News

แพตซ์อัปเดต Chrome เวอร์ชัน 102 แก้ไขช่องโหว่ระดับสูงหลายรายการ

ในสัปดาห์นี้ Google ออกแพตซ์อัปเดตเบราว์เซอร์ Chrome ที่แก้ไขช่องโหว่เจ็ดรายการ โดยมีช่องโหว่ 4 รายการที่ถูกรายงานโดยนักวิจัยจากภายนอก

ช่องโหว่แรกมีหมายเลข CVE-2022-2007 โดยเป็นช่องโหว่เรื่อง use-after-free ใน WebGPU ถูกรายงานโดย David Manouchehri ซึ่งได้รับรางวัล 10,000 ดอลลาร์สำหรับการค้นพบช่องโหว่ดังกล่าว

Use-after-free จะเกิดขึ้นเมื่อโปรแกรมไม่เคลียร์ pointer หลังจากจัดสรรหน่วยความจำให้ว่าง จึงทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการสั่งรันโค้ดได้ตามที่ต้องการ, ทำให้เกิด DoS, data corruption หรือเป็นช่องทางให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้หากโจมตีร่วมกับช่องโหว่อื่นๆของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถเจาะผ่าน Sandbox ออกมาได้

ช่องโหว่ use-after-free อื่นที่ได้รับการแก้ไขในครั้งนี้ด้วยคือ CVE-2022-2011 ช่องโหว่ใน ANGLE ซึ่งเป็น graphics engine ของ Chrome ถูกรายงานโดย SeongHwan Park

อีกช่องโหว่หมายเลข CVE-2022-2008 ช่องโหว่ out-of-bounds memory access in WebGL ถูกรายงานโดย Tran Van Khang นักวิจัยจาก VinCSS Cybersecurity

ซึ่ง Google ระบุว่ายังไม่ได้กำหนดจำนวนเงินรางวัลที่จะต้องจ่ายสำหรับช่องโหว่ทั้งสองรายการนี้

ช่องโหว่ที่ 4 CVE-2022-2010 ช่องโหว่ out-of-bounds read in compositing ถูกรายงานโดย Mark Brand จาก Google Project Zero ซึ่งตามนโยบายของ Google นักวิจัยของ Google เองจะไม่ได้รับรางวัล

เวอร์ชันล่าสุดของ Chrome สำหรับผู้ใช้ Windows, Mac และ Linux คือเวอร์ชัน 102.0.5005.115 โดย Google ไม่ได้กล่าวถึงช่องโหว่เหล่านี้ว่าถูกนำไปใช้ในการโจมตีจริงแล้วหรือยัง แต่ก็แนะนำให้ผู้ใช้งานอัปเดตเบราว์เซอร์ของตนโดยเร็วที่สุด

ที่มา: Securityweek

 

มัลแวร์ Symbiote ตัวใหม่ สามารถควบคุมกระบวนการทำงานทั้งหมดบนระบบ Linux

มัลแวร์ตัวใหม่บน Linux ที่พึ่งถูกตรวจพบมีชื่อว่า Symbiote โดยมันสามารถเข้าควบคุม Process ทั้งหมดบนระบบของเหยื่อเพื่อขโมยข้อมูลบัญชีผู้ใช้งาน และเปิด Backdoor ให้ผู้โจมตีสามารถเข้าถึงอีกในภายหลังได้

หลังจากมัลแวร์ถูกติดตั้ง และควบคุม Process ที่ทำงานอยู่ทั้งหมด โดยมันจะเกาะติดกับทุก Process และไม่ทิ้งร่องรอยที่สามารถระบุได้ว่าระบบติดมัลแวร์ ถึงแม้ว่าจะมีการตรวจสอบอย่างละเอียดก็ตาม

Symbiote มีการใช้ฟังก์ชัน BPF (Berkeley Packet Filter) เพื่อดักจับแพ็กเก็ตข้อมูลบนเครือข่าย และเพื่อซ่อนช่องทางการสื่อสารของมันจากการตรวจจับของเครื่องมือรักษาความปลอดภัย

แพร่กระจายบนระบบผ่าน Shared objects

แทนที่จะมีรูปแบบทั่วไปอย่าง executable ไฟล์ Symbiote กลับเป็น shared object (SO) library ที่ใช้โหลดเข้าสู่ Process ที่กำลังรันอยู่บนเครื่องของเหยื่อ โดยการใช้คำสั่ง LD_PRELOAD เพื่อให้สามารถมี priority สูงกว่า SOs อื่นๆ

