อาชญากรใช้ประโยชน์จากช่องโหว่ของ PowerPoint เพื่อแพร่กระจาย Malware

การโจมตีนี้พบในองค์กรที่อยู่ในกลุ่มอุตสาหกรรมการผลิตอุปกรณ์อิเล็กทรอนิกส์ โดยช่องโหว่นี้ช่วยให้สามารถหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus ได้ การโจมตีเริ่มต้นด้วย Spear-Phishing Email ที่มีข้อความจากบริษัทผลิตสายเคเบิล ที่มีการแนบไฟล์ PowerPoint เมื่อมีการเปิดไฟล์จะทำให้เกิดการโจมตีผ่านช่องโหว่ของ Microsoft (CVE-2017-0199) ซึ่งทำงานโดยการรันคำสั่งบางอย่างให้มีการดาวน์โหลดไฟล์มาลงที่เครื่อง จากนั้นจะมีการสั่งให้รันไฟล์ที่ชื่อว่า 'RATMAN.EXE' ผ่าน PowerShell ทำให้ผู้โจมตีสามารถใช้ความสามารถ keylog, screenlog, เข้าถึงไมโครโฟนและกล้องบนเครื่องที่ถูกโจมตีสำเร็จ รวมทั้งสามารถดาวน์โหลด และสั่งให้ Malware อื่นๆทำงานได้เช่นเดียวกัน

ตอนนี้ Microsoft ได้เผยแพร่ Patches เพื่อแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้วตั้งแต่เดือนเมษายนที่ผ่านมา จึงขอแนะนำให้ผู้ใช้ทุกคนทำการอัพเดทระบบ และเครื่องของตนเอง รวมถึงตรวจดู Email ที่ได้รับมาอย่างถี่ถ้วนก่อนทำการเปิดไฟล์ที่แนบมา จะเป็นการป้องกันการถูกโจมตีผ่านช่องโหว่นี้ได้ดีที่สุด

ที่มา: itproportal

"SyncCrypt" Ransomware ตัวใหม่ ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Emxisoft แพร่กระจายโดยใช้ไฟล์ที่แนบมาใน SPAM ซึ่งจะไปเรียก WSF ไฟล์อีกทีนึง เมื่อผู้ใช้งานเผลอติดตั้งไฟล์ดังกล่าว เครื่องคอมพิวเตอร์จะถูกเข้ารหัส และใส่ .kk ต่อท้ายชื่อไฟล์ที่เข้ารหัส
การใช้ไฟล์ WSF ไม่ใช่เรื่องแปลกใหม่ แต่วิธีการทำงานในครั้งนี้ของมันน่าสนใจเพราะสคริปต์ WSF จะดาวน์โหลดภาพที่มีการฝังไฟล์ ZIP ซึ่งเก็บไฟล์ที่มีความจำเป็นต่อกระบวนการเข้ารหัสของ SyncCrypt ไว้ ทำให้สามารถหลบหลีกการตรวจจับของ antivirus ได้ เมื่อ SyncCrypt ทำการเข้ารหัสเครื่องคอมพิวเตอร์เสร็จแล้วโฟลเดอร์ที่ชื่อว่า README จะปรากฏบนเดสก์ท็อป โดยจะมีไฟล์ AMMOUNT.txt, key, readme.

Hacker ได้ทำการขโมย Ethereum ซึ่งเป็นสกุลเงินดิจิตอลชนิดหนึ่ง ไปเป็นจำนวน 8.4 ล้านดอลลาร์ โดยการขโมยครั้งนี้เป็นครั้งที่ 4 แล้วสำหรับสกุลเงิน Ethereum ที่เกิดขึ้นในรอบเดือนที่ผ่านมา เมื่อรวมการโจรกรรมที่ผ่านมาทั้งหมดพบว่ามีมูลค่ารวมกว่า 32 ล้านดอลลาร์แล้ว การขโมยครั้งนี้อาศัยช่องโหว่จาก Ethereum wallet ที่ชื่อว่า Parity ซึ่งเป็น Client ที่สามารถ Plug in เข้ากับ Web Browser ที่ใช้งานอยู่ได้

