นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับการโจมตีแบบ Spear-Phishing รูปแบบใหม่ที่ใช้ช่องโหว่ Follina บน Windows เพื่อติดตั้งมัลแวร์สำหรับขโมยรหัสผ่าน โดยพบว่าเป็นกลุ่ม APT28 ซึ่งคาดว่าเป็นหน่วยข่าวกรองของทหารรัสเซีย โดยมีชื่อเรียกอื่น ๆ เช่น Fancy Bear และ Sofacy

CERT-UA ระบุว่าในการโจมตีจะเริ่มต้นด้วยการส่งไฟล์เอกสารชื่อว่า “Nuclear Terrorism A Very Real Threat.

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.

แฮกเกอร์ที่รัฐสนับสนุนกำลังใช้ coronavirus เพื่อหลอกลวงให้เป้าหมายของพวกเขาติดเชื้อมัลแวร์

แฮกเกอร์ที่รัฐสนับสนุน (APT) ของรัฐบาลจีน เกาหลีเหนือ และรัสเซียถูกจับได้โดยใช้อีเมลที่มีธีม COVID-19 เพื่อทำให้เหยื่อติดมัลแวร์

รัสเซีย
กลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐกลุ่มแรกที่ใช้การหลอกลวงโดย coronavirus คือกลุ่ม Hades ที่เชื่อว่ามีการปฏิบัติการนอกรัสเซีย และมีส่วนเกี่ยวข้องกับ APT28 (Fancy Bear) iและเป็นหนึ่งในกลุ่มที่แฮก DNC ในปี 2016

QiAnXin บริษัทรักษาความปลอดภัยไซเบอร์พบว่าแฮกเกอร์ Hades ดำเนินการเเคมเปญในกลางเดือนกุมภาพันธ์ เมื่อพวกเขาซ่อน C# backdoor trojan ในเอกสารที่มีข่าวล่าสุดเกี่ยวกับ COVID-19 เอกสารถูกส่งไปยังเป้าหมายในยูเครน ซึ่งปลอมเป็นอีเมลที่มาจากศูนย์สาธารณสุขของกระทรวงสาธารณสุขของประเทศยูเครน

เกาหลีเหนือ
กลุ่มแฮกเกอร์เกาหลีเหนือซ่อนมัลแวร์ไว้ในเอกสารที่ระบุรายละเอียดการตอบสนองของเกาหลีใต้ต่อการแพร่ระบาดของ COVID-19 เชื่อว่าเอกสารดังกล่าวมีเป้าหมายเป็นเจ้าหน้าที่ของเกาหลีใต้ โดยเอกสารนั้นเต็มไปด้วย BabyShark ซึ่งเป็นสายพันธุ์มัลแวร์ที่เคยใช้โดยกลุ่มแฮกเกอร์เกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky

จีน
แคมเปญมัลแวร์ส่วนใหญ่ที่ใช้ธีม coronavirus มาจากประเทศจีน พบการโจมตีครั้งเเรกที่เกิดขึ้นโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์เวียดนาม VinCSS ตรวจพบกลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐของจีน (ชื่อ Mustang Panda) แพร่กระจายอีเมลด้วยไฟล์แนบ RAR ที่อ้างว่าส่งข้อความเกี่ยวกับการระบาดของโรค coronavirus จากนายกรัฐมนตรีเวียดนาม เมื่อเหยื่อหลงเชื่อโหลดและแตกไฟล์ก็จะติดโทรจัน

ที่มา : Zdnet

การ hack กลุ่มแฮคเกอร์กลับนั้นไม่ใช่สิ่งที่ทาง Microsoft ผู้ซึ่งพยายามที่จะปกป้องลูกค้าจากเหล่าแฮคเกอร์ อาชญากรไซเบอร์ หรือกลุ่มที่ได้รับการสนับสนุนจากภาครัฐนั้นเลือกที่จะทำ ซึ่งทาง Microsoft เองเลือกที่จะใช้ตัวกฎหมายเป็นเครื่องมือในการจัดการกับแฮคเกอร์กลุ่มใหญ่ที่มีชื่อว่า Fancy Bear โดยทางองค์กรได้ทำการขโมยข้อมูลเซิร์ฟเวอร์จากความช่วยเหลือของตัวกฎหมาย Microsoft ให้ทีมกฎหมายฟ้อง Fancy Bear ในศาสสรัฐบาลกลางนอก Washington DC
Fancy Bear คือกลุ่ม hacker ที่รู้จักกันในอีกหลายๆ ชื่อ เช่น APT28, Sofacy, Sednit, และ Pawn Storm เริ่มมีการเคลื่อนไหวตั้งแต่ปี 2007 และเคยถูกกล่าวหาว่ามีส่วนเกี่ยวข้องกับการพยายามแฮคข้อมูลของคณะกรรมการพรรคเดโมแครต หรือ Democratic National Committee (DNC) เป็นที่เชื่อกันว่ากลุ่มแฮคเกอร์ดังกล่าวเกี่ยวข้องกับหน่วยสืบราชการลับของรัสเซียแม้ว่าทาง Microsoft ยังไม่พบการเชื่อมต่อใดๆ ระหว่างสองฝ่ายนี้ Fancy Bear เลือกจะที่ใช้ Domain Name ที่มีความคล้ายกับ domain ที่ทาง Microsoft ให้บริการอยู่ จึงทำให้ Microsoft สามารถใช้จุดนี้ทำให้กลุ่ม Fancy Bear ถูกนำตัวมาขึ้นศาล
ความตั้งใจของ Microsoft ไม่ใช่การนำตัวแฮคเกอร์เหล่านี้มาขึ้นศาล แต่ว่าต้องการที่จะเป็นเจ้าของ domain ของ Fancy Bear ซึ่งทำหน้าที่เป็น command-and-control เซิร์ฟเวอร์ ถึงแม้ว่า Microsoft จะไม่ได้สิทธิ์ครอบครองอย่างเต็มตัว แต่เมื่อปีที่ผ่านมาศาลตัดสินให้ Domain Name registrars ที่ชื่อ "compelling them to alter" ซึ่งเป็น DNS ของอย่างน้อย 70 domains ของ Fancy Bear ให้วิ่งไปที่เซิร์ฟเวอร์ที่ถูกควบคุมโดย Microsoft ซึ่งต่อมา Microsoft ใช้คดีความนี้เป็นเครื่องมือในการช่วยสร้าง Sinkhole Domains ซึ่งทำให้หน่วยอาชญากรรมดิจิตอลขององค์กรสามารถใช้เฝ้าสังเกตุการณ์พฤติกรรมได้

ที่มา : thehackernews