ปลอมตัวเป็น Microsoft ("Microsoft Corporation") ใน Registry shellcode loader's VERSIONINFO resource."
  Deadglyph มีกลไกการป้องกันการตรวจจับที่หลากหลาย รวมถึงการตรวจสอบขั้นตอนการทำงานของระบบอย่างต่อเนื่อง และการใช้รูปแบบเครือข่ายแบบสุ่ม นอกจากนี้ Backdoor ยังสามารถถอนการติดตั้งตัวเองได้เพื่อลดความเสี่ยงในการถูกตรวจพบในบางกรณี

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

10/01/2560

การบริหารจัดการ License Eset ด้วย License Administrator

เมื่อท่านทำการจัดซื้อ License ของ Eset เพื่อใช้งาน กับสำนักงาน (แบบจัดซื้อผ่านตัวแทนจำหน่าย) เมื่อทำการจัดซื้อเรียบร้อย ทาง Eset จะส่งเอกสารมาให้ เป็นการยืนยันว่าเราได้ทำการจัดซื้อเรียบร้อยแล้ว
หน้าตาเอกสารดังกล่าว


และจะได้รับอีเมล์จาก Eset ซึ่งจะแจ้ง URL และขั้นตอนการดำเนินการเพื่อเข้าใช้งาน


เมื่อคลิ๊กตามลิ้งค์ในข้อ 1. ของอีเมล์ ก็จะไปยังหน้าเว็บของ Eset แล้วทำการกรอก License Key ที่ได้มาในเอกสารที่เราได้รับในขั้นตอนแรก


กรอก Password ที่ได้มาในเอกสาร (ในอีเมล์ก็มี password ด้วยเหมือนกันครับ)


เมื่อ Login เข้าไปแล้ว จะแสดง ข้อมูล License ที่เราซื้อมา (Accountนี้ จะเป็น Account ของ License โดยเราจะต้องสร้าง Account เพื่อใช้งานของเราเองอีกต่างหาก เพราะเราอาจมี License หลายตัวก็ได้) ให้เราทำการกดปุ่ม AUTHORIZE ADMINISTARTION ด้านล่าง เพื่อให้สิทธิ์ในการบริหารจัดการ License  กี่ Account หรือสร้าง Account ใหม่
ในหน้านี้จะแจ้ง รายละเอียดข้อมูล License ทั้งหมด เช่นอีเมล์ผู้ซื้อ(ผู้ที่เกี่ยวข้อง) วันหมดอายุ ฯ


ระบบจะแจ้งให้เราใส่ อีเมล์ของเรา เพื่อที่จะเอาไว้บริหารจัดการ License ต่าง ๆ


เมื่อทำการกรอกข้อมูลอีเมล์ แล้ว ระบบจะทำการส่งอีเมล์ไปยังปลายทางที่เรากรอกไว้
ส่วนเราจะกลับมาที่หน้าหลัก ซึ่งจะพบว่า มี Account ที่รอ ยืนยันอยู่


เมื่อเราไปตรวจสอบอีเมล์ที่ส่งมา จะพบว่ามี Link ให้คลิ๊กเพื่อลงทะเบียนกับ Eset (กรณีที่มี Account อยู่แล้วคิดว่า น่าจะเพิ่ม License เข้าไปได้เลย)

เมื่อเข้ามาให้ทำการกรอกข้อมูลในการสร้าง Account ให้ครบถ้วน

กรอกข้อมูลครบ ก็จะให้ยืนยันการลงทะเบียน และกดปุ่ม Login ได้เลยครับ

ทำการ Login ด้วย Account ที่เราสร้างขึ้นจากขั้นตอนที่แล้ว

เมื่อเข้าระบบมาแล้วก็จะพบ License ที่เราสามารพบริหารจัดการได้


เมื่อเราเข้ามาตรวจสอบจาก Account ของ Lincese ก็จะพบว่า Administrator ที่เราเพิ่มเข้ามาได้ยืนยันการใช้งานเรียบร้อยแล้ว


ครับ เพียงเท่านี้ท่านก็จะสามารถบริหารจัดการ License ของ Eset ได้แล้วครับ
(นี่เป็นเพียงวิธีหนึ่งที่ทางทีมงานได้ทดสอบและสามารถใช้งานได้ ซึ่งท่านอื่นอาจใช้วิธีแตกต่างจากนี้ หรืออนาคตทาง Eset อาจเปลี่ยนแปลงระบบนี้ไปจากเดิมก็ได้)
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , , ,
สมัครสมาชิก: บทความ (Atom)