ทั้งนี้ Veritaseum ซึ่งเป็นกลุ่มที่จัดตั้งขึ้นเพื่อระดมทุนใน Ethereum ได้ออกมายืนยันแล้วว่า Hacker ได้มีการขโมย Ethereum จาก ICO ไปจริงๆ ตั้งแต่วันอาทิตย์ 23 กรกฎาคมที่ผ่านมา แต่อย่างไรก็ตาม Veritaseum ก็ได้กล่าวเพิ่มเติมว่า Token ที่ถูกขโมยไปจาก ICO นั้นมีจำนวน 37000 Tokens จากทั้งหมด 1 ร้อยล้าน Tokens ซึ่งไม่ส่งผลกระทบอะไรต่อ ICO และ Veritaseum เองก็ได้ให้คำมั่นว่าทีมจะป้องกันไม่ให้มีเหตุการณ์เช่นนี้เกิดขึ้นอีกในอนาคต

ที่มา : thehackernews

Gilbert Sison และ Janus Agcaoili นักวิจัยด้านความปลอดภัยจาก Trend Micro พบ Cerber ransomware Version ใหม่ ขโมย Bitcoin Wallet และ Password ใน Browser
ransomware ตัวนี้จะค้นหาไฟล์ข้อมูลที่เกี่ยวข้องกับ Bitcoin Wallet ไม่ว่าจะเป็น wallet.

Zimperium ได้รายงานถึง Application Snapchat เวอร์ชั่นปลอมบน Google Play Store โดยหากสังเกตุจะพบว่า Snapchat เวอร์ชั่นดังกล่าวจะพัฒนามาจาก "Snap Inc.

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.

พบกลุ่มผู้ก่อการร้ายไซเบอร์แบบใหม่ในรัสเซียใช้เครื่องมือแฮ็คจาก NSA ที่เคยถูกนำมาใช้การแพร่ระบาด WannaCry และ NotPetya แต่ในครั้งนี้เป็นการกำหนดเป้าหมายเป็นเครือข่าย Wi-Fi เพื่อสอดแนมผู้ที่มาเข้าพักโรงแรมในหลายประเทศในยุโรป

นักวิจัยด้านความปลอดภัยจาก FireEye ได้เปิดเผยข้อมูลของกลุ่ม Hacker Fancy Bear ที่เคยมีการขโมยข้อมูลจากแขกที่เข้ามาพักในโรงแรมผ่านทางเครือข่าย Wi-Fi ของโรงแรม จากข้อมูลพบว่าเป็นการใช้ประโยชน์จากช่องโหว่ Windows SMB (CVE-2017-0143) ที่เรียกว่า EternalBlue

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ถูกส่งไปให้กับพนักงานของโรงแรม อีเมลจะมีไฟล์เอกสารที่เป็นอันตรายที่ชื่อ "Hotel_Reservation_Form.

เมื่อช่วงปลายเดือน กรกฎาคม ที่ผ่านมาผู้ใช้บริการ Internet ของ Bharat Sanchar Nigam (BSNL) และ Mahanagar Telephone Nigam Limited (MTNL) จำนวนมากในอินเดียไม่สามารถใช้บริการ Internet ได้ เนื่องจากโมเด็มและเราเตอร์กว่า 60,000 เครื่องถูกโจมตีด้วยมัลแวร์ BrickerBot

BrickerBot เป็นสายพันธุ์มัลแวร์ที่ใช้ในการโจมตีอุปกรณ์ IoT และอุปกรณ์ Network ที่ใช้ Linux โดยโมเด็มที่ติดไวรัสมัลแวร์ BrickerBot เป็นโมเด็มที่ใช้รหัสผ่านเริ่มต้น (admin / admin) ซึ่งหลังจากเหตุการณ์ดังกล่าวทาง MTNL และ BSNL ได้ทำการแจ้งให้ผู้ใช้จำนวนกว่า 2,000 รายเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ ซึ่งจะแตกต่างจากมัลแวร์อื่น ๆ ที่ทำการยึดอุปกรณ์ไว้ใช้สำหรับเป็น botnet ในการโจมตี DDoS และวัตถุประสงค์อื่น ๆ

Recommendation :
- เปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่ามาจากโรงงานผลิตให้มีความมั่นคงปลอดภัยสูงขึ้น
- ปิด Service Telnet , SSH ไม่ให้สามารถเข้าถึงได้จากภายนอก
- ทำการ update patch ของอุปกรณ์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : BLEEPINGCOMPUTER

Rapid 7 เปิดเผยรายงาน ระบบกว่า 7 ล้านระบบยังมีการตั้งค่าโปรโตคอล RDP (Remote Desktop) ที่ไม่ปลอดภัย

