SentinelOne และ QGroup บริษัทด้านความปลาดภัยทางไซเบอร์เปิดเผยรายงานการพบกลุ่ม Hacker ชาวจีน ได้โจมตีไปยังผู้ให้บริการโทรคมนาคมในตะวันออกกลางในช่วงต้นปี 2023 ในชื่อแคมเปญ Operation Soft Cell โดยกลุ่มดังกล่าวถูกพบว่ามีเป้าหมายการโจมตีไปยังผู้ให้บริการโทรคมนาคมมาตั้งแต่ปี 2012

กลุ่ม Gallium

โดยหนึ่งในแคมเปญ Soft Cell ที่ Microsoft กำลังติดตามในชื่อ Gallium ซึ่ง Gallium ได้มุ่งเป้าการโจมตีไปยังอุปกรณ์ที่เข้าถึงได้โดยตรงจากอินเตอร์เน็ตที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยจะใช้เครื่องมืออย่าง Mimikatz เวอร์ชันที่มีการปรับปรุงชื่อว่า mim221 ซึ่งสร้างขึ้น (more…)

พบ Hackers เริ่มใช้ช่องโหว่ใหม่ใน FortiNAC เพื่อสร้าง backdoor บน servers ของเป้าหมาย

นักวิจัยจาก GreyNoise และ CronUp ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่รายงานพบการ พบ Hackers เริ่มใช้ช่องโหว่ใหม่ใน FortiNAC (CVE-2022-39952) ในการโจมตีเพื่อสร้าง backdoor บน servers ของเป้าหมาย ภายหลังจากที่ทาง Horizon3 ได้ปล่อย proof-of-concept exploit code (PoC) ที่ใช้ในการโจมตีช่องโหว่ดังกล่าวออกมา โดยเป็นการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิสูงสุด (Root)

CVE-2022-39952 มีคะแนน CVSS v3 อยู่ที่ 9.8/10 ระดับความรุนแรงสูงมาก เป็นช่องโหว่ใน FortiNAC ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

FortiNAC เป็นโซลูชันในการควบคุมการเข้าถึงเครือข่ายที่ช่วยให้องค์กรมองเห็นภาพรวมของเครือข่ายแบบเรียลไทม์ รวมถึงการบังคับใช้นโยบายด้านความปลอดภัย และตรวจจับ และป้องกันภัยคุกคาม

รวมไปถึง GreyNoise และ CronUp ยังพบว่าการโจมตีอุปกรณ์ FortiNAC จำนวนมากผ่านช่องโหว่ CVE-2022-39952 มาจาก IP หลากหลายแห่ง โดยใช้กระบวนการโจมตีเดียวกับ PoC exploit ที่ Horizon3 ปล่อยออกมา คือการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิ root และเรียกกลับไปยัง IP ของ Hacker

Fortinet กล่าวว่าปัจจุบัน ยังไม่มีวิธีการอื่นในการป้องกัน หรือหลีกเลี่ยงช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่โดยเร็วที่สุด

 

ที่มา : bleepingcomputer

กลุ่ม APT37 หรือที่รู้จักกันในชื่อ Red Eye หรือ ScarCruft ซึ่งเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือ กำลังใช้มัลแวร์ในลักษณะ steganography ที่ชื่อ 'M2RAT' ในการโจมตีเพื่อรวบรวมข้อมูลข่าวกรองที่สำคัญต่อรัฐบาลเกาหลีเหนือ

ตัวอย่างเช่น การใช้ backdoor บนโทรศัพท์ที่ชื่อว่า 'Dolphin' ในการติดตั้ง remote access trojan (RAT) อย่าง 'Konni' เพื่อมุ่งเป้าในการขโมยข้อมูลจากองค์กรในสหภาพยุโรป และใช้มัลแวร์ที่ชื่อว่า 'Goldbackdoor' เพื่อขโมยข้อมูลจากผู้สื่อข่าวในสหรัฐอเมริกา เป็นต้น

