Google เปิดตัวการป้องกัน URL ที่เป็นอันตรายแบบเรียลไทม์ที่ได้รับการปรับปรุงสำหรับผู้ใช้ Chrome

เมื่อวันพฤหัสบดีที่ผ่านมา Google ประกาศเปิดตัว Safe Browsing เวอร์ชันปรับปรุงเพื่อให้การปกป้อง URL ที่เป็นอันตรายแบบเรียลไทม์ และรักษาความเป็นส่วนตัว รวมถึงปกป้องผู้ใช้จากการเยี่ยมชมเว็บไซต์ที่อาจเป็นอันตราย

(more…)

มัลแวร์ DarkGate แพร่กระจายผ่าน Microsoft Teams

 

นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.

โฆษณา Google ที่เป็นอันตรายหลอกผู้ใช้ WinSCP ติดตั้งมัลแวร์ [EndUser]

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากผลลัพธ์การค้นหาที่ถูกแก้ไข และโฆษณาปลอมบน Google เพื่อหลอกลวงผู้ใช้ที่กำลังดาวน์โหลดซอฟต์แวร์ที่ถูกต้อง เช่น WinSCP ให้ติดตั้งมัลแวร์แทน

บริษัทด้านความปลอดภัยทางไซเบอร์ Securonix กำลังติดตามพฤติกรรมที่เกิดขึ้นนี้ภายใต้ชื่อ SEO#LURKER

นักวิจัยด้านความปลอดภัย Den Iuzvyk, Tim Peck และ Oleg Kolesnikov ระบุในรายงานที่แชร์กับ The Hacker News ว่าโฆษณาที่เป็นอันตรายจะนำผู้ใช้ไปยังเว็บไซต์ WordPress ที่ถูกโจมตีชื่อ gameeweb[.]com ซึ่งจะนำผู้ใช้ไปยังเว็บไซต์ phishing ที่ถูกควบคุมโดยผู้โจมตี

โดยผู้โจมตีจะใช้ Google's Dynamic Search Ads (DSAs) เพื่อสร้างโฆษณาโดยอัตโนมัติขึ้น โดยใช้เนื้อหาของเว็บไซต์เพื่อนำโฆษณาที่เป็นอันตราย ที่จะพาผู้ใช้ไปยังเว็บไซต์ที่ติดมัลแวร์ (more…)

แฮ็กเกอร์รัสเซียใช้ฟีเจอร์ Ngrok และ WinRAR โจมตีสถานทูต

นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

D-Link ยืนยันเหตุการณ์ข้อมูลรั่วไหล หลังจากพนักงานถูกโจมตีแบบฟิชชิ่ง

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ออกมายืนยันเหตุการณ์ข้อมูลรั่วไหล ภายหลังจากการถูกโจมตีเครือข่าย และถูกนำข้อมูลไปประกาศขายบน BreachForums เมื่อต้นเดือนที่ผ่านมา

จากเหตุการณ์ในครั้งนี้ ผู้โจมตีได้เข้าถึงเครือข่ายภายในของ D-Link ซึ่งมีข้อมูลลูกค้าจำนวน 3 ล้านบรรทัด และซอร์สโค้ดของ D-View รวมถึงข้อมูลของเจ้าหน้าที่รัฐบาลจำนวนมาก โดยผู้โจมตีอ้างว่าได้ขโมยซอร์สโค้ดของซอฟต์แวร์การจัดการเครือข่าย D-View ของ D-Link และข้อมูลส่วนบุคคลของลูกค้า พนักงาน และข้อมูลเกี่ยวกับ CEO ของบริษัทจำนวนหลายล้านรายการออกไป โดยประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อ
อีเมล
ที่อยู่
หมายเลขโทรศัพท์
วันที่ลงทะเบียนบัญชี
วันที่เข้าสู่ระบบครั้งล่าสุดของผู้ใช้งาน

ข้อมูลนี้ถูกนำไปประกาศขายบนฟอรัม ตั้งแต่วันอาทิตย์ที่ 1 ตุลาคม 2023 โดยผู้โจมตีเรียกร้องเงิน 500 ดอลลาร์ สำหรับข้อมูลลูกค้าที่ขโมยมา และซอร์สโค้ดของ D-View (more…)

การโจมตีฟิชชิงแบบ ZeroFont รูปแบบใหม่ หลอก Outlook ให้แสดงผลการแสกน AV ปลอม

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

AtlasCross กลุ่มแฮกเกอร์ใหม่ อ้างเป็นสภากาชาดอเมริกัน โจมตีแบบ Phishing

NSFocus รายงานว่ากลุ่มแฮกเกอร์ AtlasCross แตกต่างจากกลุ่มแฮกเกอร์อื่นๆ ในเรื่องขั้นตอนการโจมตี , เครื่องมือที่ใช้โจมตี , วัตถุประสงค์การโจมตี , แนวโน้มพฤติกรรม และอื่นๆ โดยพบโทรจันใหม่สองตัว DangerAds และ AtlasAgent ที่เกี่ยวข้องกับการโจมตี

การโจมตีเริ่มต้นด้วยข้อความ Phishing ที่อ้างว่ามาจากสภากาชาดอเมริกัน โดยขอให้ผู้รับเข้าร่วมในการบริจาคเลือดเดือนกันยายน 2023 โดยในอีเมลมีไฟล์แนบเอกสาร Word ที่เปิดใช้งานมาโคร (.docm) ซึ่งต้องการให้ผู้รับคลิกเปิดใช้งานเนื้อหา เพื่อดูเนื้อหาที่ซ่อนอยู่

