กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้

Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO

ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux

Gomir backdoor

Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย

ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน

รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.

 

นักวิจัยความปลอดภัยทางไซเบอร์จาก Mandiant ได้รายงานในวันอังคารที่ผ่านมาว่า Ars Technica ได้ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์ใน Stage ที่สอง ในแคมเปญการโจมตีที่ยังไม่เคยถูกพบมาก่อน เพื่อหลีกเลี่ยงการตรวจจับได้อย่างชาญฉลาด (more…)

พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์

พบกลุ่ม Hacker ในชื่อ Blackwood กำลังใช้มัลแวร์ที่มีความสามารถสูงในชื่อ “NSPX30” เพื่อทำการโจมตีทางไซเบอร์ต่อบริษัท และบุคคล

(more…)

มัลแวร์ภาษา Go-based multi-platform ตัวใหม่ "NKAbuse" ซึ่งเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยี NKN (New Kind of Network) ในการรับส่งข้อมูล ทำให้เป็นภัยคุกคามที่ยากต่อการตรวจจับ

NKN เป็นโปรโตคอลเครือข่ายแบบ peer-to-peer แบบ decentralized ที่ค่อนข้างใหม่ ซึ่งมีการใช้เทคโนโลยี blockchain เพื่อจัดการทรัพยากร และรักษาความปลอดภัยของการทำงานบนเครือข่าย
(more…)

Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย

โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ

การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน

Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า

โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์

หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก

เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง

เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้

แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.

Kaspersky เปิดเผยรายงานการพบ Gopuram Malware ซึ่งเป็นมัลแวร์ที่ถูกใช้ในการโจมตี 3CX supply chain attack โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปที่บริษัททางด้าน cryptocurrency

การโจมตี 3CX supply chain attack เกิดขึ้นจากการที่ Hacker ได้โจมตีระบบของ 3CX และทำการฝัง DLL สองตัวที่เป็นอันตราย คือ ffmpeg.

SentinelOne และ QGroup บริษัทด้านความปลาดภัยทางไซเบอร์เปิดเผยรายงานการพบกลุ่ม Hacker ชาวจีน ได้โจมตีไปยังผู้ให้บริการโทรคมนาคมในตะวันออกกลางในช่วงต้นปี 2023 ในชื่อแคมเปญ Operation Soft Cell โดยกลุ่มดังกล่าวถูกพบว่ามีเป้าหมายการโจมตีไปยังผู้ให้บริการโทรคมนาคมมาตั้งแต่ปี 2012

กลุ่ม Gallium

โดยหนึ่งในแคมเปญ Soft Cell ที่ Microsoft กำลังติดตามในชื่อ Gallium ซึ่ง Gallium ได้มุ่งเป้าการโจมตีไปยังอุปกรณ์ที่เข้าถึงได้โดยตรงจากอินเตอร์เน็ตที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยจะใช้เครื่องมืออย่าง Mimikatz เวอร์ชันที่มีการปรับปรุงชื่อว่า mim221 ซึ่งสร้างขึ้น (more…)

พบ Hackers เริ่มใช้ช่องโหว่ใหม่ใน FortiNAC เพื่อสร้าง backdoor บน servers ของเป้าหมาย

นักวิจัยจาก GreyNoise และ CronUp ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่รายงานพบการ พบ Hackers เริ่มใช้ช่องโหว่ใหม่ใน FortiNAC (CVE-2022-39952) ในการโจมตีเพื่อสร้าง backdoor บน servers ของเป้าหมาย ภายหลังจากที่ทาง Horizon3 ได้ปล่อย proof-of-concept exploit code (PoC) ที่ใช้ในการโจมตีช่องโหว่ดังกล่าวออกมา โดยเป็นการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิสูงสุด (Root)

CVE-2022-39952 มีคะแนน CVSS v3 อยู่ที่ 9.8/10 ระดับความรุนแรงสูงมาก เป็นช่องโหว่ใน FortiNAC ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

