ผู้เชี่ยวชาญจาก SEKOIA พบเคมเปญการโจมตีขนาดใหญ่ที่มีการใช้งานโดเมนกว่า 1,300 โดเมนในการปลอมเป็น Official Site ของโปรแกรมรีโมทที่ใช้งานกันแพร่หลายอย่าง AnyDesk โดยจะเปลี่ยนเส้นทางของผู้ใช้งานไปยัง Dropbox ที่ใช้สำหรับติดตั้งมัลแวร์ขโมยข้อมูลที่มีชื่อว่า Vidar ซึ่ง Host ทั้งหมดใช้มาจาก IP เดียวกันคือ 185.149.120[.]9

ปัจจุบันโดเมนส่วนใหญ่ยังคงออนไลน์อยู่ แต่ก็มีบางโดเมนถูกรายงาน และปิดโดยผู้ให้บริการ Hosting รวมไปถึงถูกบล็อกจาก AntiVirus นอกจากนี้ลิงก์ Dropbox ของเว็ปไซต์ที่เปิดอยู่จะไม่ทำงานอีกต่อไปเนื่องจากมีรายงานไฟล์ที่เป็นอันตรายไปยังผู้ให้บริการ อย่างไรก็ตามแคมเปญเหล่านี้ชี้ไปที่เว็ปไซต์ปลายทางเดียวกัน ทำให้ผู้โจมตีสามารถแก้ไขปัญหาได้โดยอัปเดต URL ดาวน์โหลดไปยังเว็ปไซต์อื่นแทน

ลักษณะการทำงาน

ในแคมเปญล่าสุดที่ค้นพบเว็ปไซต์ปลอมต์ต่าง ๆ จะทำการแจกจ่ายไฟล์ที่ชื่อ 'AnyDeskDownload.

นักวิจัยด้านความปลอดภัยจาก Yair ค้นพบวิธีการใช้ช่องโหว่จากความสามารถของ Endpoint Detection and Response (EDR) และ Anti-Virus (AV) ที่ใช้กันอย่างแพร่หลายอย่าง Microsoft, SentinelOne, TrendMicro, Avast และ AVG ที่อยู่บนระบบของเหยื่อ เพื่อปกปิดพฤติกรรมการโจมตี, หลีกเลี่ยงการใช้สิทธิผู้ใช้งานระดับสูงในการโจมตี และสามารถลบทำลายข้อมูลได้ ซึ่งเป็นการโจมตีลักษณะเดียวกับ Wipers Malware โดยตั้งชื่อว่า “Aikido Wiper”

Wipers Malware คือ มัลแวร์ชนิดพิเศษที่มีเป้าหมายในการลบ หรือทำลายข้อมูลในระบบที่ถูกโจมตี และป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้

การค้นพบช่องโหว่

AV และ EDR มีความสามารถในการสแกนไฟล์ของคอมพิวเตอร์ เพื่อค้นหาไฟล์ที่เป็นอันตราย รวมถึงโหมด Real-Time Protection ที่จะสแกนไฟล์โดยอัตโนมัติ เมื่อไฟล์ถูกสร้างขึ้น และทำการวิเคราะห์ว่าไฟล์นั้นเป็นอันตรายหรือไม่ และถ้าพบว่าไฟล์นั้นเป็นอันตราย ก็จะถูกลบ (Deleted)/ กักกัน(Quarantined) ทันที โดยมี 2 กระบวนการ คือ กระบวนการแรก AV หรือ EDR ระบุได้ว่าไฟล์นั้นเป็นอันตราย และกระบวนการถัดมา AV หรือ EDR ดำเนินการลบไฟล์ที่เป็นอันตราย

แต่ถ้าหากเกิดมีการเปลี่ยนแปลงที่อยู่ของไฟล์ จะทำให้ AV หรือ EDR เปลี่ยนเปลี่ยนแปลงที่อยู่ของไฟล์ที่จะดำเนินการลบไปด้วย ซึ่งวิธีการนี้คือช่องโหว่ที่เรียกว่า time-of-check to time-of-use (TOCTOU)

ลักษณะการโจมตี

นักวิจัยได้ทำการทดสอบการใช้ช่องโหว่ time-of-check to time-of-use (TOCTOU) ด้วยขั้นตอนดังนี้

สร้างไฟล์ที่เป็นอันตรายที่ C:\temp\Windows\System32\drivers\ Mimikatz (ซึ่งไฟล์ Mimikatz จะถูกเปลี่ยนชื่อไฟล์เป็น ndis.

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.