โดยในรายงานล่าสุดจาก AhnLab Security Emergency response Center (ASEC) นักวิจัยระบุว่า APT37 ใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า 'M2RAT' แบ่งการใช้งาน memory ร่วมกันระหว่างการสั่งการ และการขโมยข้อมูล โดยจะทิ้งร่องรอยการทำงานไว้น้อยมากบนเครื่องของเหยื่อ

ลักษณะการทำงาน

การโจมตีล่าสุดที่ตรวจพบโดย ASEC ถูกพบในเดือนมกราคม 2566 โดยกลุ่มแฮกเกอร์จะใช้การส่งอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายไปยังเป้าหมาย

เมื่อมีการเปิดไฟล์แนบจะทำให้เกิดการโจมตีโดยใช้ประโยชน์จากช่องโหว่ EPS (CVE-2017-8291) ในโปรแกรม Hangul word processor ซึ่งนิยมใช้กันทั่วไปในเกาหลีใต้ ซึ่งช่องโหว่นี้จะทำให้ shellcode เริ่มทำงานบนคอมพิวเตอร์ของเหยื่อ และทำการดาวน์โหลด และเรียกใช้โปรแกรมที่เป็นอันตรายซึ่งถูกเก็บไว้ภายในไฟล์ภาพ JPEG

โดยไฟล์ภาพ JPG จะใช้เทคนิค steganography ซึ่งทำให้สามารถซ่อนโค้ดภายในไฟล์ได้ เพื่อทำให้ M2RAT ("lskdjfei.

พบแคมเปญใหม่ที่มีความเชื่อมโยงกับกลุ่ม Lazarus มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Zimbra ที่ยังไม่ได้ทำการ Patch เพื่อเข้าควบคุมเครื่องของเหยื่อ โดยถูกตั้งเป็นแคมเปญชื่อ No Pineapple (more…)

Fortinet บริษัทด้านความปลอดภัย ออกประกาศการพบกลุ่ม Hacker ชาวจีนได้ใช้มัลแวร์บน Linux และ Windows ที่สร้างขึ้นมาใหม่ชื่อว่า 'BOLDMOVE' เพื่อโจมตีช่องโหว่ FortiOS SSL-VPN บนอุปกรณ์ Fortinet โดยมีเป้าหมายการโจมตีไปยังรัฐบาลยุโรป และ MSP ของแอฟริกา (more…)

ผู้เชี่ยวชาญจาก Symentec พบพฤติกรรมการโจมตีที่มุ่งเน้นไปที่หน่วยงานรัฐในแถบเอเชีย เป้าหมายในครั้งนี้มีทั้งบริษัทการบินอวกาศและการป้องกันประเทศ, บริษัทโทรคมนาคมและองค์กรไอที โดยแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ดังกล่าวเป็นกลุ่มเดียวกับกลุ่มที่ใช้ "ShadowPad" RAT ในแคมเปญก่อนหน้านี้ แต่ในครั้งนี้ผู้โจมตีมีการใช้ Tools ที่หลากหลายมากขึ้นและจากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าการโจมตีนี้เกิดขึ้นตั้งแต่ต้นปี 2564 และยังดำเนินการต่อเนื่องมาจนถึงปัจจุบัน เป้าหมายของการโจมตีมีหน่วยงานรัฐดังต่อไปนี้

บริษัทส่วนงานราชการ/สำนักนายกรัฐมนตรี
สถาบันของรัฐที่เชื่อมโยงกับการเงิน
บริษัทการบินอวกาศและการป้องกันของรัฐ
บริษัทโทรคมนาคมของรัฐ
หน่วยงานด้านไอทีของรัฐ
หน่วยงานสื่อของรัฐ