ด้วยการถูกโหลดเป็นอันดับต้นๆ มัลแวร์ Symbiote สามารถเชื่อมต่อฟังก์ชัน "libc" และ "libpcap" และดำเนินการต่างๆ เพื่อปกปิดการมีอยู่ของมัลแวร์ เช่น การซ่อน process การซ่อนไฟล์ที่ใช้กับมัลแวร์ และอื่นๆ

ถ้าผู้ดูแลระบบเริ่มพยายามตรวจสอบการรับส่งข้อมูลที่น่าสงสัยบนเครือข่าย มัลแวร์ Symbiote จะแทรกตัวเองเข้าไปใน process ของซอฟต์แวร์ที่ใช้ตรวจสอบ และใช้ BPF hooking เพื่อกรองผลลัพธ์ที่จะแสดงข้อมูลที่บ่งบอกถึงพฤติกรรมของมัลแวร์

เพื่อซ่อนพฤติกรรมของมัลแวร์บนเครือข่ายของเหยื่อ มัลแวร์ Symbiote จะจัดการรายการเชื่อมต่อที่ต้องการซ่อน ทำการกรองแพ็กเก็ตผ่าน BPF และลบการรับส่งข้อมูล UDP ไปยังชื่อโดเมนที่อยู่ในรายการ

แบ็คดอร์ และการขโมยข้อมูล

มัลแวร์ตัวใหม่นี้ใช้วิธีการขโมยข้อมูลบัญชีผู้ใช้จากเครื่องเหยื่อโดยอัตโนมัติโดยการเชื่อมต่อกับฟังก์ชัน "libc read" นี่จึงทำให้เมื่อผู้โจมตีเข้าถึงข้อมูลบัญชีผู้ใช้บนระบบ Linux ได้ ก็มีโอกาสที่จะสามารถเข้าถึงเครื่องอื่นๆบนระบบของเหยื่อได้เช่นเดียวกัน

มัลแวร์ Symbiote ยังช่วยให้ผู้โจมตีสามารถเข้าถึง SSH จากระยะไกลไปยังเครื่องผ่านบริการ PAM และยังช่วยให้ผู้โจมตีได้รับสิทธิ์ Root บนระบบอีกด้วย

เป้าหมายของมัลแวร์ส่วนใหญ่เป็นหน่วยงานที่เกี่ยวข้องกับการเงินใน Latin America โดยการแอบอ้างเป็นธนาคารของบราซิล ตำรวจสหพันธรัฐของประเทศ ฯลฯ

นักวิจัยกล่าวว่า เนื่องจากมัลแวร์ทำงานเป็น User-land level rootkit การตรวจจับการติดมัลแวร์จึงเป็นเรื่องยาก

เทคนิคของมัลแวร์ดังกล่าวที่ใช้ในการโจมตีระบบ Linux นั้นคาดว่าจะเพิ่มปริมาณขึ้นอย่างมาก เนื่องจากเครือข่ายองค์กรขนาดใหญ่มีการใช้งานระบบ Linux เป็นจำนวนมาก

ที่มา: Bleepingcomputer  

 

 

Linux version of Black Basta ransomware targets VMware ESXi servers

แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi

Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร

กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว

การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น

กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi (more…)

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)

มัลแวร์ Emotet สามารถขโมยข้อมูลบัตรเครดิตจากผู้ใช้ Google Chrome ได้

Emotet กำลังพยายามขโมยข้อมูลบัตรเครดิตจากเหยื่อด้วยโมดูลที่ออกแบบมาเพื่อหาข้อมูลบัตรเครดิตที่ถูกเก็บไว้ในโปรไฟล์ของผู้ใช้ Google Chrome

หลังจากขโมยข้อมูลบัตรเครดิต (เช่น ชื่อ เดือน และปีที่หมดอายุ หมายเลขบัตร) มัลแวร์จะส่งข้อมูลกลับไปยัง C2 Server คนละที่กับ C2 Server ที่ใช้รับคำสั่งสำหรับการทำงานของโมดูลที่ใช้ขโมยข้อมูล

"เมื่อวันที่ 6 มิถุนายน Proofpoint เราสังเกตเห็นว่าโมดูลใหม่ของ #Emotet ถูกใช้จาก E4 Botnet" ทีมงาน Proofpoint Threat Insights กล่าว

น่าแปลกใจมากที่โมดูลที่ใช้สำหรับขโมยข้อมูลบัตรเครดิต มุ่งเป้าหมายไปที่เบราว์เซอร์ Chrome เท่านั้น หลังจากได้ข้อมูลของบัตรเครดิตแล้ว ข้อมูลจะถูกส่งออกไปยัง C2 Server คนละที่กับ C2 Server ที่ใช้รับคำสั่งในการขโมยข้อมูล"

การเปลี่ยนแปลงพฤติกรรมนี้เกิดขึ้นหลังจากที่มีการพบการโจมตีที่สูงขึ้นจาก Emotet ในเดือนเมษายน และยังมีการเปลี่ยนไปใช้ตัว loader เป็น 64 บิต ตามที่กลุ่มนักวิจัยด้านความปลอดภัยของ Cryptolaemus พบ

หนึ่งสัปดาห์ต่อมา Emotet ก็เริ่มใช้ไฟล์ช็อตคัทของ Windows (.LNK) เพื่อรันคำสั่ง PowerShell เพื่อติดตั้งมัลแวร์ แทนที่จะใช้มาโครของ Microsoft Office เหมือนเดิม เนื่องจาก Microsoft ตั้งค่าปิดการใช้งานมาโครไว้เป็นค่าเริ่มต้นตั้งแต่ต้นเดือนเมษายน 2022

การฟื้นคืนชีพของ Emotet malware

Emotet ได้รับการพัฒนา และนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลการทำธุรกรรมทางธนาคารในปี 2014 โดยได้พัฒนาเป็น botnet ที่กลุ่ม TA542 (หรือที่รู้จักว่า Mummy Spider) ใช้เป็น second-stage เพย์โหลด นอกจากนี้ยังถูกใช้ในการขโมยข้อมูลของผู้ใช้งาน ค้นหาช่องโหว่บนเครือข่ายของเหยื่อ และแพร่กระจายไปยังเครื่องต่างๆที่มีช่องโหว่บนระบบของเหยื่อ

Emotet ยังเป็นที่รู้จักในเรื่องการแอบติดตั้งมัลแวร์ Qbot และ Trickbot บนเครื่องของเหยื่อ ซึ่งจะใช้สำหรับดาวน์โหลดมัลแวร์อื่นๆเพิ่มเติม เช่น Cobalt Strike beacon และ ransomware อย่างเช่น Ryuk และ Conti

เมื่อต้นปี 2564 ระบบของ Emotet ถูกปิดการทำงานจากการบังคับใช้กฎหมายระหว่างประเทศ ซึ่งนำไปสู่การจับกุมผู้ที่เกี่ยวข้อง 2 ราย โดยหน่วยงานบังคับใช้กฏหมายของเยอรมนีใช้ระบบของ Emotet เอง เพื่อสั่งการถอนการติดตั้งมัลแวร์จากอุปกรณ์ต่างๆที่ Emotet ยึดครองไว้ทั้งหมดเมื่อวันที่ 25 เมษายน 2021

แต่ Emotet กลับมาออนไลน์อีกครั้งในเดือนพฤศจิกายน 2021 โดยใช้ระบบที่มีอยู่แล้วของ TrickBot โดยถูกพบจากกลุ่มนักวิจัยจาก Cryptolaemus บริษัทรักษาความปลอดภัยคอมพิวเตอร์ GData และบริษัทรักษาความปลอดภัยในโลกไซเบอร์ Advanced Intel ซึ่งตรวจพบมัลแวร์ TrickBot ถูกใช้เพื่อแอบติดตั้ง Emotet

ตามที่ ESET เปิดเผยเมื่อวันอังคารที่ผ่านมา Emotet มีปฏิบัติการเพิ่มขึ้นอย่างมากตั้งแต่ต้นปี "ด้วยการโจมตีที่เพิ่มขึ้นมากกว่า 100 เท่าเมื่อเทียบกับ T3 2021"

ที่มา: bleepingcomputer

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS)

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS) ที่เข้าถึงได้จากอินเทอร์เน็ต

Fernando Mercês ผู้เชี่ยวชาญจาก Trend Micro ได้รายงานถึงการพบ DeadBolt ransomware รูปแบบใหม่ซึ่งต่างจาก Ransomware อื่นๆที่มักจะมีเป้าหมายไปยังอุปกรณ์ต่างๆขององค์กร

แต่ในครั้งนี้เป้าหมายคือระบบ Network Attached Storage (NAS) ที่มีการที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) สาเหตุเกิดจากปัจจัยหลายประการ เช่น ระบบมีความปลอดภัยที่ต่ำ ความพร้อมใช้งานสูง มูลค่าของข้อมูลสูง และเป็นระบบปฏิบัติการที่ใช้อย่างแพร่หลายทั่วไปอย่าง Linux โดยเป้าหมายในครั้งนี้เป็นทั้งผู้ให้บริการ และผู้รับบริการ NAS นอกจากนี้ Script ของ Ransomware เป็นรูปแบบใหม่ที่สามารถเข้ารหัสไฟล์ให้ตรงกับ Vendor บนระบบ NAS ได้ ซึ่งอาจจะเป็นมาตรฐานของ Ransomware อื่นๆต่อไปที่จะเกิดขึ้นในอนาคต

โดยในเดือนพฤษภาคมที่ผ่านมา QNAP ได้ออกมาเตือนผู้ใช้งาน NAS ให้ระวังการถูกโจมตีจาก DeadBolt ransomware และในเดือนมกราคม รายงานจาก Censys.