ESET ผู้ให้บริการด้านความปลอดภัยบนอินเทอร์เน็ต ออกมาแจ้งเตือนถึงช่องโหว่ Local Privilege Escalation มีความรุนแรงระดับสูง และส่งผลกระทบหลายผลิตภัณฑ์ที่ใช้ Windows 10, Windows Server 2016 และเวอร์ชันที่ใหม่กว่านั้น แนะนำให้ผู้ใช้รีบอัปเดตแพตช์เพื่ออุดช่องโหว่ทันที

ช่องโหว่ (CVE-2021-37852) ถูกค้นพบโดย Michael DePlante จาก Trend Micro Zero Day Initiative ซึ่งช่วยให้แฮ็กเกอร์สามารถยกระดับสิทธิ์ตัวเองไปยังสิทธิ์บัญชี NT AUTHORITY\SYSTEM ซึ่งเป็นสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ Windows ได้โดยใช้ Windows Antimalware Scan Interface (AMSI)

รายการผลิตภัณฑ์ของ ESET ที่ได้รับผลกระทบจากช่องโหว่นี้

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security และ ESET Smart Security Premium ตั้งแต่เวอร์ชัน 10.0.337.1 ถึง 15.0.18.0
ESET Endpoint Antivirus for Windows และ ESET Endpoint Security for Windows ตั้งแต่เวอร์ชัน 6.6.2046.0 ถึง 9.0.2032.4
ESET Server Security for Microsoft Windows Server 8.0.12003.0 และ 8.0.12003.1,
ESET File Security for Microsoft Windows Server ตั้งแต่เวอร์ชัน 7.0.12014.0 ถึง 7.3.12006.0
ESET Server Security for Microsoft Azure ตั้งแต่เวอร์ชัน 7.0.12016.1002 ถึง 7.2.12004.1000
ESET Security for Microsoft SharePoint Server ตั้งแต่เวอร์ชัน 7.0.15008.0 ถึง 8.0.15004.0
ESET Mail Security for IBM Domino ตั้งแต่เวอร์ชัน 7.0.14008.0 ถึง 8.0.14004.0
ESET Mail Security for Microsoft Exchange Server ตั้งแต่เวอร์ชัน 7.0.10019 ถึง 8.0.10016.0

ผู้ใช้ ESET ผลิตภัณฑ์ต่างๆ ควรอัปเดทให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว และทาง ESET แจ้งว่าปัจจุบันยังไม่พบรายงานเกี่ยวกับการโจมตีบนช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer

พบมัลแวร์ใช้ Trick ในการหลบการป้องกันและตรวจจับ Ransomware ของ Antivirus หลาย Product

นักวิจัยได้เปิดเผยจุดอ่อนด้านความปลอดภัยที่สำคัญในแอปพลิเคชั่นซอฟต์แวร์ Antivirus
ที่ถูกนำไปใช้ในเพื่อหลีกเลี่ยงการป้องกันของระบบ Anti-ransomware

นักวิชาการจาก University of Luxembourg และ University of London พบว่ามีการโจมตีที่มีวัตถุประสงค์เพื่อหลีกเลี่ยงโฟลเดอร์ที่ได้รับการป้องกันจาก Anti-ransomware เพื่อเข้ารหัสไฟล์ หรือที่เรียกกันว่า “Cut and mouse” และทำการปิดการป้องกันแบบ real-time โดยจำลองการคลิกของเมาส์ หรือที่เรียกกันว่า “Ghost Control” โดยจะมีชุดแอปพลิเคชั่นที่ได้รับสิทธิ์ในการเข้าถึงและเขียนไฟล์ไปยังโฟลเดอร์ที่ได้รับการป้องกันจาก Anti-ransomware โดยที่แอปพลิเคชั่นนั้นจะไม่โดนตรวจสอบจาก Antivirus เนื่องจากเป็นโปรแกรมที่ได้รับอนุญาตอยู่แล้ว (more…)

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT

นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์

กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.

Kaspersky ได้ออกมาประกาศว่าจะมีการปล่อยเวอร์ชันฟรีของผลิตภัณฑ์แอนติไวรัสให้กับผู้ใช้งาน โดยในเวอร์ชันฟรีตัวนี้จะประกอบด้วยฟังก์ชันทั่วไป อาทิ การตรวจสอบมัลแวร์ในไฟล์ อีเมลและเว็บ รวมไปถึงฟังก์ชันในการกักกันไฟล์ที่เป็นอันตราย อย่างไรก็ตามฟังก์ชัน อาทิ ฟังก์ชันควบคุมการใช้งานหรือฟังก์ชัน VPN จะคงจำกัดอยู่ในกลุ่มของผลิตภัณฑ์เวอร์ชันเต็มที่จะต้องจ่ายเงินซื้อ

แอนติไวรัสของ Kaspersky ในรุ่นฟรีน่าจะมีการเปิดให้ผู้ใช้งานในไทยสามารถเข้าไปดาวโหลดในช่องเดือนพฤศจิกายน 2017 นี้

ที่มา : zdnet