ลักษณะการโจมตี

การโจมตีเริ่มต้นด้วยการติดตั้งไฟล์ . DLL ที่เป็นอันตราย โดยใช้วิธีการ Execute จากโปรแกรมปกติที่ที่อยู่บนเครื่องเพื่อโหลดไฟล์ .dat จากนั้นไฟล์จะถูกส่งไปยังเครื่องเป้าหมายผ่านวิธีการ side-loaded ซึ่งในครั้งนี้ผู้โจมตีใช้ Bitdefender Crash Handler ที่มีอายุ 11 ปีในการโจมตี
เมื่อไฟล์ .dat เข้ามาในเครื่องแล้ว ข้างในจะมีเพย์โหลดที่ประกอบไปด้วย Shellcode อยู่ ซึ่ง Shellcode นี้สามารถใช้คำสั่งเพื่อดึงเพย์โหลดอื่นๆ ที่เป็นอันตรายมาติดตั้งเพิ่มเติมได้ โดยเป็นการเรียกจาก Memory โดยตรง
สามวันหลังจาก Backdoor ถูกติดตั้งบนเครื่องเป้าหมาย ผู้โจมตีได้ทำการติดตั้งโปรแกรม ProcDump ลงไปเพื่อขโมย Credential ของผู้ใช้งานจาก Local Security Authority Server Service (LSASS) ซึ่งในวันเดียวกัน ทีม Penetration Testing ของบริษัท LadonGo ได้ทดสอบเจาะระบบโดยใช้วิธี DLL hijacking เพื่อทำการ side-loaded ด้วยเช่นกัน
อีกสองสัปดาห์ต่อมา ผู้โจมตีได้ทำการติดตั้ง Mimikatz ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันแพร่หลายในการขโมยข้อมูลประจำตัว
ต่อมา ผู้โจมตีเริ่มมีการใช้ PsExec ในการเรียกใช้งาน Crash Handler เพื่อทำการ DLL hijacking ติดตั้งโหลดเพย์โหลดบนคอมพิวเตอร์อื่น ๆ ในเครือข่าย
หนึ่งเดือนหลังจากการโจมตีครั้งแรก ผู้โจมตีได้สิทธิ์ High Privileged บนระบบที่สามารถสร้าง Account ใหม่ได้ นอกจากนี้ยังได้รับสิทธิ์ในการเข้าสู่ User Credentials และ log files บน Active Direcory ได้อีกด้วย
เหตุการณ์สุดท้าย พบว่าผู้โจมตีมีการใช้ Fscan ในการโจมตีผ่านช่องโหว่ CVE-2021-26855 (Proxylogon) บน Exchange Servers บนเครือข่าย

จากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญพบหนึ่งใน Tools ที่ใช้ในการโจมตีครั้งนี้คือ (Infostealer.

รายงานของบริษัท SEKOIA และ Trend Micro เกี่ยวกับแคมเปญใหม่ที่ดำเนินการโดยแฮ็กเกอร์ชาวจีนชื่อ Lucky Mouse พบการใช้แอปสำหรับรับ-ส่งข้อความแชทเพื่อเป็น Backdoor บนเครื่องเหยื่อ

โดยกลุ่มแฮ็กเกอร์โจมตีแอปพลิเคชั่นแชทที่ชื่อว่า MiMi และปรับแต่งไฟล์ติดตั้งของโปรแกรม โดยไฟล์ติดตั้งที่ถูกปรับแต่งจะดาวน์โหลด และติดตั้งมัลแวร์ HyperBro บน Windows และ rshell บน Linux และ macOS

มีหน่วยงานต่าง ๆ มากถึง 13 แห่งในไต้หวัน และฟิลิปปินส์ที่ถูกโจมตี ซึ่ง 8 แห่งถูกโจมตีด้วย rshell โดยถูกพบครั้งแรกในช่วงกลางเดือนกรกฎาคม พ.ศ. 2564

Lucky Mouse หรือ APT27, Bronze Union, Emissary Panda และ Iron Tiger เป็นที่รู้จักตั้งแต่ปี 2556 และมีประวัติการโจมตีเครือข่ายเป้าหมายเพื่อหาข้อมูลข่าวกรองทางการเมือง และการทหารที่เกี่ยวข้องกับประเทศจีน แฮ็กเกอร์ยังเชี่ยวชาญในการขโมยข้อมูลที่สำคัญออกไป โดยใช้ SysUpdate HyperBro และ PlugX แต่จากพฤติกรรมล่าสุดเป็นครั้งแรกของกลุ่มที่กำหนดเป้าหมายไปยัง macOS

แคมเปญล่าสุดนี้ถือว่าเป็นการโจมตีในรูปแบบ supply chain attack เนื่องจาก Lucky Mouse เข้าไปทำการควบคุม backend servers สำหรับดาวน์โหลดโปรแกรมติดตั้งของแอป MiMi จึงทำให้ผู้โจมตีสามารถปรับแต่งแอปเพื่อทำเป็นแบ็คดอร์ได้

โดยพบว่า MiMi เวอร์ชัน 2.3.0 บน macOS ถูกดัดแปลงเพื่อฝัง JavaScript ที่เป็นอันตรายตั้งแต่เมื่อวันที่ 26 พฤษภาคม 2565 ส่วน MiMi เวอร์ชัน 2.2.0 และ 2.2.1 บน Windows ได้ถูกโจมตีในลักษณะที่คล้ายกันตั้งแต่เมื่อวันที่ 23 พฤศจิกายน พ.ศ. 2564

โดย rshell เป็นแบ็คดอร์ที่ใช้รับคำสั่งจาก command-and-control (C2) เพื่อดำเนินการต่าง ๆ บนเครื่องเหยื่อ และส่งผลลัพธ์ที่ได้จากการทำตามคำสั่งที่ได้รับมากลับไปยัง C2

สาเหตุที่การโจมตีครั้งนี้ถูกเชื่อมโยงกับกลุ่ม Lucky Mouse เนื่องจากการใช้งาน HyperBro เป็นแบ็คดอร์ที่กลุ่มแฮ็กเกอร์กลุ่มนี้ใช้โดยเฉพาะ

SEKOIA ชี้ให้เห็นว่า นี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์ใช้แอปส่งข้อความในการโจมตี ในปลายปี 2563 ESET เปิดเผยว่าซอฟต์แวร์แชทยอดนิยมที่ชื่อว่า Able Desktop ถูกใช้ในการโจมตีเพื่อส่ง HyperBro, PlugX และโทรจันที่ชื่อว่า Tmanger ซึ่งมีการกำหนดเป้าหมายไปยังประเทศมองโกเลีย

ที่มา: thehackernews

 

 

 

แคมเปญล่าสุดของมัลแวร์ Grandoreiro banking trojan กำลังมุ่งเป้าโจมตีไปยังบริษัทที่อยู่ในประเทศเม็กซิโก และสเปน

Zscaler ระบุในรายงานว่า “แคมเปญนี้ กลุ่มแฮ็กเกอร์จะปลอมตัวเป็นเจ้าหน้าที่ของรัฐจากสำนักงานอัยการสูงสุดแห่งเม็กซิโกซิตี้ และใช้การโจมตีในรูปแบบ spear-phishing emails โดยจะหลอกล่อเหยื่อให้ดาวน์โหลด 'Grandoreiro' ซึ่งเป็น banking trojan ที่มีการใช้งานมาตั้งแต่ปี 2559 โดยมีเป้าหมายเพื่อโจมตีผู้ใช้งานในละตินอเมริกาโดยเฉพาะ”

การโจมตีเริ่มเกิดขึ้นอย่างต่อเนื่องตั้งแต่เดือนมิถุนายน พ.ศ. 2565 ซึ่งมีเป้าหมายเป็นกลุ่ม ยานยนต์ โยธา และอุตสาหกรรมการก่อสร้าง โลจิสติกส์ และ ประเภทเครื่องจักรต่างๆ ผ่านเครือข่ายขององค์กรหลายแห่งในเม็กซิโก และอุตสาหกรรมการผลิตสารเคมีในสเปน

การโจมตีเครือข่ายขององค์กรนั้นแฮ็กเกอร์เลือกใช้วิธี spear-phishing ที่เป็นภาษาสเปน ซึ่งข้อความใน Email จะเกี่ยวข้องกับการขอคืนเงิน การแจ้งเตือนการดำเนินคดี การยกเลิกสินเชื่อ เพื่อทำให้เหยื่อสนใจ และทำการโหลดไฟล์ ZIP ที่แนบมากับ Email โดยในไฟล์ ZIP จะมีไฟล์ PDF ที่ทำให้เหยื่อติดมัลแวร์ได้

Niraj Shivtarkar นักวิจัยของ Zscaler ได้กล่าวว่า “PDF ไฟล์จะมีหน้าที่ในการดาวน์โหลด แตกไฟล์ และติดตั้งเพย์โหลดของ Grandoreiro ขนาด 400 MB จากเซิร์ฟเวอร์ภายนอก และใช้เป็นช่องทางการเชื่อมต่อในรูปแบบ C2 เซิร์ฟเวอร์ในลักษณะคล้ายๆกับ LatentBot”

ตัวมัลแวร์ยังถูกออกแบบมาเพื่อรวบรวมข้อมูลสำคัญต่างๆ ทั้งโปรแกรมป้องกันมัลแวร์ที่ถูกติดตั้งไว้บนเครื่องเหยื่อ กระเป๋าเงินคริปโต แอพธนาคาร และข้อมูลใน Email จากนั้นจะรวบรวมข้อมูลเหล่านี้ส่งกลับไปยัง C2 เซิร์ฟเวอร์

Grandoreiro เป็น backdoor ที่มีฟังก์ชันการบันทึกการกดแป้นพิมพ์ เก็บข้อมูลรูปแบบการเคลื่อนไหวของเมาส์ และแป้นพิมพ์ จำกัดการเข้าถึงบางเว็บไซต์ อัปเดตตัวเองอัตโนมัติ และทำให้ตัวมันสามารถแฝงตัวอยู่บนระบบด้วยการเปลี่ยนแปลง Registry ของ Windows

โดยมันถูกเขียนขึ้นโดยใช้ภาษา Delphi ใช้ CAPTCHA สำหรับหลีกเลี่ยงการวิเคราะห์จาก sandbox และใช้โดเมนที่สร้างขึ้นโดย domain generate algorithm (DGA) เป็น C2 เซิร์ฟเวอร์

จากรายงานทำให้เห็นว่า Grandoreiro กำลังมีการพัฒนาอย่างต่อเนื่อง ทำให้มันเป็นมัลแวร์ที่มีความซับซ้อน และสามารถหลีกเลี่ยงการถูกตรวจจับได้เป็นอย่างดี

การพัฒนาดังกล่าวเกิดขึ้นเพียง 1 ปีหลังจากที่หน่วยงานบังคับใช้กฎหมายของสเปนจับกุมบุคคล 16 รายที่มีส่วนเกี่ยวข้องกับปฏิบัติการของ Mekotio และ Grandoreiro ในเดือนกรกฎาคม 2564

ที่มา: thehackernews

ผู้โจมตีใช้มัลแวร์ตัวใหม่เพื่อเป็น backdoor บน Microsoft Exchange server ของรัฐบาล และองค์กรทางการทหารจากยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา อย่างลับๆ  โดยตัวมัลแวร์ชื่อ SessionManager ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Kaspersky ครั้งแรกเมื่อต้นปี 2565 โดยมัลแวร์เป็นลักษณะ native-code module สำหรับ Microsoft's Internet Information Services (IIS) เว็บเซิร์ฟเวอร์

