News

แจ้งเตือน Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ไปยังอุปกรณ์ต่าง ๆ บน LAN ได้

หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส หรือ ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ได้เปิดเผยถึงการค้นพบ Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ซึ่งจะสามารถแพร่กระจายไปยังอุปกรณ์อื่น ๆ บน Local network ของผู้ที่ตกเป็นเหยื่อได้

ความสามารถใหม่ของ Ryuk ransomware ที่หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศสพบจากการตรวจสอบการโจมตีเมื่อต้นปี 2021 คือ Ryuk ransomware ที่ทำการเเพร่กระจายตัวเองไปยัง Local network โดยการใช้ ARP cache และตัว Ryuk ยังมีแพ็คเกจที่สามารถส่ง Wake-on-LAN (WOL) ไปยังอุปกรณ์ที่ค้นพบและเมื่อแรนซัมแวร์ทำการเชื่อมต่อกับอุปกรณ์ที่พบในเครือข่ายตัวแรนซัมแวร์จะสามารถเข้ารหัสเนื้อหาทั้งหมดบนเครื่อง

นอกจากนี้ความสามารถในการเเพร่กระจายตัวไปยังเครือข่ายในลักษณะแบบ Worm แล้ว Ryuk ransomware ยังสามารถดำเนินการเองได้จากระยะไกลโดยใช้ Scheduled tasks ที่สร้างขึ้นในแต่ละโฮสต์ที่ถูกบุกรุกภายในเครือข่ายด้วยเครื่องมือ schtasks.

Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ผู้ดูแลระบบควรอัปเดตเเพตช์ด่วน!

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.

Google เปิดตัวฟีเจอร์ Password Checkup สำหรับผู้ใช้ Android

ผู้ใช้ Android สามารถใช้ฟีเจอร์ Password Checkup ของ Google ได้แล้วหลังจากที่ Google เปิดฟีเจอร์ให้สามารถใช้งานใน Chrome เบราว์เซอร์เมื่อปลายปี 2019 ที่ผ่านมา

ฟีเจอร์ Password Checkup ของ Google เป็นฟีเจอร์การตรวจสอบรหัสผ่านว่าเคยรั่วไหลทางออนไลน์หรือไม่จากฐานข้อมูลที่มีบันทึกหลายพันล้านรายการจากการละเมิดข้อมูลสาธารณะและถูกจัดให้เป็นเป็นส่วนหนึ่งของ Autofill with Google ที่ถูกใช้ในระบบปฏิบัติเพื่อเลือกข้อความจากแคชและกรอกแบบฟอร์ม

Google กล่าวว่าการใช้งานฟีเจอร์ Password Checkup นั้น กลไกการตรวจสอบรหัสผ่านนี้จะไม่เปิดเผยข้อมูล Credential ของผู้ใช้เนื่องจากฟีเจอร์จะทำการตรววจสอบเฉพาะแฮชของข้อมูล Credential เท่านั้น จากนั้นเซิร์ฟเวอร์ทำการตรวจสอบแฮชจากฐานข้อมูลและจะส่งคืนค่ารายการแฮชที่เข้ารหัสของข้อมูล Credential ที่ทำการตรวจสอบเพื่อแจ้งให้ผู้ใช้ทราบว่าข้อมูลเคยถูกละเมิดหรือไม่

ฟีเจอร์ Password Checkup ของ Google นี้ผู้ใช้ Android 9+ ทุกคนสามารถใช้งานได้วันนี้ โดยสามารถเปิดใช้งานการได้โดยเข้าไปที่ Settings จากนั้นไปที่ System > Languages & input > Advanced จากนั้นมองหา Autofill service เพื่อเปิดการใช้งาน ทั้งนี้ผู้ใช้ iOS 14 มีฟีเจอร์การตรวจสอบรหัสผ่านที่คล้ายกันอยู่แล้วตั้งเเต่กลางปี 2019 ที่ผ่านมา

ที่มา: zdnet

T-Mobile เปิดเผยถึงการละเมิดข้อมูลหลังจากที่ลูกค้าไม่ทราบจำนวนได้รับผลกระทบจากการโจมตีด้วยเทคนิค SIM Swap Attack