เมื่อผู้รับกดเปิดใช้งาน มาโครจะแยกไฟล์ ZIP บนอุปกรณ์ Windows และวางไฟล์ชื่อ KB4495667.pkg ซึ่งเป็นตัวสร้างโทรจัน DangerAds และเป็นตัวโหลดมัลแวร์ โดยจะสร้าง Scheduled task ชื่อ Microsoft Office Updates เพื่อเปิดใช้ DangerAds ทุกวันเป็นเวลาสามวัน

DangerAds ทำหน้าที่เป็นตัวโหลดมัลแวร์ , ประเมินข้อมูลของระบบ และเรียกใช้ Shellcode หากพบ Strings ที่กำหนดไว้ในชื่อผู้ใช้หรือชื่อโดเมนของระบบ ซึ่งเป็นการกำหนดขอบเขตเป้าหมายที่แคบของกลุ่มแฮกเกอร์ AtlasCross

หากพบ Strings ที่กำหนดไว้ DangerAds จะโหลด x64.dll ซึ่งเป็นโทรจัน AtlasAgent เป็นโทรจันภาษา C++ แบบ Custom ฟังก์ชันหลักประกอบด้วยการแยกโฮสต์และรายละเอียด Process , ป้องกันการเปิดโปรแกรมหลายโปรแกรม , เรียกใช้ Shellcode และการดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อทำงานครั้งแรกมัลแวร์จะส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี เช่น ชื่อเครื่อง , IP เครื่อง , ข้อมูล Network adapter , ข้อมูล Network card , เวอร์ชันของระบบปฏิบัติการ และ Process ที่รันอยู่ จากนั้นเซิร์ฟเวอร์ของผู้โจมตีจะตอบกลับคำสั่งให้ AtlasAgent ทำงานต่างๆ ซึ่งสามารถทำได้โดยใช้ Threads ใหม่ หรือกระบวนที่มีอยู่ ทำให้เครื่องมือรักษาความปลอดภัยตรวจจับและหยุดได้ยากขึ้น

AtlasAgent รองรับคำสั่งต่อไปนี้

รับข้อมูลระบบคอมพิวเตอร์
Reverse Shell
รับข้อมูลจาก CnC และจัดเก็บไว้ในไฟล์ที่ระบุ
Debugging field
หยุดโปรแกรมชั่วคราวเป็นระยะเวลาหนึ่งโดยใช้ฟังก์ชัน Sleep
รับข้อมูลของ Process
แทรก Shellcode หรือคำสั่งลงใน Threads ของกระบวนการที่ระบุ
ใช้งานพารามิเตอร์ฟังก์ชัน
เรียกใช้ Shellcode โดยตรง หรือสร้าง Threads เพื่อรัน Shellcode
สร้าง Mutex (Mutually exclusive)

ที่มา : bleepingcomputer

พบแคมเปญการโจมตีแบบ Phishing โดยการใช้ Microsoft Teams เพื่อติดตั้งมัลแวร์ DarkGate

นักวิจัยที่ Truesec บริษัทด้านความปลอดภัย พบแคมเปญการโจมตี phishing รูปแบบใหม่ ที่ใช้ Microsoft Teams messages ในการส่งไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ DarkGate Loader เอาไว้ โดยพบว่าแคมเปญดังกล่าวได้เริ่มการโจมตีในเดือนสิงหาคม 2023 หลังจากที่พบข้อความฟิชชิ่งของ Microsoft Teams ถูกส่งโดยบัญชี external Office 365 accounts สองบัญชีไปยังองค์กรอื่น เพื่อให้ดาวน์โหลด และเปิดไฟล์ ZIP อันตราย (more…)

SuperBear โทรจันตัวใหม่ ปรากฏตัวในการโจมตีแบบ phishing ที่มุ่งเป้าไปที่นักเคลื่อนไหวชาวเกาหลีใต้

การโจมตี phishing รอบใหม่ที่มุ่งเป้าการโจมตีไปที่กลุ่ม civil society ในเกาหลีใต้ นำไปสู่การค้นพบโทรจันตัวใหม่ที่ชื่อว่า SuperBear

Interlabs ระบุในรายงานว่า การโจมตีดังกล่าวได้มุ่งเป้าไปที่นักเคลื่อนไหวคนหนึ่ง ที่ได้รับการติดต่อในช่วงปลายเดือนสิงหาคม 2023 และได้รับไฟล์ LNK ที่เป็นอันตรายจากผู้ที่แอบอ้างเป็นสมาชิกขององค์กร

เมื่อไฟล์ LNK ถูกเรียกใช้งาน มันจะรันคำสั่ง PowerShell เพื่อเรียกใช้สคริปต์ Visual Basic ซึ่งจะดึงเอา payloads การโจมตีถัดไปจากเว็บไซต์ WordPress ที่ถูกโจมตี

ซึ่งประกอบไปด้วยไฟล์ไบนารี Autoit3.exe ("solmir.

แฮ็กเกอร์ชาวเบลารุสกำหนดเป้าหมายการโจมตีไปยังโปแลนด์ และยูเครนด้วย RAT, Phishing

แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล

นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565

เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง

(more…)