สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนถึงองค์กรต่างๆ เกี่ยวกับ แฟลชไดร์ USB อันตรายที่มาพร้อมกับ ransomware ซึ่งสามารถแพร่กระจายผ่านทางอีเมล และเป็นช่องทางให้เกิดโจมตีทางไซเบอร์ได้ โดยแฟลชไดร์ USB จะถูกส่งมาในรูปแบบของ "กล่องของขวัญตกแต่งที่มีจดหมายขอบคุณปลอม บัตรของขวัญปลอม และ USB"

รายละเอียดแผนการหลอกลวง

กลุ่มอาชญากรไซเบอร์ FIN7 ส่งของขวัญที่น่าสงสัยให้กับบริษัทต่างๆในสหรัฐอเมริกา ซึ่งพัสดุถูกปลอมแปลงให้เป็นการส่งโดยกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) หรือไม่ก็มาจาก Amazon เพื่อหลอกลวงให้ผู้รับเปิดพัสดุเหล่านี้มาใช้งาน

ในกล่องพัสดุประกอบด้วยแฟลชไดร์ USB ที่มีมัลแวร์ และยังมีจดหมายระบุรายระเอียดแนวทางปฏิบัติเกี่ยวกับไวรัสโควิด 19 ซึ่งคาดว่าออกโดยกระทรวงสาธารณสุข หรือไม่ก็เป็นของขวัญจาก Amazon

 

 

 

 

 

 

 

 

 

 

 

 

 

 

แคมเปญนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2021

ตามรายงาน FBI ระบุว่ามีการส่งไดร์ USB ที่ติดตั้งไวรัสตั้งแต่เดือนสิงหาคม 2021 พัสดุเหล่านี้ถูกส่งผ่านทางไปรษณีย์สหรัฐ (USPS) ไปยังบริษัทในอุตสาหกรรมต่างๆเช่น การขนส่ง การประกันภัย และการป้องกันประเทศ โดยพัสดุประกอบด้วยแฟลชไดร์ Lily Go USB ที่ภายหลังถูกระบุว่าถูกติดตั้ง ransomware ไว้ โดยหน่วยงานต่างๆพบว่าเมื่อนำมาใช้งาน แฟลชไดร์ดังกล่าวจะดำเนินการโจมตีด้วยวิธีการที่เรียกว่า BadUSB ซึ่งจะติดตั้งตัวเองลงบนเครื่อง และแสร้งทำเป็นอุปกรณ์คีย์บอร์ดแทนที่จะเป็นไดร์ USB ซึ่งอาจส่งผลให้เกิดการแพร่กระจาย BlackMatter และ REvil ransomware ไปยังคอมพิวเตอร์ของบริษัทที่เป็นเหยื่อ

"เป้าหมายสุดท้ายของ FIN7 ในการโจมตีคือการเข้าถึงเครือข่ายของเหยื่อ และติดตั้ง ransomware (ทั้ง BlackMatter และ REvil) ภายในเครือข่าย โดยใช้เครื่องมือต่างๆรวมถึง Metasploit, Cobalt Strike, Carbanak malware, the Griffon backdoor, and PowerShell scripts" FBI กล่าว

คำเตือนของ FBI เน้นย้ำถึงข้อที่ว่าไม่ควรใช้งานแฟลชไดร์ USB ที่ไม่รู้จักกับอุปกร์ของตน หรือองค์กร

ที่มา : hackread

 

 

 

 

 

 

 

ฟีเจอร์ commenting ของ Google Docs ถูกนำไปใช้โจมตีด้วย spear-phishing

พบรูปแบบใหม่ในการโจมตีแบบ phishing เกิดขึ้นในเดือนธันวาคม 2021, โดยผู้ไม่หวังดีใช้ประโยชน์จากฟีเจอร์ commenting ของ Google Docs เพื่อส่งอีเมล phishing ที่ดูแล้วน่าเชื่อถือ

Google Docs ถูกใช้งานจากผู้ใช้งานจำนวนมาก เนื่องจากสามารถทำงานร่วมกันในไฟล์เดียวกันจากที่ใดก็ได้ ดังนั้นผู้ใช้งานส่วนใหญ่ที่ได้รับอีเมลแจ้งเตือนจาก Google Docs จึงไม่ค่อยให้ความระมัดระวังมากนัก

เนื่องจากผู้โจมตีใช้ฟีเจอร์ของ Google เองในการส่งอีเมล phishing พวกนี้ ทำให้อุปกรณ์จำพวก email security ไม่ได้ระบุว่าอีเมลพวกนี้เป็นอันตราย

จริง ๆ แล้ววิธีการนี้ถูกใช้ตั้งแต่เดือนตุลาคมปีที่แล้ว โดย Google เองก็พยายามแก้ไขปัญหานี้อยู่ในเบื้องต้น แต่ยังไม่สามารถแก้ไขได้ทั้งหมด

ล่าสุดพบว่ามีจำนวน phishing ลักษณะนี้เพิ่มขึ้นจำนวนมาก โดยนักวิเคราะห์ภัยคุกคามจาก Avanan ได้แบ่งปันข้อมูลรายงานกับ Bleeping Computer ก่อนเผยแพร่รายงานออกสู่สาธารณะ

วิธีการที่ผู้โจมตีใช้

แฮกเกอร์จะใช้บัญชี Google ของตนเพื่อสร้าง Google Docs แล้วใส่ comment ใน Docs จากนั้นก็แท็กเป้าหมายด้วย @ หลังจากนั้น Google จะส่งอีเมลแจ้งเตือนไปยังอีเมลของเป้าหมายเพื่อแจ้งให้ทราบว่ามีผู้ใช้รายอื่น comment ในเอกสาร และแท็กถึงพวกเขา

 

 

 

 

 

 

 

comment ในอีเมลอาจมีลิงก์ที่เป็นอันตรายซึ่งนำไปสู่หน้าเว็บที่มีการฝัง malware หรือ หน้าเว็บ phishing โดยอีเมลของผู้โจมตีจะไม่แสดงในการแจ้งเตือน และผู้รับจะเห็นเพียงชื่อเท่านั้น ทำให้สามารถแอบอ้างเป็นบุคคลอื่นได้ง่าย และเพิ่มโอกาสความสำเร็จให้กับผู้โจมตีอีกด้วย

 

 

 

 

 

 

 

เทคนิคเดียวกันนี้ใช้ได้กับฟีเจอร์ comment ของ Google Slide เช่นกัน และ Avanan รายงานว่าพบผู้โจมตีใช้ประโยชน์จาก Google Workspace service อีกด้วย ที่อันตรายคือผู้โจมตีไม่จำเป็นต้องแชร์เอกสารกับเป้าหมาย เนื่องจากการแท็กถึงพวกเขานั้นก็เพียงพอที่จะส่งการแจ้งเตือนที่มีเนิ้อหาที่เป็นอันตราย

เริ่มพบการโจมตีเป็นวงกว้าง และมาตรการป้องกัน

จากข้อมูลของ Avanan ผู้โจมตีที่อยู่เบื้องหลังการโจมตีเหล่านี้ดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้งาน Outlook แต่กลุ่มเป้าหมายไม่ได้จำกัดอยู่เพียงผู้ใช้เหล่านั้น แคมเปญ spear-phishing ที่กำลังดำเนินอยู่นี้้ใช้บัญชี Google มากกว่า 100 บัญชีและมีการส่งอีเมลไปถึง 500 อีเมลในกว่า 30 องค์กรแล้ว

วิธีที่จะลดความเสี่ยงของแคมเปญนี้ และแคมเปญที่คล้ายคลึงกันคือ

-ยืนยันว่าอีเมลผู้ส่งตรงกับเพื่อนร่วมงานของคุณ (หรือบุคคลที่อ้างสิทธิ์)
-หลีกเลี่ยงการคลิกลิงก์ที่ส่งมาถึงทางอีเมล และถูกฝังอยู่ใน comment
-ปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมที่ใช้ในการแชร์ไฟล์ที่เข้มงวดมากยิ่งขึ้นใน Google Workspace
-ใช้โซลูชันความปลอดภัยทางอินเทอร์เน็ตซึ่งมีการป้องกัน phishing URL

ที่มา : bleepingcomputer

 

 

Microsoft ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยบน macOS ที่ถูกแพตช์ไปเมื่อเร็ว ๆ นี้ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้เกิดการเปิดเผยข้อมูลของผู้งานได้

 

ช่องโหว่นี้ได้รับหมายเลข CVE-2021-30970 โดยเกิดจากปัญหาทางด้าน Logic ของระบบ Transparency, Consent and Control (TCC) ซึ่งเป็นฐานข้อมูลส่วนที่ทำงานเกี่ยวกับการเก็บข้อมูลการตั้งค่า Privacy และการปกป้องไฟล์ และข้อมูลของแอพพลิเคชันต่าง ๆ โดยหน้าต่าง Security & Privacy ในหน้าการตั้งค่าแอปพลิเคชั่นบนระบบปฏิบัติการ macOS นั้นทำงานเป็น Front-end ของ TCC

 

ทีมนักวิจัยของ Microsoft 365 Defender ได้รายงานช่องโหว่นี้ให้กับ Apple ในเดือนกรกฎาคม 2021 โดยเรียกช่องโหว่นี้ว่า “powerdir” ซึ่ง Apple ได้รับทราบและแก้ไขปัญหานี้ในการอัปเดต macOS เวอร์ชัน 11.6 และ 12.1 ที่ถูกปล่อยในเดือนธันวาคมที่ผ่านมา

 

ทาง Apple ได้แก้ไข Policy เพื่อให้การเข้าถึงฐานข้อมูล TCC นั้นสามารถทำได้จากแอปพลิเคชันที่มีสิทธิ์ในการเข้าถึง Disk เต็มรูปแบบ (Full Disk Access) เท่านั้น แต่อย่างไรก็ตามมันยังมีความเป็นไปได้ที่จะดัดแปลงการโจมตีให้แอปพลิเคชันที่ไม่พึงประสงค์นั้นสามารถใช้งานการตั้งค่า Privacy เพื่อขโมยข้อมูลจากเครื่องได้ ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงไมโครโฟนเพื่ออัดเสียงการสนทนา หรือจับภาพหน้าจอของผู้ใช้งานได้

 

“พวกเราค้นพบว่ามันเป็นไปได้ที่จะทำการเปลี่ยน Home Directory ของผู้ใช้งานและทำการฝังฐานข้อมูล TCC ปลอมลงไป ซึ่ง TCC ปลอมที่ว่านั้นเก็บข้อมูลประวัติการยินยอมคำขอต่าง ๆ ของแอปพลิเคชัน” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

“ถ้าโจมตีที่ระบบที่ยังไม่ถูกแพตช์ ช่องโหว่นี้จะทำให้ผู้บุกรุกสามารถสร้างการโจมตีอื่น ๆ ได้ โดยใช้ข้อมูลส่วนตัวของผู้ใช้งานที่ได้มา”

 

 

หรือกล่าวได้ว่า หากผู้บุกรุกสามารถเข้าถึง Disk ได้อย่างเต็มรูปแบบ และสามารถเข้าถึงฐานข้อมูล TCC ได้ ผู้บุกรุกจะสามารถแก้ไขสิทธิ์และอนุญาตให้แอปพลิเคชันต่าง ๆ ทำงานด้วยการกำหนดค่าที่ผู้ใช้ไม่ได้ยินยอมได้

 

ช่องโหว่ CVE-2021-30970 ยังเป็นช่องโหว่ที่ 3 ที่เกี่ยวข้องกับการ Bypass TCC ที่ถูกค้นพบหลังจากช่องโหว่ CVE-2020-9934 และ CVE-2020-27937 ซึ่งทั้งสองช่องโหว่นี้ได้รับการแก้ไขโดย Apple แล้ว อีกทั้งในเดือนพฤษภาคม 2021 Apple ยังได้แก้ไขช่องโหว่ Zero-day ในส่วนเดียวกัน (CVE-2021-30713) ซึ่งสามารถทำให้ผู้บุกรุกได้รับสิทธิ์การเข้าถึง Disk เต็มรูปแบบ การจับภาพหน้าจอ และสิทธิ์อื่น ๆ ที่ผู้ใช้งานไม่ได้อนุญาต

 

“นี่แสดงให้เห็นว่าแม้แต่ macOS และระบบปฏิบัติการอื่น ๆ รวมถึงแอปพลิเคชันต่าง ๆ นั้นได้รับการเสริมความแข็งแกร่งเพิ่มขึ้นในแต่ละเวอร์ชัน และบริษัทต่าง ๆ อย่าง Apple นักวิจัยด้านความปลอดภัย หรือชุมชนด้านความปลอดภัยใหญ่ ๆ จะต้องทำงานร่วมกันอย่างต่อเนื่อง เพื่อค้นหาและปิดช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากช่องโหว่เหล่านั้น” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

ที่มา: thehackernews