T-Mobile ผู้ให้บริการโทรคมนาคมสัญชาติอเมริกันได้เปิดเผยถึงการละเมิดข้อมูลหลังจากที่ลูกค้าไม่ทราบจำนวนได้รับผลกระทบจากการโจมตีด้วยเทคนิค SIM Swap Attack

T-Mobile ได้ทำการแจ้งเตือนเรื่องการละเมิดข้อมูลถึงลูกค้าที่ได้รับผลกระทบเมื่อวันที่ 9 กุมภาพันธ์ 2564 และยื่นคำร้องต่อสำนักงานอัยการสูงสุดของสหรัฐอเมริกาเพื่อขออนุมัติการหยุดให้บริการช่วยคราวกับลูกค้าที่ได้รับผลกระทบเพื่อสืบสวนเหตุต่อเหตุการณ์การโจมตีและเพื่อป้องกันข้อมูลของลูกค้ารั่วไหล

T-Mobile เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของลูกค้ารวมถึงข้อมูลส่วนบุคคลและหมายเลขประจำตัวส่วนบุคคล (PIN) และยังไม่เเน่ชัดว่าผู้โจมตีสามารถเข้าถึงบัญชีของพนักงานหรือเข้าถึงผ่านบัญชีของผู้ใช้ที่ถูกบุกรุกได้หรือไม่ เนื่องจากผู้โจมตีสามารถโอนข้อมูลหมายเลขโทรศัพท์ของลูกค้าไปยังผู้โจมตี ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึง SMS-based multi-factor authentication (MFA) ของลูกค้าได้และยังสามารถทำการโอนเงินจากบัญชีบริการออนไลน์ของเหยื่อไปยังบัญชีของผู้โจมตี

T-Mobile ได้ให้ความเห็นต่อว่าข้อมูลที่แฮกเกอร์เข้าถึงอาจรวมไปถึงชื่อ - นามสกุลของลูกค้า, อีเมล,หมายเลขบัญชีหมายเลขประกันสังคม (SSN), หมายเลขประจำตัวของบัญชี (PIN), คำถามและคำตอบด้านความปลอดภัยของบัญชี, วันเดือนปีเกิดและข้อมูลแผน

ทั้งนี้ T-Mobile ได้หยุดให้บริการชั่วคราวกับลูกค้าที่ได้รับผลกระทบและได้ออกคำแนะนำให้ผู้ที่ได้รับผลกระทบทำการเปลี่ยน PIN และรหัสผ่านของบัญชีผู้ใช้ตลอดจนคำถามและคำตอบเพื่อความปลอดภัยของบัญชี

ที่มา: bleepingcomputer

นักวิจัยเผยเเพร่เทคนิคใหม่ในการติดตามผู้ใช้งานผ่าน DNS ในชื่อ “CNAME Cloaking”

นักวิจัยภายในเครือ KU Leuven ซึ่งประกอบไปด้วย Yana Dimova, Gunes Acar, Wouter Joosen, Tom Van Goethem และ Lukasz Olejnik ได้ออกเอกสารการวิจัยซึ่งได้พบว่า บริษัทเทคโนโลยีด้านการโฆษณากำลังพยายามติดตามข้อมูลการใช้งานและข้อมูลอื่น ๆ ผ่านทางเบราว์เซอร์โดยใช้เทคนิคทางด้าน DNS มาใช้เพื่อหลบเลี่ยงการป้องกันจากผู้พัฒนาเบราว์เซอร์และรุกล้ำความเป็นส่วนตัวของผู้ใช้

