Amazon Web Services (AWS), Cloudflare และ Google ได้ประกาศในวันอังคารที่ผ่านมาว่า ได้ดำเนินการเพื่อลดผลกระทบของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ใหญ่ที่สุดเท่าที่เคยมีมา ซึ่งใช้เทคนิคใหม่ที่เรียกว่า HTTP/2 Rapid Reset

โดยบริษัทต่าง ๆ ได้เปิดเผยข้อมูลร่วมกันว่าการโจมตีใน Layer 7 ครั้งนี้ ถูกพบในช่วงปลายเดือนสิงหาคม 2023 โดยมีความเกี่ยวข้องกับช่องโหว่หมายเลข CVE-2023-44487 ซึ่งมีคะแนน CVSS สูงถึง 7.5 จากเต็ม 10 คะแนน

ในขณะที่การโจมตีที่มุ่งเป้าไปที่ระบบคลาวด์ของ Google มีปริมาณสูงสุดที่ 398 ล้าน requests ต่อวินาที (RPS) ส่วนการโจมตีที่มุ่งเป้าไปที่ AWS และ Cloudflare นั้นมีปริมาณสูงกว่า 155 ล้าน requests ต่อวินาที และ 201 ล้าน requests ต่อวินาทีตามลำดับ (more…)

อุปกรณ์ขยายสัญญาณ WiFi 6 ยอดนิยมอย่าง D-Link DAP-X1860 มีช่องโหว่ที่ทำให้เกิดการโจมตีแบบ DoS (denial of service) และการโจมตีแบบ command injection ได้

โดยอุปกรณ์ขยายสัญญาณ WiFi 6 รุ่น D-Link DAP-X1860 เป็นอุปกรณ์ที่ได้รับความนิยมอย่างมากจากผู้ใช้งาน เนื่องจากเป็นอุปกรณ์ที่มีราคาไม่แพง และใช้งานง่าย รวมถึงยังได้รับคะแนนรีวิวที่ดีเยี่ยมจากผู้ใช้งานบนเว็บไซต์ Amazon อีกด้วย

ทีมนักวิจัยจากประเทศเยอรมนี (RedTeam) ที่เป็นผู้ค้นพบช่องโหว่นี้ ซึ่งมีหมายเลข CVE-2023-45208 ระบุว่า แม้จะพยายามแจ้งเตือนไปยัง D-Link หลายครั้ง แต่ยังไม่ได้รับการตอบกลับ และไม่มีการเผยแพร่แพตซ์สำหรับแก้ไข

รายละเอียดช่องโหว่

ปัญหาอยู่ที่ฟังก์ชันการสแกนเครือข่ายของ D-Link DAP-X1860 โดยเฉพาะการที่ไม่สามารถวิเคราะห์ SSID ที่มีเครื่องหมาย (') ในชื่อได้ โดยทำให้มีการอ่านความหมายผิดว่าเป็นการสิ้นสุดคำสั่ง

ในทางเทคนิคแล้วปัญหานี้มาจากฟังก์ชัน parsing_xml_stasurvey ในไลบรารี libcgifunc.

พบช่องโหว่ information disclosure ระดับ Critical ใน Citrix NetScaler ADC และ Citrix NetScaler Gateway ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลที่มีความสำคัญ จากอุปกรณ์ที่มีช่องโหว่ได้

ช่องโหว่นี้มีหมายเลข CVE-2023-4966 และได้รับคะแนน CVSS ที่ระดับ 9.4 โดยช่องโหว่นี้สามารถถูกโจมตีจากภายนอกได้โดยไม่จำเป็นต้องใช้ User ที่มีสิทธิ์สูง การโต้ตอบจากผู้ใช้ และง่ายต่อการโจมตี

อย่างไรก็ตาม ช่องโหว่นี้จะส่งผลกระทบต่ออุปกรณ์ Citrix NetScaler ADC และ Citrix NetScaler Gateway ที่ถูกกำหนดค่าให้เป็น Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) หรือ AAA virtual server เท่านั้น

แม้ว่าช่องโหว่นี้อาจทำให้มีการเปิดเผยข้อมูลที่มีความสำคัญ แต่ Citrix ยังไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับช่องโหว่ดังกล่าว

อีกช่องโหว่ที่ถูกเปิดเผยคือ CVE-2023-4967 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง (คะแนน CVSS: 8.2) ที่มีเงื่อนไขในลักษณะเดียวกัน ซึ่งอาจทำให้เกิดการโจมตีแบบ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ได้

เวอร์ชันของ Citrix ได้รับผลกระทบมีดังนี้:

NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300
โดยแนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไขทั้ง 2 ช่องโหว่แล้ว โดยทาง Citrix ไม่ได้ให้คำแนะนำในการลดความเสี่ยง หรือวิธีแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ครั้งนี้

ประกาศด้านความปลอดภัยของ Citrix ระบุว่า "แนะนำให้ลูกค้าที่ได้รับผลกระทบของ NetScaler ADC และ NetScaler Gateway ติดตั้งเวอร์ชันอัปเดตล่าสุดของ NetScaler ADC และ NetScaler Gateway โดยเร็วที่สุด"

เวอร์ชันเป้าหมายที่จะมีการอัปเกรดมีดังนี้:

NetScaler ADC and NetScaler Gateway 14.1-8.50 and later
NetScaler ADC and NetScaler Gateway 13.1-49.15 and later releases of 13.1
NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP
เวอร์ชัน 12.1 ของ Citrix NetScaler ADC และ Citrix NetScaler Gateway ได้ถึงวันที่สิ้นสุดการสนับสนุน (EOL) และจะไม่ได้รับการสนับสนุนจาก Citrix อีกต่อไป ดังนั้นผู้ใช้งานควรอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เพื่อให้ได้รับการสนับสนุนอย่างต่อเนื่อง

ช่องโหว่ที่มีระดับความรุนแรงสูงในผลิตภัณฑ์ของ Citrix เป็นสิ่งที่แฮ็กเกอร์ต้องการอย่างมาก เนื่องจากองค์กรขนาดใหญ่มักใช้อุปกรณ์เหล่านี้

ที่มา : bleepingcomputer.

กลุ่มผู้โจมตีทางไซเบอร์ที่คาดว่าอยู่ในกาซา ถูกเชื่อมโยงเข้ากับการโจมตีทางไซเบอร์หลายครั้ง ที่มุ่งเป้าไปที่องค์กรพลังงาน, การป้องกัน และการสื่อสารโทรคมนาคมของภาคเอกชนของอิสราเอล

Microsoft เปิดเผยรายละเอียดของการโจมตีในรายงาน Digital Defense ประจำปีฉบับที่สี่ และติดตามแคมเปญนี้ภายใต้ชื่อ Storm-1133

Microsoft ประเมินว่ากลุ่มผู้โจมตีกลุ่มนี้ทำงานเพื่อส่งเสริมผลประโยชน์ของกลุ่มฮามาส ซึ่งเป็นกลุ่มติดอาวุธนิกายซุนนีที่เป็นหน่วยงานที่เป็นผู้ปกครองในฉนวนกาซา เนื่องจากพฤติกรรมที่เชื่อมโยงกับการโจมตีกลุ่มนี้ ได้ส่งผลกระทบต่อองค์กรต่าง ๆ ที่ถูกมองว่าเป็นศัตรูของฮามาสเป็นส่วนใหญ่

เป้าหมายของแคมเปญนี้เป็นองค์กรในภาคพลังงาน และกลุ่มป้องกัน และรักษาความมั่นคงของอิสราเอล และหน่วยงานที่จงรักภักดีต่อกลุ่มฟาตาห์ ซึ่งเป็นพรรคชาตินิยมปาเลสไตน์ และมีสำนักงานใหญ่อยู่ในภูมิภาคเวสต์แบงก์

การโจมตีได้ใช้เทคนิคการผสมผสานระหว่าง social engineering และบัญชีปลอมบน LinkedIn ที่ปลอมตัวเป็นผู้จัดการฝ่ายทรัพยากรบุคคล ผู้ควบคุมโครงการ และนักพัฒนาซอฟต์แวร์ชาวอิสราเอล เพื่อติดต่อ และส่งข้อความฟิชชิ่ง ทำการสอดแนม และส่งมัลแวร์ให้กับพนักงานองค์กรในอิสราเอล

Microsoft ยังพบว่ากลุ่ม Storm-1133 พยายามแทรกซึมองค์กร third-party ที่มีความสัมพันธ์กับอิสราเอล

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อติดตั้ง backdoor ควบคู่ไปกับการกำหนดค่าที่ทำให้ผู้โจมตีสามารถอัปเดตการสั่งการจาก C2 ที่อยู่บน Google Drive

รายงานนี้มาพร้อมกับการยกระดับความขัดแย้งระหว่างอิสราเอลกับปาเลสไตน์ ซึ่งสอดคล้องกับการเพิ่มขึ้นของการดำเนินการของกลุ่มแฮ็กเกอร์จากปาเลสไตน์ เช่น Ghosts of Palestine ซึ่งมีเป้าหมายเพื่อปิดเว็บไซต์รัฐบาล และระบบไอทีในอิสราเอล สหรัฐอเมริกา และอินเดีย

"Falconfeeds.

ช่องโหว่ใหม่ในระบบปฏิบัติการ Linux ที่ชื่อว่า 'Looney Tunables' และมีหมายเลข CVE-2023-4911 ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ root ได้โดยการใช้ประโยชน์จากช่องโหว่ buffer overflow ใน dynamic loader ของ GNU C Library

GNU C Library (glibc) คือไลบรารี C ของระบบ GNU และอยู่ในระบบที่ใช้เคอร์เนล Linux โดยส่วนใหญ่ โดยมีฟังก์ชันการทำงานที่จำเป็น รวมถึง system calls ของระบบ เช่น open, malloc, printf, exit และอื่น ๆ ที่จำเป็นสำหรับการทำงานของโปรแกรมทั่วไป

Dynamic loader ใน glibc มีความสำคัญ เนื่องจากทำหน้าที่ในการเตรียมในการเตรียม และการทำงานของโปรแกรมบนระบบ Linux ที่ใช้ glibc

ช่องโหว่นี้ถูกพบโดยนักวิจัยภัยคุกคามทางไซเบอร์จาก Qualys และถูกเปิดเผยออกมาในเดือนเมษายน 2021 ผ่านการเปิดตัว glibc 2.34 ผ่านคำสั่งที่ถูกอธิบายว่าเป็นการแก้ไขพฤติกรรม SXID_ERASE ในโปรแกรม setuid

Saeed Abbasi - Product Manager จาก Qualys ระบุว่า การโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จจะทำให้ผู้โจมตีได้สิทธิ์ root อย่างเต็มรูปแบบบน distro ที่สำคัญ เช่น Fedora, Ubuntu และ Debian ซึ่งแสดงให้เห็นถึงระดับความรุนแรง และลักษณะที่แพร่หลายของช่องโหว่นี้

แม้ว่าขณะนี้จะยังไม่มีการเปิดเผยโค้ดการโจมตี แต่ความง่ายจากการเปลี่ยน buffer overflow ให้เป็นการโจมตีแบบ data-only ทำให้มีความเป็นไปได้ที่ทีมวิจัยอื่น ๆ อาจจะสามารถสร้าง และเผยแพร่โค้ดของการโจมตีได้ในเร็ว ๆ นี้ จึงทำให้ระบบจำนวนมากตกอยู่ในความเสี่ยง โดยเฉพาะอย่างยิ่งเมื่อมีการใช้งาน glibc อย่างกว้างขวางบน Linux distributions ต่าง ๆ

ผู้ดูแลระบบควรให้ความสำคัญกับการอัปเดตแพตซ์

ช่องโหว่นี้เกิดขึ้นเมื่อมีการประมวลผล GLIBC_TUNABLES environment variable ในการติดตั้งเริ่มต้นของ Debian 12 และ 13, Ubuntu 22.04 และ 23.04 และ Fedora 37 และ 38 (Alpine Linux ซึ่งใช้ musl libc จะไม่ได้รับผลกระทบ)

Red Hat ระบุว่า พบ Buffer Overflow ใน dynamic loader ld.

นักวิจัยด้านความปลอดภัยพบ Malware-as-a-Service (MaaS) ตัวใหม่ชื่อ 'BunnyLoader' ซึ่งมีการโฆษณาขายบนฟอรัมของแฮ็กเกอร์หลายแห่ง โดยระบุว่าเป็น fileless loader ที่สามารถขโมย และแทนที่เนื้อหาของคลิปบอร์ดบนระบบได้

โดยมัลแวร์ตัวนี้กำลังอยู่ระหว่างการพัฒนาอย่างรวดเร็ว โดยมีการอัปเดตเพิ่มฟีเจอร์ใหม่ ๆ และแก้ไขข้อผิดพลาดอย่างต่อเนื่อง ซึ่งปัจจุบันสามารถดาวน์โหลด และเรียกใช้เพย์โหลด บันทึกคีย์ ขโมยข้อมูลสำคัญ และสกุลเงินดิจิทัล และรันคำสั่งจากระยะไกลได้

BunnyLoader เวอร์ชันแรกถูกพบเมื่อวันที่ 4 กันยายน หลังจากนั้นได้มีการเพิ่มฟังก์ชันใหม่ ๆ เช่น กลไกป้องกันการตรวจจับหลายแบบ และความสามารถในการขโมยข้อมูลเพิ่มเติม และมีการปล่อยเวอร์ชันที่สองในช่วงปลายเดือนนี้

นักวิจัยจากบริษัทรักษาความปลอดภัยบนคลาวด์ Zscaler ระบุว่า BunnyLoader กำลังได้รับความนิยมอย่างรวดเร็วในหมู่อาชญากรไซเบอร์ในฐานะมัลแวร์ที่มีฟีเจอร์ที่หลากหลาย และมีราคาถูก

ภาพรวมของ BunnyLoader

แผงควบคุมคำสั่งของ BunnyLoader ช่วยให้แม้แต่อาชญากรไซเบอร์ที่มีทักษะต่ำก็สามารถตั้งค่าเพย์โหลด second-stage เปิดใช้งานการบันทึกคีย์ ขโมยข้อมูล credential การจัดการข้อมูลบนคลิปบอร์ด (เพื่อขโมยสกุลเงินดิจิทัล) และรันคำสั่งระยะไกลบนอุปกรณ์ที่ถูกโจมตีได้

ในรายงานล่าสุด นักวิจัยระบุว่าหลังจากถูกเรียกใช้บนอุปกรณ์ที่ถูกโจมตี BunnyLoader จะสร้างค่าใหม่ใน Windows Registry เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง ซ่อนหน้าต่างตัวเอง ตั้งค่า mutex เพื่อป้องกันการเข้าถึงข้อมูลพร้อมกัน และลงทะเบียนชื่อเหยื่อในแผงควบคุม

มัลแวร์ดำเนินการตรวจสอบหลายรายการเพื่อระบุว่ามันกำลังทำงานบน sandbox หรือ simulated environment อยู่หรือไม่ หากใช่ มัลแวร์จะแสดงข้อผิดพลาดเกี่ยวกับ incompatibility กับระบบ

นอกเหนือจากฟังก์ชันดังกล่าวแล้ว มัลแวร์ยังมีโมดูลสำหรับขโมยข้อมูลที่เก็บไว้ในเว็บเบราว์เซอร์ (รหัสผ่าน บัตรเครดิต ประวัติการเรียกดู) กระเป๋าสกุลเงินดิจิทัล VPNs แอปส่งข้อความ และอื่น ๆ ซึ่งทำหน้าที่เป็นโปรแกรมขโมยข้อมูลทั่วไป

ข้อมูลที่ขโมยมาทั้งหมดจะถูกบีบอัดเป็นไฟล์ ZIP ก่อนที่จะถูกส่งออกไปยังเซิร์ฟเวอร์สั่งการ และควบคุม (C2) ของผู้โจมตี

จากรายงานของนักวิจัย BunnyLoader รองรับการเขียนเพย์โหลดไปยังดิสก์ก่อนที่จะทำการเรียกใช้ และสามารถรันเพย์โหลดจากหน่วยความจำบนระบบ (fileless) โดยใช้เทคนิค process hollowing

การพัฒนาอย่างรวดเร็ว

Zscaler ได้ติดตามการพัฒนา และประกาศต่าง ๆ ของมัลแวร์บนฟอรัมแฮ็กเกอร์หลายแห่ง และพบว่ามัลแวร์นี้ได้รับการอัปเดตหลายครั้งตั้งแต่เปิดตัวครั้งแรก

ไทม์ไลน์ในการพัฒนาของ BunnyLoader

v1.0 (Sept 4): เปิดตัวครั้งแรก
v1.1 (Sept 5): แก้ไขข้อผิดพลาดของไคลเอนต์, เพิ่มการบีบอัดบันทึกข้อมูลก่อนอัปโหลด และเพิ่มคำสั่ง "pwd" สำหรับ reverse shell
v1.2 (Sept 6): ปรับปรุงความสามารถในการขโมยข้อมูลด้วยการกู้คืนประวัติเบราว์เซอร์, การกู้คืนโทเค็นการรับรองความถูกต้องของ NGRok และการรองรับเส้นทางเบราว์เซอร์ Chromium เพิ่มเติม
v1.3 (Sept 9): เพิ่มการกู้คืนข้อมูลบัตรเครดิตสำหรับ 16 ประเภทบัตร และแก้ไขข้อผิดพลาดบน C2
v1.4 (Sept 10): ดำเนินการหลบเลี่ยงโปรแกรมป้องกันไวรัส
v1.5 (Sept 11): เพิ่มความสามารถในการกู้คืน VPN ในการขโมยข้อมูล แก้ไขข้อผิดพลาดของตัวโหลด fileless และเพิ่มประสิทธิภาพในการโหลดบันทึกข้อมูล
v1.6 (Sept 12): เพิ่มเครื่องมือดูประวัติการดาวน์โหลด และเทคนิคป้องกันของ sandbox
v1.7 (Sept 15): ปรับปรุงการหลบเลี่ยงโปรแกรมป้องกันไวรัส
v1.8 (Sept 15): เพิ่มฟังก์ชันการทำงานของ keylogger และแก้ไขข้อผิดพลาดต่าง ๆ
v1.9 (Sept 17): ปรับปรุงโปรแกรมขโมยข้อมูลด้วยความสามารถในการกู้คืนข้อมูลเกม เส้นทางเบราว์เซอร์ Chromium เพิ่มเติม และการกู้คืนเดสก์ทอปวอลเล็ต
v2.0 (Sept 27): อัปเดต GUI ของ C2 แก้ไขช่องโหว่ที่สำคัญ รวมถึง SQL injection และ XSS เพิ่มการตรวจจับการพยายามโจมตีช่องโหว่ และเพิ่มประสิทธิภาพของโปรแกรมขโมยข้อมูล และตัวโหลด fileless ให้ดียิ่งขึ้น

ในปัจจุบัน BunnyLoader ขายในราคา $250 ในขณะที่รุ่น "private stub" ซึ่งมีฟีเจอร์ป้องกันการวิเคราะห์ที่แข็งแกร่งกว่า การฝังตัวในหน่วยความจำ การหลบเลี่ยงโปรแกรมป้องกันไวรัส และกลไกการคงอยู่เพิ่มเติม ขายในราคา $350

ในราคาที่ค่อนข้างต่ำนี้ เมื่อรวมกับการพัฒนาที่รวดเร็ว ทำให้ BunnyLoader เป็นตัวเลือกที่น่าสนใจสำหรับอาชญากรไซเบอร์ ที่กำลังมองหาข้อเสนอพิเศษในระยะแรกสำหรับมัลแวร์รุ่นใหม่ ๆ ก่อนที่จะเป็นที่รู้จัก และมีการเพิ่มราคา

ที่มา : bleepingcomputer.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ Advanced Backdoor ที่ยังไม่เคยมีการบันทึกไว้มาก่อนที่ถูกเรียกว่า "Deadglyph" ซึ่งถูกใช้โดยผู้โจมตีที่รู้จักกันในชื่อ "Stealth Falcon"

ESET ระบุในรายงานใหม่ที่แชร์กับ The Hacker News ว่า "โครงสร้างของ Deadglyph เป็นโครงสร้างที่ค่อนข้างผิดปกติ เนื่องจากประกอบด้วยส่วนประกอบที่ทำงานร่วมกัน - ส่วนหนึ่งเป็น x64 binary และอีกส่วนหนึ่งคือ .NET assembly"

การรวมกันลักษณะนี้เป็นเรื่องผิดปกติ เนื่องจากมัลแวร์โดยทั่วไปจะใช้เพียงภาษาโปรแกรมเดียวสำหรับส่วนประกอบต่าง ๆ ความแตกต่างนี้อาจเป็นการบ่งชี้ถึงการพัฒนาส่วนประกอบทั้งสองนี้แยกกัน ในขณะเดียวกันก็ใช้ประโยชน์จากคุณสมบัติเฉพาะของภาษาโปรแกรมที่แตกต่างกัน

การใช้ภาษาโปรแกรมที่แตกต่างกันยังถูกสงสัยว่าเป็นกลยุทธ์ที่จงใจเพื่อป้องกันการวิเคราะห์ ทำให้มีความยากลำบากมากขึ้นในการตรวจสอบ และแก้ไขช่องโหว่

ต่างจาก Backdoor แบบดั้งเดิมที่มีลักษณะคล้ายกัน Backdoor Deadglyph จะรับคำสั่งจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมในรูปแบบของโมดูลเพิ่มเติมที่ช่วยให้สร้าง process ใหม่ อ่านไฟล์ และรวบรวมข้อมูลจากระบบที่ถูกบุกรุก

Stealth Falcon (aka FruityArmor) เป็นกลุ่มอาชญากรทางไซเบอร์ที่เชื่อว่ามีรัฐบาลสนับสนุน กลุ่มนี้ถูกพบครั้งแรกโดย Citizen Lab ในปี 2016 โดยเชื่อมโยงกับสปายแวร์แบบที่มุ่งเป้าหมายไปยังประเทศในตะวันออกกลาง โดยมีเป้าหมายเป็นนักข่าว นักเคลื่อนไหว และผู้เห็นต่างในสหรัฐอาหรับเอมิเรตส์

การสืบสวนครั้งต่อมาที่ดำเนินการโดย Reuters ในปี 2019 ได้เปิดเผยการปฏิบัติการลับชื่อ Project Raven ซึ่งเกี่ยวข้องกับกลุ่มอดีตเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้รับการว่าจ้างจากบริษัทด้านความปลอดภัยไซเบอร์ชื่อ DarkMatter เพื่อสอดแนมเป้าหมายที่วิจารณ์สถาบันกษัตริย์อาหรับ

Stealth Falcon และ Project Raven ถูกเชื่อว่าเป็นกลุ่มเดียวกัน เนื่องจากมีความเชื่อมโยงกันในด้านเทคนิคการโจมตี และเป้าหมาย

กลุ่ม Stealth Falcon ได้ถูกเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่แบบ zero-day ใน Windows เช่น CVE-2018-8611 และ CVE-2019-0797 โดย Mandiant ระบุในเดือนเมษายน 2020 ว่ากลุ่มผู้โจมตีนี้ "ใช้ช่องโหว่แบบ zero-day ในการโจมตีมากกว่ากลุ่มอื่น ๆ" ในช่วงปี 2016 ถึง 2019

ในช่วงเวลาเดียวกัน ESET ได้อธิบายถึงการใช้ Backdoor ที่มีชื่อว่า Win32/StealthFalcon ซึ่งพบว่าใช้ Windows Background Intelligent Transfer Service (BITS) สำหรับการสื่อสารกับ C2 server และเพื่อให้ได้สิทธิ์ควบคุมอุปกรณ์ปลายทางอย่างสมบูรณ์

ตามรายงานระบุว่า Deadglyph เป็น Backdoor ล่าสุดที่กลุ่ม Stealth Falcon ใช้ โดยได้วิเคราะห์จากการโจมตีหน่วยงานรัฐบาลที่ไม่ระบุชื่อในตะวันออกกลาง

วิธีที่ใช้ในการฝังมัลแวร์ไปยังเป้าหมาย ยังไม่เป็นที่ทราบแน่ชัด แต่ส่วนประกอบเริ่มต้นที่ใช้ในการเริ่มการดำเนินงานของมันคือโปรแกรม loader ของ shellcode ที่ถูกแยก และโหลด shellcode จาก Registry Windows ซึ่งจากนั้นจะเรียกใช้งาน Deadglyph's native x64 module ที่เรียกว่า Executor ของ Deadglyph

จากนั้น Executor จะดำเนินการโหลดส่วนประกอบ .NET ที่เรียกว่า Orchestrator ซึ่งจะสื่อสาร C2 server เพื่อรอรับคำสั่งเพิ่มเติม มัลแวร์ยังมีวิธีการเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งรวมถึงความสามารถในการถอนการติดตั้งตัวเอง

คำสั่งที่ได้รับจากเซิร์ฟเวอร์จะถูกเรียงลำดับไว้เพื่อรอการดำเนินการ และสามารถแบ่งออกเป็นสามประเภท ได้แก่ Orchestrator tasks, Executor tasks และ Upload tasks

ESET รายงานว่า Executor tasks ช่วยให้สามารถจัดการกับ backdoor และเรียกใช้โมดูลเพิ่มเติมได้, Orchestrator tasks ช่วยให้สามารถจัดการการกำหนดค่าของโมดูล Network และ Timer และยังสามารถยกเลิก tasks ที่ค้างอยู่ได้

Executor tasks บางส่วนที่ระบุไว้ประกอบด้วยการสร้าง process การเข้าถึงไฟล์ และการรวบรวม metadata ของระบบ, โมดูล Timer ถูกใช้ในการตรวจสอบเซิร์ฟเวอร์ C2 โดยใช้ร่วมกับโมดูล Network ซึ่งใช้การสื่อสาร C2 โดยใช้การ request ผ่าน HTTPS POST

ส่วน Upload tasks คือการให้สิทธิ์ให้ backdoor สามารถอัปโหลดผลลัพธ์จากคำสั่ง และข้อผิดพลาดได้

ESET รายงานว่าสามารถระบุหน้าจอควบคุม (Control Panel, CPL) ที่ถูกอัปโหลดไปยัง VirusTotal จากประเทศกาตาร์ ซึ่งรายงานว่ามันเป็นจุดเริ่มต้นของการโจมตี multi-stage chain ซึ่งนำไปสู่การดาวน์โหลด shellcode ที่มีความคล้ายกับ Deadglyph

แม้ลักษณะของ shellcode ที่ดึงมาจากเซิร์ฟเวอร์ C2 ยังคงไม่ชัดเจน แต่มีการสรุปว่าอาจจะใช้เป็นตัวติดตั้งสำหรับมัลแวร์ Deadglyph

"Deadglyph ได้รับชื่อมาจากข้อมูลที่พบในตัว backdoor (hexadecimal IDs 0xDEADB001 และ 0xDEADB101 สำหรับโมดูล Timer และการกำหนดค่า) ร่วมกับการใช้การโจมตี homoglyph ที่ปลอมตัวเป็น Microsoft ("Microsoft Corporation") ใน Registry shellcode loader's VERSIONINFO resource.

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

กลุ่มผู้โจมตีที่มีเป้าหมายทางการเงินเปิดเผยว่าได้ขายช่องทางการเข้าถึงระบบขององค์กรที่ถูกโจมตี ให้กับกลุ่มผู้โจมตีรายอื่นเพื่อดำเนินการต่อ เช่น การติดตั้งแรนซัมแวร์

หน่วยงาน SecureWorks Counter Threat Unit (CTU) ตั้งชื่อกลุ่มอาชญากรไซเบอร์นี้ว่า Gold Melody ซึ่งยังเป็นที่รู้จักในชื่อ Prophet Spider (ถูกเรียกโดย CrowdStrike) และ UNC961 (ถูกเรียกโดย Mandiant)

บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า "กลุ่มที่มีเป้าหมายทางการเงินกลุ่มนี้ ได้ดำเนินการมาอย่างน้อยตั้งเเต่ปี 2017 ได้ทำการโจมตีองค์กรโดยใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตที่ยังไม่ได้รับการอัปเดตแพตช์"

ลักษณะของเหยื่อชี้ให้เห็นว่าเป็นการโจมตีแบบ opportunistic เพื่อเป้าหมายทางการเงิน มากกว่าจะเป็นแคมเปญที่กำหนดเป้าหมายที่ดำเนินการโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เพื่อการสอดแนม การทำลาย หรือการก่อความวุ่นวาย

Gold Melody เคยถูกเชื่อมโยงกับการโจมตีที่ใช้ช่องโหว่ด้านความปลอดภัยใน JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 และ CVE-2020-14882), GitLab (CVE-2021-22205), Citrix ShareFile Storage Zones Controller (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464), และ Apache Log4j (CVE-2021-44228) servers.

พบช่องโหว่ใหม่ใน GitHub อาจทำให้ repositories หลายพันรายการเสี่ยงต่อการถูกโจมตีด้วยวิธีการ Repojacking

จากรายงานของ Elad Rapoport นักวิจัยด้านความปลอดภัยของ Checkmarx ที่แชร์กับ The Hacker News ระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถใช้ประโยชน์จาก race condition ในการดำเนินการสร้าง repository และเปลี่ยนชื่อผู้ใช้ของ GitHub
(more…)