Qbot malware now uses Windows MSDT zero-day in phishing attacks

Qbot เริ่มนำช่องโหว่ Windows MSDT zero-day มาใช้ในการโจมตีแบบฟิชชิ่ง

ช่องโหว่ Zero-day ของ Windows หรือที่รู้จักในชื่อ Follina ซึ่งปัจจุบันยังไม่ได้รับการแก้ไขจาก Microsoft ถูกนำไปใช้ประโยชน์ด้วยการโจมตีผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายซึ่งจะทำให้เหยื่อติดมัลแวร์ Qbot

Proofpoint รายงานเมื่อวันจันทร์ว่ามีการใช้ zero-day ดังกล่าวมาใช้โจมตีในรูปแบบฟิชชิ่ง ซึ่งกำหนดเป้าหมายไปยังหน่วยงานรัฐบาลของสหรัฐอเมริกา และสหภาพยุโรป

โดยเมื่อสัปดาห์ที่ผ่านมา บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พึ่งจะเปิดเผยว่าพบกลุ่มแฮ็คเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีที่กำหนดเป้าหมายไปยังชาวทิเบตเช่นเดียวกัน

ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Proofpoint ได้เผยแพร่ในวันนี้พบว่ากลุ่ม TA570 ได้เริ่มใช้เอกสาร Microsoft Office .docx ที่เป็นอันตรายเพื่อโจมตีโดยใช้ช่องโหว่ Follina CVE-2022-30190 และทำให้เหยื่อติดมัลแวร์ Qbot

ผู้โจมตีใช้วิธีการแนบไฟล์ HTML ไปในอีเมล ซึ่งหากเหยื่อคลิกเปิดไฟล์ มันจะทำการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ IMG อยู่ภายใน และภายไฟล์ IMG จะประกอบไปด้วยไฟล์ DLL, Word และ shortcut files

ซึ่งไฟล์ shortcut จะโหลด Qbot DLL ที่มากับไฟล์ IMG ส่วนไฟล์ .docx จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อโหลดไฟล์ HTML ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อเรียกใช้โค้ด PowerShell ที่จะดาวน์โหลด และรัน Qbot DLL อีกตัวหนึ่ง

เป็นอีกครั้งในปีนี้ที่เครือข่ายของ Qbot พยายามเปลี่ยนวิธีการโจมตี โดยครั้งแรกในช่วงเดือนกุมภาพันธ์ มันจะใช้กลอุบายที่เก่าที่เรียกว่า Squibbledoo เพื่อแพร่กระจายมัลแวร์ผ่านเอกสาร Microsoft Office โดยใช้ regsvr32.exe

อีกครั้งในเดือนเมษายน หลังจากที่ Microsoft เริ่มเปิดตัวฟีเจอร์ VBA macro autoblock สำหรับผู้ใช้ Office บน Windows กลุ่มแฮ็คเกอร์จึงหยุดใช้เอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย และเปลี่ยนเป็นไฟล์แนบไฟล์ ZIP ที่ใส่รหัสผ่าน ที่ภายในมีตัวติดตั้งแบบ MSI Windows Installer แทน

Qbot คืออะไร?

Qbot (หรือที่รู้จักว่า Qakbot, Quakbot และ Pinkslipbot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร และด้วยความสามารถของมันที่แพร่กระจายบนระบบในลักษณะ worm ทำให้มันสามารถแพร่กระจายไปบนเครือข่ายของเหยื่อได้เป็นจำนวนมากผ่านการโจมตีด้วยวิธีการ brute-force บัญชีผู้ดูแลระบบบน Active Directory

มัลแวร์นี้ถูกใช้มาตั้งแต่ปี 2550 เพื่อเก็บข้อมูลธนาคาร, ข้อมูลส่วนบุคคล, ข้อมูลทางการเงิน และเป็นแบ็คดอร์เพื่อแอบติดตั้ง Cobalt Strike beacons

บริษัทในเครือ Ransomware ที่เชื่อมโยงกับการดำเนินการในลักษณะ Ransomware as a Service (RaaS) (รวมถึง REvil, PwndLocker, Egregor, ProLock และ MegaCortex) ต่างก็ใช้ Qbot เพื่อเข้าถึงเครือข่ายองค์กร

ที่มา: www.