เทคนิคดังกล่าวถูกเรียกว่า CNAME Cloaking ซึ่งจะถูกนำเสนอในเดือนกรกฎาคมที่จะถึงนี้ในงาน Privacy Enhancing Technologies Symposium ครั้งที่ 21 (PETS 2021) เทคนิคดังกล่าวเป็นเทคนิคการติดตามผู้ใช้โดยใช้ประโยชน์จาก CNAME record บน Subdomain เพื่อให้เบราว์เซอร์มองเว็บไซต์จาก Subdomain เป็นเว็บไซต์เดียวกันเพื่อสร้างความน่าเชื่อถือและเพื่อ Bypass การป้องกันการบล็อกคุกกี้ของผู้ใช้ที่เยื่ยมชมจากแอปพลิเคชัน Third-party ที่ถูกใช้โดยผู้ใช้หรือจากเบราว์เซอร์เอง

นอกจากนี้นักวิจัยยังพบอีกว่าการติดตามผู้ใช้ด้วย CNAME ทำให้เกิดช่องโหว่ด้านความปลอดภัยสองรายการในการใช้งาน โดยผู้ประสงค์ร้ายสามารถทำให้เว็บไซต์มีความเสี่ยงต่อการโจมตีจากเทคนิค Session fixation และเทคนิค XSS กับผู้ที่เยื่ยมชมเว็บไซต์ด้วย

ทั้งนี้ผู้พัฒนาเบราว์เซอร์อย่าง Google Chrome, Firefox, Safari, Brave กำลังพยายามแก้ไขปัญหาและคาดว่าจะมีการปล่อยการแก้ไขออกมาในลักษณะของแพตช์ด้านความปลอดภัยในเร็ววันนี้

ที่มา: thehackernews, theregister

อัปเดตสถานการณ์ SolarWinds: การแถลงการณ์กับวุฒิสภาและคณะกรรมการข่าวกรอง

ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้

1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ

องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว

ที่มา: bleepingcomputer

 

2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด

ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github

ที่มา: microsoft

 

3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister

 

3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn

แจ้งเตือนช่องโหว่ Code injection ในไลบรารี Node.js “systeminformation”

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.

แจ้งเตือนกลุ่มแฮกเกอร์ LazyScripter พุ่งเป้าโจมตีสายการบินด้วย Remote Access Trojan

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

แฮกเกอร์รัสเซียถูกระบุว่าเกี่ยวข้องกับการโจมตีระบบจัดเก็บเอกสารของรัฐบาลยูเครน

หน่วยงานความมั่นคงของยูเครน National Security and Defense Council of Ukraine (NSDC) เปิดเผยความเชื่อมโยงของแฮกเกอร์รัสเซียเข้ากับความพยายามในการโจมตีระบบจัดการเอกสารของรัฐบาลยูเครนพร้อมเผยแพร่ Indicator of compromise ที่ได้จากการโจมตี ทั้งนี้ NSDC ยังไม่มีการระบุอย่างแน่ชัดว่าเป็นกลุ่มแฮกเกอร์ใด

ระบบที่ถูกแฮกนั้นเป็นระบบที่มีชื่อว่า System of Electronic Interaction of Executive Bodies (SEI EB) ซึ่งเป็นระบบที่รัฐบาลยูเครนจะใช้ในการแบ่งปันและเผยแพร่เอกสารในหน่วยงานรัฐของยูเครน โดยจากการตรวจสอบนั้น NSDC ตรวจพบการพยายามอัปโหลดไฟล์เอกสารที่มีโค้ดที่เป็นอันตรายไปยังระบบ SEI EB ซึ่งคาดว่ามีเป้าหมายในการหลอกให้มีการดาวน์โหลดและติดตั้งมัลแวร์

ยูเครนตกเป็นเป้าการโจมตีจากรัสเซียอยู่บ่อยครั้ง โดยเมื่อช่วงสัปดาห์ที่ผ่านมา ทาง NSDC ก็มีการเปิดเผยว่ารัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีในลักษณะ DDoS ต่อระบบและเว็บไซต์ของรัฐบาล อีกทั้งยังมีกรณีที่ของมัลแวร์เรียกค่าไถ่ Egregor ที่คาดว่ามีการแพร่กระจายอย่างเฉพาะเจาะจงและมีรัฐบาลรัสเซียอยู่เบื้องหลังอีกด้วย

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group พุ่งเป้าโจมตีกลุ่มธุรกิจป้องกันประเทศด้วยมัลแวร์พิเศษ

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer