นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยข้อมูลเกี่ยวกับเวอร์ชันใหม่ของ ransomware ที่ชื่อว่า HardBit ซึ่งมาพร้อมกับเทคนิคการซ่อนตัวรูปแบบใหม่เพื่อขัดขวางความพยายามในการวิเคราะห์

Kotaro Ogino และ Koshi Oyama นักวิจัยจาก Cybereason ระบุในรายงานการวิเคราะห์ว่า "ความแตกต่างจากเวอร์ชันก่อนหน้าคือ กลุ่ม HardBit Ransomware ได้ทำการในปรับปรุงเวอร์ชัน 4.0 ด้วยการเพิ่มการป้องกันด้วยรหัสผ่าน"

"จำเป็นจะต้องมีการกรอกรหัสผ่านในระหว่างการทำงานเพื่อให้ ransomware ทำงานได้อย่างถูกต้อง รวมถึงวิธีการซ่อนตัวเพิ่มเติมยังเป็นอุปสรรคต่อนักวิจัยในการวิเคราะห์มัลแวร์"

HardBit ถูกพบครั้งแรกในเดือนตุลาคม 2022 โดยเป็นกลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางการเงินเช่นเดียวกับกลุ่ม ransomware อื่น ๆ ที่ดำเนินการโดยมีเป้าหมายเพื่อสร้างรายได้ที่ผิดกฎหมายผ่านการขู่เรียกค่าไถ่

สิ่งที่ทำให้กลุ่มนี้แตกต่างออกไปคือ พวกเขาไม่ได้ดำเนินการเผยแพร่ข้อมูลรั่วไหลบนเว็บไซต์ แต่จะใช้วิธีกดดันเหยื่อให้จ่ายเงินโดยขู่ว่าจะโจมตีเพิ่มเติมในอนาคต โดยจะใช้วิธีการสื่อสารกับเหยื่อผ่านทาง Tox instant messaging

ยังไม่ชัดเจนว่ามีการใช้วิธีการใดในการเข้าถึงระบบของเหยื่อในเบื้องต้น แต่คาดว่าน่าจะเป็นการโจมตีในลักษณะ brute force ในบริการ RDP และ SMB

โดยขั้นตอนต่อไปจะเป็นการขโมยข้อมูล credential โดยใช้เครื่องมือ เช่น Mimikatz และ NLBrute และการสแกนเครือข่ายด้วย Advanced Port Scanner ทำให้ผู้โจมตีสามารถโจมตีต่อไปยังภายในเครือข่ายได้โดยใช้ RDP

Varonis ระบุในบทวิเคราะห์ทางเทคนิคเกี่ยวกับ HardBit 2.0 เมื่อปีที่แล้วว่า "เมื่อเข้าถึง host ของเหยื่อได้แล้ว HardBit ransomware จะถูกเรียกใช้ และดำเนินการหลายขั้นตอนที่ลดระดับความปลอดภัยของเครื่องเหยื่อก่อนที่ข้อมูลจะถูกเข้ารหัส"

การเข้ารหัสเครื่องของเหยื่อจะดำเนินการโดยใช้ HardBit ที่ถูกส่งผ่านมัลแวร์ที่รู้จักกันในชื่อ Neshta ซึ่ง Neshta เคยถูกใช้โดยกลุ่มแฮ็กเกอร์ในอดีตเพื่อแพร่กระจาย Big Head ransomware อีกด้วย

HardBit ยังถูกออกแบบมาให้ปิดการทำงานของ Microsoft Defender Antivirus และหยุด processes และ services ต่าง ๆ เพื่อหลีกเลี่ยงการตรวจจับ activities ที่เกิดขึ้น และขัดขวางการกู้คืนระบบ จากนั้นจะเข้ารหัสไฟล์ที่น่าสนใจ, เปลี่ยนไอคอน, เปลี่ยนวอลเปเปอร์เดสก์ท็อป และเปลี่ยนชื่อระบบด้วย string "Locked by HardBit"

นอกจากจะสามารถดำเนินการได้ทั้งในรูปแบบของ command-line หรือ GUI แล้ว ransomware ยังต้องมีการกรอก authorization ID เพื่อให้สามารถทำงานได้สมบูรณ์ รวมถึง GUI ยังรองรับโหมดลบข้อมูล (wiper mode) เพื่อลบไฟล์ และข้อมูลบนฮาร์ดดิสก์อย่างถาวรอีกด้วย

Cybereason ระบุว่า "เมื่อแฮ็กเกอร์ที่นำไปใช้สามารถกรอกรหัส authorization ID ได้ถูกต้อง HardBit จะแจ้งให้ใส่คีย์เข้ารหัสเพื่อเข้ารหัสไฟล์บนเครื่องเป้าหมาย และดำเนินการตามขั้นตอนของ ransomware"

"ฟีเจอร์โหมดลบข้อมูลจำเป็นต้องถูกเปิดใช้งานโดยกลุ่ม HardBit Ransomware และฟีเจอร์นี้น่าจะเป็นฟีเจอร์เพิ่มเติมที่แฮ็กเกอร์ที่นำไปใช้ต้องซื้อเพิ่มหากต้องการโหมดลบข้อมูล โดยจะต้องนำไฟล์ hard.

ช่องโหว่ Security Bypass ใน Exim Mail Servers ส่งผลกระทบกับระบบกว่า 1.5 ล้านรายการ

Censys แจ้งเตือนการพบ Exim mail transfer agent (MTA) instances กว่า 1.5 ล้านรายการที่มีช่องโหว่ ซึ่งทำให้ Hacker สามารถ bypass security filter ได้

(more…)

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 โดยได้แก้ไขช่องโหว่ 142 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการ และพึ่งเปิดเผย 2 รายการ
โดย Patch Tuesday ประจำเดือนกรกฎาคม 2024 มีช่องโหว่ระดับ Critical 5 รายการ

(more…)

แฮ็กเกอร์ใช้ประโยชน์จากช่องโหวในโมดูล Facebook ระดับพรีเมี่ยม สำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อติดตั้ง card skimmer บนเว็บไซต์ e-commerce ที่มีช่องโหว่ และขโมยข้อมูลการชำระเงินผ่านบัตรเครดิตของผู้ใช้งาน

PrestaShop เป็นแพลตฟอร์ม e-commerce แบบ open-source ที่ช่วยให้ผู้ใช้งาน และธุรกิจสามารถสร้าง และจัดการร้านค้าออนไลน์ได้ โดยในปี 2024 มีร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลกที่ใช้งานอยู่

pkfacebook เป็น add-on ของบริษัท Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบได้โดยใช้บัญชี Facebook, แสดงความคิดเห็นในเพจของร้านค้า และสื่อสารกับฝ่าย support โดยใช้ Messenger

Promokit มียอดขายมากกว่า 12,500 ครั้ง แต่โมดูล Facebook จะถูกขายผ่านเว็บไซต์ของ Promokit เท่านั้น และไม่มีรายละเอียดอื่น ๆ เกี่ยวกับ sales number

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-36680 เป็นช่องโหว่ SQL Injection ใน Ajax สคริปต์ facebookConnect.

พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console

ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ Hacker ต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทน

โดยพบว่า Hacker ได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows

ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ Hacker ต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files

โดยปัจจุบัน Hacker ได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools

จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.

นักวิจัยจาก ESET แจ้งเตือนแคมเปญการโจมตีของกลุ่ม Arid Viper ที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android ซึ่งแคมเปญเหล่านี้จะแพร่กระจายมัลแวร์ผ่านเว็บไซต์ที่เหยื่อสามารถดาวน์โหลด และติดตั้งแอปพลิเคชัน Android ได้ด้วยตนเอง

สามแอปพลิเคชันที่ให้บริการบนเว็บไซต์เหล่านี้เป็นแอปพลิเคชันที่ถูกต้อง แต่ถูกเพิ่มโค้ดที่เป็นอันตรายซึ่งเรียกว่า "AridSpy" ซึ่งมีวัตถุประสงค์เพื่อการสอดแนมผู้ใช้งาน

AridSpy ถูกพบครั้งแรกโดย Zimperium ในปี 2021 ในช่วงเวลานั้นมัลแวร์ยังมีเพียงขั้นตอนเดียว โดยมีโค้ดที่เป็นอันตรายทั้งหมดอยู่ในแอปพลิเคชันที่ถูกฝังโทรจันเข้าไป

ถัดมาในครั้งที่สอง นักวิจัยจาก ESET พบการใช้งานในปี 2022 (และต่อมาถูกวิเคราะห์โดย 360 Beacon Labs ในเดือนธันวาคม 2022) โดยผู้ไม่หวังดีได้มุ่งเป้าไปที่งาน FIFA World Cup ในกาตาร์ โดยแคมเปญนี้ใช้แอปพลิเคชัน Kora442 ที่มี AridSpy ฝังอยู่ โดยปลอมเป็นหนึ่งในแอป Kora หลายแอป เช่นเดียวกับตัวอย่างที่วิเคราะห์โดย Zimperium มัลแวร์ยังคงมีเพียงขั้นตอนเดียวในขณะนั้น

ในเดือนมีนาคม 2023 ทีมนักวิจัยจาก 360 Beacon Labs ได้วิเคราะห์แคมเปญ Android อีกหนึ่งแคมเปญที่ดำเนินการโดยกลุ่ม Arid Viper และพบความเชื่อมโยงระหว่างแคมเปญ Kora442 กับกลุ่ม Arid Viper โดยอ้างอิงจากการใช้ไฟล์ myScript.

นักวิจัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการโจมตีช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows

CVE-2024-26169 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024

โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta

Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows

การโจมตีช่องโหว่ CVE-2024-26169

Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot

นักวิจัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้

สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.

เมื่อวันที่ 7 พฤษภาคม 2024 นักวิจัยด้านความปลอดภัยของ Devcore ชื่อ Orange Tsai ได้ค้นพบ และรายงานช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) หมายเลข CVE-2024-4577 ให้กับทีมงาน PHP อย่างเป็นทางการ โดยช่องโหว่นี้เกิดจากข้อผิดพลาดในการแปลงรหัสตัวอักษร โดยเฉพาะอย่างยิ่งในฟีเจอร์ “Best Fit” บนระบบปฏิบัติการ Windows

การโจมตีโดยใช้ช่องโหว่นี้อาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดใด ๆ ได้จากระยะไกล ซึ่งเป็นความเสี่ยงด้านความปลอดภัยที่สำคัญต่อการติดตั้ง PHP ทุกเวอร์ชันที่ทำงานบนแพลตฟอร์ม Windows เมื่อเห็นถึงความร้ายแรงของปัญหานี้ ทีมพัฒนา PHP ได้แก้ไขช่องโหว่ CVE-2024-4577 อย่างรวดเร็ว โดยการปล่อยแพตช์อัปเดตอย่างเป็นทางการเมื่อวันที่ 6 มิถุนายน 2024

เมื่อวันที่ 8 มิถุนายน 2024 นักวิจัยด้านความปลอดภัยไซเบอร์จาก Imperva ได้รายงานกรณีแรกที่ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ โดยผู้โจมตีใช้ช่องโหว่นี้ในการแพร่กระจายแรนซัมแวร์บนระบบที่มีช่องโหว่ โดยปฏิบัติการนี้ถูกระบุว่าเป็นส่วนหนึ่งของแคมเปญแรนซัมแวร์ 'TellYouThePass'

Cyble Global Sensor Intelligence (CGSI) ตรวจพบการพยายามสแกนหลายครั้งที่เกี่ยวข้องกับช่องโหว่ CVE-2024-4577 จากหลาย IP ที่น่าสนใจคือการพยายามสแกนจาก IP 51[.]79[.]19[.]53 ซึ่งเกี่ยวข้องกับแคมเปญของมัลแวร์ Muhstik ที่ถูกระบุโดย Aqua Nautilus เมื่อเร็ว ๆ นี้ การพยายามโจมตีจากที่อยู่ IP นี้ แสดงให้เห็นถึงความเกี่ยวข้องกับผู้โจมตีที่เคยใช้ช่องโหว่ RocketMQ และอาจกำลังพยายามใช้ประโยชน์จากช่องโหว่ CVE-2024-4577 เพื่อเรียกใช้งานเพย์โหลดที่เป็นอันตราย

Muhstik ถูกระบุว่าเป็นภัยคุกคามที่มีเป้าหมายเป็นอุปกรณ์ IoT และเซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการ Linux โดยมีชื่อเสียงในเรื่องความสามารถในการแพร่กระจายมัลแวร์สู่อุปกรณ์ และใช้อุปกรณ์ที่ติดมัลแวร์ในการดำเนินการต่าง ๆ เช่น การขุด cryptocurrency และการโจมตีแบบ Distributed Denial of Service (DDoS)

Cyble Global Sensor Intelligence (CGSI) findings

WatchTowr Labs ได้เผยแพร่ PoC สำหรับการโจมตี CVE-2024-4577 หนึ่งวันหลังจากที่แพตช์ถูกปล่อยออกมา โดยในวันถัดมา Cyble Global Sensor Intelligence (CGSI) ได้ตรวจพบความพยายามในการใช้ช่องโหว่นี้ โดยเริ่มตั้งแต่วันที่ 8 มิถุนายน 2024

Vulnerability Summary

CVE-2024-4577: Command injection vulnerability
CVSS:3.1: 9.8
Severity: Critical
Vulnerable Versions:

ช่องโหว่นี้ส่งผลกระทบต่อ PHP ทุกเวอร์ชันที่ทำงานในโหมด CGI (Common Gateway Interface) บนระบบปฏิบัติการ Windows หรือเปิด PHP binary ในเวอร์ชันดังต่อไปนี้

PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29

ใน PHP เวอร์ชัน 8.1.* ก่อน 8.1.29, 8.2.* ก่อน 8.2.20, และ 8.3.* ก่อน 8.3.8 เมื่อใช้ Apache และ PHP-CGI บน Windows หากระบบถูกตั้งค่าให้ใช้ code pages บางประเภท Windows อาจใช้ "Best-Fit" เพื่อแทนที่ตัวอักษรใน command line ที่ให้กับฟังก์ชัน Win32 API ซึ่ง โมดูล PHP CGI อาจตีความตัวอักษรเหล่านั้นผิดเป็น PHP options ซึ่งช่วยให้ผู้โจมตีสามารถส่ง options ไปยังไบนารีของ PHP ที่กำลังทำงานอยู่ ทำให้สามารถเรียกใช้งานสคริปต์ หรือรันโค้ด PHP ใด ๆ บนเซิร์ฟเวอร์ได้ เป็นต้น

Vulnerability Details

ช่องโหว่นี้ส่งผลกระทบต่อโหมด CGI ของ PHP ซึ่งเว็บเซิร์ฟเวอร์จะตีความ HTTP request และส่งต่อไปยังสคริปต์ PHP เพื่อประมวลผล ยกตัวอย่างเช่น query strings จะถูกแยก และส่งไปยัง PHP interpreter ผ่านทาง command line เช่น การรัน "php.

CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย

หน่วยงาน US Cybersecurity & Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities catalog (KEV) หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี โดยมีช่องโหว่ 1 รายการที่ส่งผลกระทบต่อ Google Chrome และช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ D-Link router

(more…)

กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้

Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO

ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux

Gomir backdoor

Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย

ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน

รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.