FortiNAC เป็นโซลูชันในการควบคุมการเข้าถึงเครือข่ายที่ช่วยให้องค์กรมองเห็นภาพรวมของเครือข่ายแบบเรียลไทม์ รวมถึงการบังคับใช้นโยบายด้านความปลอดภัย และตรวจจับ และป้องกันภัยคุกคาม

รวมไปถึง GreyNoise และ CronUp ยังพบว่าการโจมตีอุปกรณ์ FortiNAC จำนวนมากผ่านช่องโหว่ CVE-2022-39952 มาจาก IP หลากหลายแห่ง โดยใช้กระบวนการโจมตีเดียวกับ PoC exploit ที่ Horizon3 ปล่อยออกมา คือการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิ root และเรียกกลับไปยัง IP ของ Hacker

Fortinet กล่าวว่าปัจจุบัน ยังไม่มีวิธีการอื่นในการป้องกัน หรือหลีกเลี่ยงช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่โดยเร็วที่สุด

 

ที่มา : bleepingcomputer

กลุ่ม APT37 หรือที่รู้จักกันในชื่อ Red Eye หรือ ScarCruft ซึ่งเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือ กำลังใช้มัลแวร์ในลักษณะ steganography ที่ชื่อ 'M2RAT' ในการโจมตีเพื่อรวบรวมข้อมูลข่าวกรองที่สำคัญต่อรัฐบาลเกาหลีเหนือ

ตัวอย่างเช่น การใช้ backdoor บนโทรศัพท์ที่ชื่อว่า 'Dolphin' ในการติดตั้ง remote access trojan (RAT) อย่าง 'Konni' เพื่อมุ่งเป้าในการขโมยข้อมูลจากองค์กรในสหภาพยุโรป และใช้มัลแวร์ที่ชื่อว่า 'Goldbackdoor' เพื่อขโมยข้อมูลจากผู้สื่อข่าวในสหรัฐอเมริกา เป็นต้น

โดยในรายงานล่าสุดจาก AhnLab Security Emergency response Center (ASEC) นักวิจัยระบุว่า APT37 ใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า 'M2RAT' แบ่งการใช้งาน memory ร่วมกันระหว่างการสั่งการ และการขโมยข้อมูล โดยจะทิ้งร่องรอยการทำงานไว้น้อยมากบนเครื่องของเหยื่อ

ลักษณะการทำงาน

การโจมตีล่าสุดที่ตรวจพบโดย ASEC ถูกพบในเดือนมกราคม 2566 โดยกลุ่มแฮกเกอร์จะใช้การส่งอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายไปยังเป้าหมาย

เมื่อมีการเปิดไฟล์แนบจะทำให้เกิดการโจมตีโดยใช้ประโยชน์จากช่องโหว่ EPS (CVE-2017-8291) ในโปรแกรม Hangul word processor ซึ่งนิยมใช้กันทั่วไปในเกาหลีใต้ ซึ่งช่องโหว่นี้จะทำให้ shellcode เริ่มทำงานบนคอมพิวเตอร์ของเหยื่อ และทำการดาวน์โหลด และเรียกใช้โปรแกรมที่เป็นอันตรายซึ่งถูกเก็บไว้ภายในไฟล์ภาพ JPEG

โดยไฟล์ภาพ JPG จะใช้เทคนิค steganography ซึ่งทำให้สามารถซ่อนโค้ดภายในไฟล์ได้ เพื่อทำให้ M2RAT ("lskdjfei.

พบแคมเปญใหม่ที่มีความเชื่อมโยงกับกลุ่ม Lazarus มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Zimbra ที่ยังไม่ได้ทำการ Patch เพื่อเข้าควบคุมเครื่องของเหยื่อ โดยถูกตั้งเป็นแคมเปญชื่อ No Pineapple (more…)