โปรโตคอล RDP (Remote Desktop Protocol) ซึ่งให้บริการอยู่ที่พอร์ต TCP 3389 นั้นเป็นเป้าหมายสำคัญที่ผู้โจมตีมักใช้ในการเข้าถึงระบบรวมถึงแพร่กระจายมัลแวร์ เพราะเป็นช่องทางสำคัญที่ผู้โจมตีสามารถควบคุมระบบได้อย่างเบ็ดเสร็จโดยไม่จำเป็นต้องมีการโจมตีที่ซับซ้อน

Rapid 7 เปิดเผยรายงานว่า ระบบทั่วโลกกว่า 7.2 ล้านระบบ ยังคงมีการตั้งค่าการใช้งานโปรโตคอล RDP ที่ไม่ปลอดภัย หลังจากได้มีการทดสอบโดยการสแกนแบบกวาดเมื่อช่วงต้นปี 2017 ที่ผ่านมา ซึ่งหมายความว่ายังคงมีระบบที่เปิดให้ใครก็ได้สามารถพยายาม brute force และเข้าควบคุมได้อีกเป็นจำนวนมาก

อย่างไรก็ตาม Rapid 7 ยังเปิดเผยว่าระบบที่ตรวจพบว่ามีการเปิดใช้งาน RDP นั้นโดยส่วนมากกว่า 83% มีการใช้งานขั้นตอนการพิสูจน์ตัวตนที่ค่อนข้างปลอดภัย โดยมีเพียง 15% เท่านั้นที่ขั้นตอนการพิสูจน์ตัวตนยังไม่มีการเข้ารหัสและ/หรือใช้โปรโตคอลในรุ่นเก่า

อีกปัจจัยหนึ่งที่สำคัญคือการตั้งพาสเวิร์ดที่ระบบส่วนมากยังคงตั้งรหัสผ่านที่มีความแข็งแกร่งน้อยทำให้ง่ายต่อการเข้าถึงระบบ

ที่มา : bleepingcomputer

แจ้งเตือน Backdoor บนซอฟต์แวร์ Xmanager และ Xshell จาก NetSarang

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เปิดเผยการค้นพบ backdoor "Shadowpad" หรือช่องทางลับบนซอฟต์แวร์จัดการเซิร์ฟเวอร์จาก NetSarang (อาทิ Xmaanger, Xshell)

Backdoor ดังกล่าวนั้นซ่อนอยู่ในไฟล์ nssock2.dll ซึ่งเมื่อถูกเริ่มการทำงาน มันจะทำการติดต่อไปยัง C&C server ผ่านโปรโตคอล DNS โดยเข้ารหัสข้อมูลและคำสั่งที่มีการรับส่ง ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถเก็บข้อมูลของเซิร์ฟเวอร์ที่ซอฟต์แวร์มีการเชื่อมต่อและส่งกลับไปให้ผู้โจมตีได้

จากการวิเคราะห์เบื้องต้นนั้นเชื่อว่า ผู้โจมตีน่าจะมีการเข้าถึงระบบของ Netsarang เพื่อแอบใส่ backdoor เข้าไปในช่วงที่มีการพัฒนาซอฟต์แวร์ซึ่งส่งผลให้ลายเซ็นต์ดิจิตอลของซอฟต์แวร์นั้นไม่ถูกเปลี่ยนแปลง Kaspersky ยังตรวจพบความเหมือนกันของโค้ดที่มีการใช้งานเมื่อเปรียบเทียบกับมัลแวร์อย่าง PlugX และ Winnti ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์จีน

เวอร์ชันของซอฟต์แวร์ที่ได้รับผลกระทบได้แก่:
- Xmanager Enterprise 5.0 Build 1232
- Xmanager 5.0 Build 1045
- Xshell 5.0 Build 1322
- Xftp 5.0 Build 1218
- Xlpd 5.0 Build 1220

Recommendation : แนะนำให้ตรวจสอบเวอร์ชันที่ใช้งานอยู่และอัพเดตโดยด่วน หากตรวจพบว่าใช้งานเวอร์ชันที่น่าจะมี backdoor แนะนำให้ทำการเปลี่ยนรหัสผ่านในทุกๆ ระบบที่เคยเชื่อมต่อด้วย

ที่มา : theregister