ช่องโหว่ RDS PostgreSQL ทำให้สามารถดึง AWS internal credentials ออกมาได้

นักวิจัยจาก Lightspin พบช่องโหว่ local file read ใน RDS และ Aurora PostgreSQL บน AWS โดยการใช้ third-party open-source PostgreSQL extension ที่ชื่อว่า “log_fdw” ปกติแล้ว log_fdw จะใช้ในการอ่านไฟล์ log ในเครื่อง RDS แต่นักวิจัยสามารถ Bypass การตรวจสอบชื่อไฟล์ของ log_fdw ทำให้สามารถอ่านไฟล์ใดก็ได้ในเครื่อง RDS

โดย RDS คือบริการ Database ที่ผู้ใช้งานไม่ต้องบริหารจัดการตัว OS, Database Patch หรือ Security Patch ทุกอย่างถูกจัดการให้โดย AWS จึงทำให้ปกติแล้วผู้ใช้งานจะไม่มีสิทธ์เข้าถึง OS โดยตรง หรือสิทธ์ Superuser ใน Database

ซึ่งนักวัจัยพบว่าเมื่อสามารถเข้าถึงไฟล์ RDS config ‘/rdsdbdata/config/postgresql.

QBot ผนึกกำลัง Black Basta ransomware เพิ่มประสิทธิภาพในการโจมตี

กลุ่มแรนซัมแวร์ Black Basta ร่วมมือกับมัลแวร์ QBot เพื่อเพิ่มความสามารถในการเข้าควบคุมระบบของเหยื่อได้ดีขึ้น

โดย QBot (QuakBot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร, ข้อมูลผู้ใช้งานบน Windows domain และดาวน์โหลดมัลแวร์ตัวอื่นๆมาลงบนอุปกรณ์ที่ติด QBot

เหยื่อมักจะถูกโจมตีจาก Qbot ผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย แม้ตัวมันจะเริ่มต้นจากการเป็นแค่โทรจันสำหรับขโมยข้อมูลบัญชีผู้ใช้ธนาคาร แต่ต่อมาก็มีการร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ รวมถึง MegaCortex, ProLock, DoppelPaymer และ Egrego

การร่วมมือกับกลุ่ม Black Basta

Black Basta เป็นกลุ่มแรนซัมแวร์ที่ค่อนข้างใหม่ โดยเริ่มพบการโจมตีหลายบริษัทในเวลาอันสั้น และเรียกเงินค่าไถ่เป็นจำนวนมาก

ผู้เชี่ยวชาญจาก NCC Group ค้นพบความร่วมมือระหว่าง Qakbot และ Black Basta กับเหตุการณ์ที่เกิดขึ้นเมื่อเร็วๆ นี้ ซึ่งสามารถระบุได้จากเทคนิคที่ใช้โดยผู้โจมตี

ในขณะที่กลุ่มแรนซัมแวร์ทั่วไปมักใช้ QBot ในการเป็นช่องทางแรกในการเข้าถึงระบบของเหยื่อ แต่ NCC กล่าวว่ากลุ่ม Black Basta กลับใช้มันเพื่อแพร่กระจายตัวเองไปยังภายในเครือข่ายของเหยื่อ โดยมัลแวร์จะสร้างการเชื่อมต่อชั่วคราวบนโฮสต์เป้าหมาย และสั่งให้เรียกใช้งาน DLL โดยใช้ regsvr32.exe

เมื่อ Qakbot เริ่มทำงานแล้ว มันจะสามารถแพร่กระจายในเครือข่ายผ่านการ brute-force account บน AD หรือผ่านทาง SMB file sharing protocol

นักวิเคราะห์ยังค้นพบไฟล์ข้อความชื่อ “pc_list.

Mandiant ยืนยัน ยังไม่พบหลักฐานว่าบริษัทถูกโจมตีจาก LockBit ransomware

เมื่อวันที่ 6 มิถุนายนที่ผ่านมา กลุ่ม LockBit ransomware ได้เผยแพร่ข้อมูลลงบนเว็บไซต์รายงานข้อมูลรั่วไหล ในเนื้อหากล่าวว่าจะมีการเผยแพร่ข้อมูลกว่า 356,841 ไฟล์ ของบริษัท Mandiant ที่เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาในอีก 3 ชั่วโมงข้างหน้า

ซึ่งทาง LockBit ยังไม่ได้เปิดเผยว่าเป็นไฟล์ชนิดใด พบเพียงตัวอย่างเป็นไฟล์ชื่อ 'mandiantyellowpress.