ตัวมัลแวร์ถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคมปี 2021 จากการโจมตีระลอกใหญ่ด้วยช่องโหว่ ProxyLogon แต่มัลแวร์ดังกล่าวกลับไม่เคยถูกตรวจพบมาก่อน  Kaspersky ระบุว่า "SessionManager backdoor จะช่วยให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบของเหยื่อได้เป็นอย่างดี"

"เมื่อเข้าถึงระบบของเหยื่อได้แล้ว มันจะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงอีเมลของบริษัท ดาวน์โหลดมัลแวร์ตัวอื่นเพิ่มเติม หรือแม้แต่เข้าควบคุมเซิร์ฟเวอร์ของเหยื่อเพื่อใช้เป็นฐานในการโจมตีต่อไป"

(more…)

ลักษณะการทำงาน

Syslogk เป็น rootkit ที่เมื่อติดตั้งแล้วมันจะแฝงตัวเป็นโมดูล Kernal บนระบบปฏิบัติการ Linux โดยหลังจากติดตั้งในครั้งแรก มันจะทำการลบตัวมันเองออกจากรายการโมดูลที่ติดตั้งเพื่อหลีกเลี่ยงการตรวจสอบ ทางเดียวที่จะตรวจพบคือการตรวจสอบโดยใช้คำสั่ง /proc ในลักษณะตามภาพ

จากนั้นมันจะดักจับคำสั่งบน Linux เพื่อกรองข้อมูลบางอย่างที่มันไม่ต้องการให้แสดงผลออกไปเช่น คำสั่งเรียกดูไฟล์ โฟลเดอร์ รวมไปถึง การเรียกดู Process ที่ทำงานอยู่ นอกจากนี้ยังมีความสามารถในการซ่อนไดเร็กทอรีที่มีไฟล์อันตรายบนระบบ, ซ่อน Process, ซ่อนการรับส่งข้อมูลเครือข่าย, ตรวจสอบแพ็กเก็ต TCP ทั้งหมด รวมไปถึงเริ่มหรือหยุดการทำงานของเพย์โหลดจากระยะไกลได้ หนึ่งในเพย์โหลดที่ซ่อนอยู่ซึ่งค้นพบโดย Avast คือ Backdoor ที่มีชื่อว่า Rekoobe ซึ่งมันจะถูกโหลดลงมาหลังจากติดตั้ง Syslogk โดย Backdoor นี้จะไม่ทำงานจนกว่าจะได้รับ Magic Packets จากผู้โจมตี

Magic Packets จะทำหน้าที่คล้ายระบบ Wake on LAN ที่ใช้ในการเรียกอุปกรณ์ที่อยู่ในโหมดสลีปให้ทำงาน โดยมันจะทำงานได้ต่อเมื่อมีการระบุ Field เช่น Source IP, Destination IP, Destination Port ตรงกับที่ตั้งค่าไว้เท่านั้น เมื่อได้รับค่า Field ที่ถูกต้อง Rekoobe สามารถเริ่มหรือหยุดทำงานได้ทันทีตามที่ผู้โจมตีต้องการ ช่วยลดโอกาสในการตรวจจับได้อย่างมาก

ปัจจุบัน Syslogk อยู่ในช่วงเริ่มต้นของการพัฒนา และยังทำงานบน Kernel 3.x เท่านั้น จึงยังไม่ส่งผลกระทบต่อหลายๆองค์กร แต่อย่างไรก็ตาม ในอนาคต Syslogk จะปล่อยเวอร์ชันที่รองรับ Kernel เวอร์ชันล่าสุด ซึ่งจะขยายเป้าหมายให้กว้างขึ้นอย่างมาก

แนวทางการป้องกัน

ติดตามข่าวสารใหม่ๆอยู่เสมอ
อัพเดทระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด

ที่มา: Bleepingcomputer