Avast ยอมรับติดแท็ก Google app ว่าเป็นมัลแวร์บน Android

Avast ยอมรับติดแท็ก Google app ว่าเป็นมัลแวร์บน Android

บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติเช็ก Avast ยืนยันว่าซอฟต์แวร์ป้องกันไวรัสของตนได้ระบุว่า Google Android app เป็นมัลแวร์บนโทรศัพท์ Huawei, Vivo และ Honor ตั้งแต่วันเสาร์ที่ผ่านมา
(more…)

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

F5 แก้ไขช่องโหว่ auth bypass ของ BIG-IP ที่ทำให้สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

F5 แก้ไขช่องโหว่ระดับ Critical ใน F5 BIG-IP configuration utility ที่มีหมายเลข CVE-2023-46747 ทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึง configuration utility เพื่อดำเนินการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน

ช่องโหว่นี้ได้รับคะแนน CVSS v3.1 ที่ 9.8 ซึ่งจัดว่าเป็น "ระดับ Critical" เนื่องจากสามารถโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน และมีความซับซ้อนของวิธีการโจมตีต่ำ

"ช่องโหว่นี้อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน เข้าถึงระบบ BIG-IP ผ่าน management port หรือที่อยู่ IP เพื่อเรียกใช้คำสั่งที่เป็นอันตรายได้" อ้างอิงจากข้อมูลที่ F5 ระบุไว้ในประกาศด้านความปลอดภัย (https://my.

Microsoft แจ้งเตือน Octo Tempest หนึ่งในกลุ่มแฮ็กเกอร์ที่มีเป้าหมายทางด้านการเงินที่อันตรายที่สุด

Microsoft ได้เผยแพร่ข้อมูลโดยละเอียดของกลุ่มผู้โจมตีที่ใช้ภาษาอังกฤษเป็นภาษาหลัก และมีความสามารถทางด้าน social engineering ขั้นสูง ถูกติดตามในชื่อ Octo Tempest ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่โจมตีบริษัทต่าง ๆ ด้วยการเรียกค่าไถ่ และการโจมตีด้วย ransomware

การโจมตีของ Octo Tempest ได้พัฒนามาอย่างต่อเนื่องนับตั้งแต่ต้นปี 2022 โดยขยายเป้าหมายไปยังองค์กรที่ให้บริการโทรคมนาคมผ่านสายสัญญาณเคเบิล อีเมล และบริการด้านเทคโนโลยี และร่วมมือกับกลุ่ม ransomware ALPHV/BlackCat

เริ่มต้นจากการขโมยบัญชีไปจนถึงการโจมตีด้วย ransomware

กลุ่มผู้โจมตีรายนี้ถูกพบครั้งแรกจากการโจมตีแบบ SIM swaps และขโมยบัญชีของบุคคลที่มีชื่อเสียงที่มีสินทรัพย์ cryptocurrency

ในช่วงปลายปี 2022 Octo Tempest ได้เริ่มใช้การโจมตีแบบฟิชชิ่ง, social engineering, รีเซ็ตรหัสผ่านจำนวนมากของลูกค้าของผู้ให้บริการที่ถูกโจมตี และการขโมยข้อมูล

ในช่วงต้นปีนี้ กลุ่มแฮ็กเกอร์ได้โจมตีบริษัทในอุตสาหกรรมเกม, การโรงแรม, ร้านค้า, การผลิต, เทคโนโลยี และการเงิน รวมถึงผู้ให้บริการในลักษณะ managed service providers (MSPs)

หลังจากเข้าร่วมเป็นพันธมิตรกับกลุ่ม ALPHV/BlackCat กลุ่ม Octa Tempest ได้เริ่มใช้งาน ransomware เพื่อขโมยข้อมูล และเข้ารหัสข้อมูลของเหยื่อ

กลุ่ม Octo Tempest ได้ใช้ประสบการณ์ที่สั่งสมมาในการสร้างการโจมตีที่ทันสมัย และรุนแรงมากขึ้น และยังเริ่มสร้างรายได้จากการโจมตีโดยการรีดไถ่เหยื่อหลังจากขโมยข้อมูล

Microsoft ระบุว่า Octo Tempest ยังใช้วิธีการ physical threats โดยตรงในบางกรณี เพื่อให้ได้ข้อมูลการเข้าสู่ระบบที่จะทำให้การโจมตีของพวกเขามีโอกาสสำเร็จมากขึ้น

อีกเหตุการณ์ที่พบคือ Octo Tempest ได้กลายเป็นพันธมิตรกับกลุ่ม Ransomware ALPHV/BlackCat ตามที่ Microsoft รายงานในเดือนมิถุนายนว่า พวกเขาได้เริ่มต้นใช้ ransomware payloads ทั้ง Windows และ Linux โดยมุ่งเน้นไปที่เซิร์ฟเวอร์ VMware ESXi

เหตุการณ์นี้น่าสนใจตรงที่ในอดีต กลุ่ม ransomware ในยุโรปตะวันออกมักจะปฏิเสธที่จะทำธุรกิจร่วมกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาอังกฤษเป็นภาษาหลัก

โดยการโจมตีล่าสุดของกลุ่มนี้มุ่งเป้าไปที่องค์กรในหลากหลายภาคอุตสาหกรรม รวมถึงธุรกิจเกมส์, ทรัพยากรธรรมชาติ, โรงแรม, สินค้าอุปโภคบริโภค, ร้านค้าปลีก ,ผู้ให้บริการในลักษณะ managed service providers (MSPs), การผลิต, กฎหมาย, เทคโนโลยี และบริการทางด้านการเงิน

Octo Tempest TTPs

Microsoft ประเมินว่า Octo Tempest เป็นกลุ่มที่มีการจัดระเบียบอย่างดี ซึ่งประกอบด้วยสมาชิกที่มีความรู้ด้านเทคนิคอย่างกว้างขวาง และผู้ปฏิบัติงานแบบ hands-on-keyboard หลายคน

โดยผู้โจมตีมักได้รับสิทธิ์ในการเข้าถึงระบบของเหยื่อเบื้องต้นผ่านทางการโจมตีแบบ social engineering ขั้นสูง ที่มุ่งเป้าไปที่บัญชีของผู้ดูแลระบบด้านเทคนิค (เช่น พนักงานฝ่ายสนับสนุน และบริการช่วยเหลือ) ซึ่งมีสิทธิ์มากพอที่จะดำเนินการโจมตีในลักษณะอื่น ๆ ต่อไป

พวกเขาทำการศึกษาข้อมูลเกี่ยวกับบริษัทของเหยื่อ เพื่อระบุเป้าหมายที่พวกเขาสามารถปลอมแปลงได้ ซึ่งรวมถึงการเลียนแบบการพูดของบุคคลในการสนทนาทางโทรศัพท์

ด้วยการทำเช่นนี้พวกเขาจึงสามารถหลอกผู้ดูแลระบบด้านเทคนิค ให้รีเซ็ตรหัสผ่าน และรีเซ็ตวิธีการตรวจสอบสิทธิ์แบบหลายขั้นตอน (MFA) ได้

วิธีการโจมตีอื่น ๆ สำหรับขั้นตอน Initial access ได้แก่ :

การหลอกเป้าหมายให้ติดตั้งซอฟต์แวร์สำหรับการติดตาม และการจัดการระยะไกล
การขโมยข้อมูลเข้าสู่ระบบผ่านเว็บไซต์ฟิชชิง
การซื้อข้อมูลเข้าสู่ระบบ หรือ session tokens จากอาชญากรไซเบอร์รายอื่น
การโจมตีแบบ SMS phishing ด้วยลิงก์ไปยังเว็บไซต์ปลอมที่ดักจับข้อมูลรหัสผ่าน
การโจมตีแบบ SIM-swapping หรือ call forwarding
การคุกคามโดยตรง หรือใช้ความรุนแรง

เมื่อได้สิทธิ์เข้าถึงที่เพียงพอแล้ว กลุ่ม Octo Tempest จะเริ่มขั้นตอนการสำรวจการโจมตีโดยการระบุโฮสต์ และบริการ และรวบรวมข้อมูลที่จะช่วยให้สามารถใช้ประโยชน์จากช่องทางที่ถูกต้องเพื่อดำเนินการโจมตีต่อไป

จากนั้น Octo Tempest จะดำเนินการสำรวจโครงสร้างของระบบ ระบุสิทธิ์การเข้าถึง และ resources ของ cloud environments, code repositories, ระบบจัดการเซิร์ฟเวอร์ และระบบสำรองข้อมูล เพื่อยกระดับสิทธิ์ ผู้โจมตีจะกลับไปใช้วิธีการ social engineering, SIM-swapping หรือ call forwarding และเริ่มต้นการรีเซ็ตรหัสผ่านด้วยตนเองของบัญชีเป้าหมาย

ในขั้นตอนนี้ แฮ็กเกอร์จะสร้างความเชื่อใจกับเหยื่อ โดยใช้บัญชีที่ถูกขโมย และแสดงให้เห็นว่ามีความเข้าใจในขั้นตอนการทำงานของบริษัท ซึ่งหากแฮ็กเกอร์เข้าถึงบัญชีที่มีสิทธิ์สูงได้ ก็จะทำการอนุมัติคำขอรับสิทธิ์การเข้าถึงที่เพิ่มขึ้นได้ด้วยตนเอง

เมื่อไรก็ตามที่ Octo Tempest สามารถเข้าถึงระบบได้ พวกเขาจะค้นหาข้อมูล credentials เพิ่มเติม เพื่อขยายขอบเขตของการโจมตี ด้วยการใช้เครื่องมืออย่าง Jercretz และ TruffleHog เพื่อทำงานอัตโนมัติในการค้นหา plaintext keys, ข้อมูลที่เป็นความลับ และรหัสผ่านที่อยู่ใน code repositories

เพื่อปกปิดร่องรอย แฮ็กเกอร์ยังโจมตีบัญชีของเจ้าหน้าที่ด้านความปลอดภัยด้วย เพื่อให้พวกเขาสามารถปิดใช้งานผลิตภัณฑ์ และคุณสมบัติด้านความปลอดภัยได้

โดยข้อมูลจาก Microsoft ระบุว่า Octo Tempest จะพยายามซ่อนตัวตนของตนเองบนเครือข่ายโดยการปิดการใช้งานการแจ้งเตือนการเปลี่ยนแปลง และแก้ไข mailbox rules เพื่อลบอีเมลที่อาจทำให้เหยื่อสงสัยเรื่องการละเมิดความปลอดภัย

นักวิจัยให้รายละเอียดเพิ่มเติมเกี่ยวกับเครื่องมือและเทคนิคที่ Octo Tempest ใช้ในการโจมตี ได้แก่:

เครื่องมือโอเพ่นซอร์ส : ** ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.

มัลแวร์ StripedFly แพร่กระจายไปยังอุปกรณ์ Windows และ Linux แล้วกว่า 1 ล้านเครื่อง

มัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มที่ชื่อว่า StripedFly ได้หลบเลี่ยงการตรวจจับของนักวิจัยด้านความปลอดภัยทางไซเบอร์มาเป็นเวลาห้าปี โดยโจมตีระบบ Windows และ Linux มากกว่าหนึ่งล้านเครื่องในช่วงเวลานั้น

Kaspersky ค้นพบลักษณะของโครงสร้างของมัลแวร์เมื่อปีที่แล้ว โดยพบหลักฐานว่ามัลแวร์ทำการโจมตีมาตั้งแต่ปี 2017 โดยมัลแวร์ถูกจัดประเภทผิดพลาดว่าเป็นเพียงโปรแกรมขุดเหรียญสกุลเงินดิจิทัล Monero

นักวิเคราะห์ระบุว่า StripedFly ว่าเป็นมัลแวร์ที่น่าประทับใจ โดยมีกลไกการซ่อนการรับส่งข้อมูลผ่าน TOR ที่ดูซับซ้อน, การอัปเดตอัตโนมัติจากแพลตฟอร์มที่เชื่อถือได้, ความสามารถในการแพร่กระจายแบบ worm, และการใช้ช่องโหว่ EternalBlue SMBv1 แบบกำหนดเองที่สร้างขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ

ถึงแม้ว่าจะยังไม่ชัดเจนว่า framework ของมัลแวร์นี้ถูกใช้เพื่อสร้างรายได้ หรือเพื่อการจารกรรมทางไซเบอร์ แต่ Kaspersky ระบุว่าความซับซ้อนของมันบ่งชี้ว่านี่คือมัลแวร์ในรูปแบบของ APT (advanced persistent threat)

จากเวลาที่บันทึก compiler ของมัลแวร์ รุ่นแรกสุดของ StripedFly ที่มีการใช้ช่องโหว่ EternalBlue เกิดขึ้นในเดือนเมษายน 2016 ในขณะที่การเปิดเผยข้อมูลสู่สาธารณะโดยกลุ่ม Shadow Brokers เกิดขึ้นในเดือนสิงหาคม 2016

StripedFly แพร่กระจายไปยังอุปกรณ์มากกว่าหนึ่งล้านเครื่อง

โครงสร้างของมัลแวร์ StripedFly ถูกพบครั้งแรกหลังจากที่ Kaspersky พบการฝัง shellcode ของแพลตฟอร์มใน process WININIT.EXE ซึ่งเป็น process ของ Windows OS ที่ถูกต้อง และใช้สำหรับจัดการการเริ่มต้นใช้งานของระบบย่อยต่าง ๆ

หลังจากตรวจสอบ injected code พบว่าโค้ดนี้จะดาวน์โหลด และเรียกใช้ไฟล์เพิ่มเติม เช่น สคริปต์ PowerShell จากบริการโฮสติ้งที่ถูกต้อง เช่น Bitbucket, GitHub และ GitLab รวมถึงสคริปต์ PowerShell

การสืบสวนเพิ่มเติมแสดงให้เห็นว่าอุปกรณ์ที่ติดมัลแวร์มีแนวโน้มว่าจะถูกโจมตีครั้งแรกด้วยช่องโหว่ SMBv1 ด้วยการใช้เครื่องมือ EternalBlue ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต

เซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของมัลแวร์ตั้งอยู่บนเครือข่าย TOR และการสื่อสารกับเซิร์ฟเวอร์นี้จะประกอบด้วย ID ที่สร้างมาเฉพาะตัวสำหรับเหยื่อแต่ละราย

เพื่อแฝงตัวอยู่บนระบบ Windows มัลแวร์ StripedFly ปรับปรุงพฤติกรรมของมัน ตามระดับสิทธิ์ที่ทำงาน และการมีอยู่ของ PowerShell

หากไม่มี PowerShell StripedFly จะสร้างไฟล์ที่ซ่อนอยู่ไดเร็กทอรี %APPDATA% หากมี PowerShell มัลแวร์ StripedFly จะเรียกใช้สคริปต์เพื่อสร้าง scheduled tasks ที่กำหนดเวลาไว้ หรือแก้ไขคีย์ Windows Registry

บน Linux มัลแวร์จะใช้ชื่อ 'sd-pam' มัลแวร์จะแฝงตัวอยู่โดยใช้ systemd services ไฟล์ .desktop ที่เริ่มต้นทำงานเองโดยอัตโนมัติ หรือโดยการปรับแต่งไฟล์โปรไฟล์ และ startup files ต่าง ๆ เช่นไฟล์ /etc/rc*, profile, bashrc, หรือ inittab files

จากข้อมูลของ Bitbucket repository เพย์โหลดขั้นสุดท้ายบนระบบ Windows ระบุว่าระหว่างเดือนเมษายนถึงกันยายน 2023 มีการติดมัลแวร์บนระบบเกือบ 60,000 ครั้ง

StripedFly ได้แพร่กระจายไปยังระบบ Windows มากกว่า 220,000 เครื่องทั่วโลกตั้งแต่เดือนกุมภาพันธ์ 2022 โดยประมาณ แต่สถิติจากก่อนหน้านั้นไม่สามารถระบุได้ เนื่องจากการเก็บข้อมูลถูกสร้างขึ้นในปี 2018

โดย Kaspersky ประมาณการณ์ว่าอุปกรณ์มากกว่า 1 ล้านเครื่องติดมัลแวร์ StripedFly framework

โมดูลมัลแวร์

มัลแวร์ทำงานเป็นไฟล์ปฏิบัติการแบบไบนารีขนาดใหญ่ที่มีโมดูลแบบ pluggable ทำให้มีความคล่องตัวในการปฏิบัติงานซึ่งเป็นลักษณะเดียวกับการทำงานของ APT

โมดูลของ StripedFly จากรายงานของ Kaspersky:

Configuration storage: จัดเก็บการกำหนดค่าของมัลแวร์ในรูปแบบที่เข้ารหัส
Upgrade/Uninstall: จัดการการอัปเดต หรือถอนการติดตั้งตามคำสั่งจากเซิร์ฟเวอร์ C2
Reverse proxy: อนุญาตให้มีการดำเนินการจากระยะไกลบนเครือข่ายของเหยื่อ
Miscellaneous command handler: รันคำสั่งต่าง ๆ เช่น การจับภาพหน้าจอ และการเรียกใช้ shellcode
Credential harvester: สแกน และรวบรวมข้อมูลผู้ใช้งานที่มีความสำคัญ เช่น รหัสผ่าน และชื่อผู้ใช้งาน
Repeatable tasks: ดำเนินการงานเฉพาะภายใต้เงื่อนไขบางประการ เช่น การบันทึกไมโครโฟน
Recon module: ส่งข้อมูลระบบโดยละเอียดไปยังเซิร์ฟเวอร์ C2
SSH infector: ใช้ข้อมูล credentials ของ SSH ที่ถูกเก็บรวบรวมเพื่อเข้าถึงระบบอื่น ๆ
SMBv1 infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ช่องโหว่ EternalBlue แบบกำหนดเอง
Monero mining module: ขุดเหรียญ Monero ในขณะที่ปลอมตัวเป็น process "chrome.

แพ็กเกจ NuGet ที่เป็นอันตราย มุ่งเป้าหมายไปที่นักพัฒนา .NET ด้วย SeroXen RAT

พบแพ็กเกจที่เป็นอันตรายที่โฮสต์บน NuGet package manager สำหรับ .NET Framework ที่ถูกใช้เพื่อติดตั้งมัลแวร์ในการเข้าถึงจากระยะไกล (RAT) ที่เรียกว่า SeroXen RAT

บริษัทด้านความปลอดภัยซอฟต์แวร์ supply chain Phylum ระบุในรายงานว่า แพ็กเกจดังกล่าวมีชื่อว่า Pathoschild.

การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นเป็นสองเท่า เตรียมพร้อมสำหรับภัยคุกคามทางไซเบอร์ในปี 2024

การโจมตีด้วยแรนซัมแวร์มีความซับซ้อน และความสามารถเพิ่มขึ้นอย่างมากในช่วงปีที่ผ่านมา ตั้งแต่เทคนิคการหลีกเลี่ยงการตรวจจับ และเทคนิคป้องกันการวิเคราะห์ใหม่ ๆ ไปจนถึงแรนซัมแวร์ที่ถูกเขียนด้วยภาษาโปรแกรมใหม่ ๆ กลุ่มแรนซัมแวร์ได้ปรับเปลี่ยนกลยุทธ์ของตนเองเพื่อหลีกเลี่ยงกลยุทธ์ป้องกันทั่วไปได้อย่างมีประสิทธิภาพมากขึ้น (more…)

มัลแวร์ DarkGate แพร่กระจายผ่านบัญชี Skype ที่ถูกแฮ็ก

ระหว่างเดือนกรกฎาคม ถึงกันยายน การโจมตีด้วยมัลแวร์ DarkGate ได้ใช้บัญชี Skype ที่ถูกแฮ็กเพื่อติดตั้งบนเครื่องเป้าหมาย ผ่านข้อความที่มีไฟล์แนบสคริปต์ VBA loader (more…)

แพตซ์อัปเดตความปลอดภัยของ Windows 10 ในเดือนตุลาคมไม่สามารถติดตั้งได้

Microsoft รายงานว่าการอัปเดตแพตซ์ความปลอดภัยของ Windows 10 ที่ถูกปล่อยในช่วง "Patch Tuesday" ประจำเดือนนี้อาจล้มเหลวในการติดตั้ง พร้อมกับเกิดข้อผิดพลาด 0x8007000d แม้ว่าตอนแรกจะแสดงผลความคืบหน้าในการติดตั้ง (more…)

นักวิจัยเปิดเผยชุดเครื่องมือใหม่ของกลุ่ม ToddyCat ที่ใช้สำหรับการขโมยข้อมูล

กลุ่ม APT ที่เป็นที่รู้จักกันในชื่อ ToddyCat ถูกคาดว่ามีความเกี่ยวข้องกับชุดเครื่องมือใหม่ที่ถูกออกแบบมาเพื่อการขโมยข้อมูล ซึ่งทำให้นักวิจัยสามารถเข้าใจรูปแบบการทำงานของของกลุ่มแฮ็กเกอร์กลุ่มนี้ได้ดีขึ้น (more…)