แฮกเกอร์ได้สิทธิ์ในการเข้าถึง JavaScript library ที่เป็นที่นิยมและทำการส่งโค้ดอันตรายเพื่อขโมยเงิน Bitcoin

Event-Stream 3.3.6 เป็นแพคเกจใน npm ของ JavaScript ทำงานกับข้อมูลสตรีม Node.

สวัสดีครับหลังจากห่างหายกันไปนานวันนี้เราจะมาพูดถึงเทคนิคใหม่ในการฝังแบ็คดอร์ไว้ในไฟล์ตั้งค่าของโปรแกรม OpenVPN ซึ่งถูกค้นพบโดย Jacob Baines จาก Tenable Security กันครับ
อะไรคือแบ็คดอร์ประเภท Reverse Shell?
แบ็คดอร์ประเภท Reverse Shell เป็นแบ็คดอร์ที่เมื่อมีการติดตั้งลงบนเครื่องเป้าหมายแล้ว โปรแกรมของแบ็คดอร์จะมีการติดต่อกลับมายังเซิร์ฟเวอร์ตามหมายเลขไอพีแอดเดรสและพอร์ตที่เรากำหนดไว้กับโปรแกรมของแบ็คดอร์ ซึ่งจะแตกต่างกับแบ็คดอร์อีกประเภทหนึ่งคือ Bind Shell ที่จะฝังตัวและรอรับการเชื่อมต่อเข้ามาที่โปรแกรมของแบ็คดอร์อย่างเดียว

แบ็คดอร์ประเภท Reverse Shell ได้รับความนิยมสูงเนื่องจากโดยทั่วไปการตั้งค่าด้านความปลอดภัยนั้นมักจะไม่อนุญาตให้มีการเชื่อมต่อที่ไม่ได้รับอนุญาตเข้ามาในเครือข่ายแต่มักจะหละหลวมในการตั้งค่าการเชื่อมต่อในขาออกจากเครือข่าย ทำให้แบ็คดอร์ประเภท Reverse Shell นั้นถูกเลือกใช้บ่อยครั้งกว่าแบ็คดอร์แบบ Bind Shell
แก้ไขไฟล์ OVPN เพื่อฝังแบ็คดอร์
โปรแกรม OpenVPN นั้นจะถูกกำหนดการใช้งานในแต่ละครั้งด้วยไฟล์ตั้งค่าซึ่งใช้นามสกุลของไฟล์คือ OVPN โดยภายในไฟล์ OVPN นั้นจะมีการเก็บการตั้งค่าของการเชื่อมต่อเพื่อสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ VPN เอาไว้

นักวิจัยด้านความปลอดภัยจาก Tenable Security “Jacob Baines” ค้นพบว่าโปรแกรม OpenVPN จะทำการรันหรือเอ็กซีคิวต์คำสั่งใดๆ ที่ต่อท้ายฟิลด์ “up” ซึ่งเป็นฟิลด์การตั้งค่าหนึ่งตามรูปแบบของ OVPN ดังนั้นหากมีการแก้ไขไฟล์ OVPN โดยการเพิ่มคำสั่งอันตรายต่อท้ายฟิลด์ “up” ผู้ใช้งานก็จะมีการรันคำสั่งที่เป็นอันตรายดังกล่าวทันทีเมื่อพยายามเชื่อมต่อ VPN

โดยทั่วไปไฟล์ตั้งค่า OVPN นั้นจะประกอบด้วยข้อมูลภายในดังต่อไปนี้ (ข้อมูลในไฟล์ OVPN อาจแตกต่างกันตามลักษณะการเชื่อมต่อ)

การตั้งค่าในแต่ละบรรทัดมีความหมายดังต่อไปนี้

remote test.

US-CERT ประกาศแจ้งเตือนล่าสุดเกี่ยวกับมัลแวร์ "Typeframe" ซึ่งเชื่อกันว่ามีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ HIDDEN COBRA หรือ Lazarus Group
ในประกาศของ US-CERT เกี่ยวกับมัลแวร์ Typeframe มีการเผยแพร่ตัวอย่างของมัลแวร์มาทั้งหมด 11 รายการ ซึ่งประกอบมัลแวร์ทั้งในรูปแบบ 32 บิตและ 64 บิต จากลักษณะเบื้องต้นของมัลแวร์นั้นทำให้สามารถสันนิษฐานว่าเป็นมัลแวร์ที่ช่วยให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลได้ พร้อมฟังก์ชัน backdoor

Recommendation
ผู้ดูแลระบบควรดำเนินการตรวจสอบทราฟิกรวมไปถึงบล็อคทราฟิกที่มีปลายทางไปยังหมายเลขไอพีแอดเดรสซึ่งเป็นเซิร์ฟเวอร์สำหรับออกคำสั่งและควบคุม ทั้งนี้แนะนำให้ผู้ดูแลระบบตรวจสอบประกาศของ US-CERT และดำเนินการเพิ่มเติมตามขั้นตอนที่มีระบุไว้ในประกาศด้วย
รายการเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม:
- 111.207.78[.]204
- 181.119.19[.]56
- 184.107.209[.]2
- 59.90.93[.]97
- 80.91.118[.]45
- 81.0.213[.]173
- 98.101.211[.]162
ที่มา: theregister

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

KHRAT เป็น Backdoor ที่ถูกใช้ในการจารกรรมข้อมูลความลับของกลุ่มแฮกเกอร์จากจีน ที่รู้จักกันในนาม 'DragonOK' ซึ่งก่อนหน้านี้เคยมีการใช้มัลแวร์ เช่น NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat และ ZeroT โจมตีองค์กรในรัสเซียและประเทศอื่น ๆ โดยล่าสุดมุ่งเป้าหมายไปที่เหยื่อในกัมพูชา

มัลแวร์ถูกออกแบบมาให้ทำการเข้าถึงข้อมูลในเครื่องของเหยื่อ เช่น Username, ภาษาของระบบและ IP โดยใช้เทคนิค RAT เพื่อส่งข้อมูลกลับไปให้ C&C server เสมือนกับการลงทะเบียนเครื่องที่มีการแพร่กระจายแล้ว
นักวิจัยจาก Palo Alto ได้สรุปว่าแฮกเกอร์ได้มีการพัฒนาความสามารถของ spear phishing, ปรับหน้าตา และใช้วิธีหลากหลายในการดาวน์โหลดและเรียกใช้ payload เพิ่มเติม โดยใช้แอพพลิเคชัน built-in ของ Windows

นอกจากนี้แฮกเกอร์ยังขยายขนาดของไฟล์โฮสติ้ง โดยเลียนแบบ Dropbox ซึ่งเป็นไฟล์โฮสติ้งที่รู้จักกันดีในระบบคลาวด์เพื่อหลอกลวงเหยื่อ
แม้ว่าจะยังไม่มีการแพร่ระบาดมากนัก แต่ในช่วงสองเดือนที่ผ่านมาพบว่ามีการโจมตีเป้าหมายในกัมพูชา จากการพบเอกสาร Word ที่มีพฤติกรรมการติดต่อออกไปยังไฟล์โฮสติ้ง เมื่อช่วงเดือนมิถุนายนที่ผ่านโดยนีกวิจัยจาก Palo Alto

ที่มา: securityweek

พบการโจมตีที่ชื่อว่า IDN homograph โดยมีการใช้งานเว็บไซต์ปลอมเป็นตัวแพร่กระจายมัลแวร์ Beta Bot backdoor ซึ่งจะเป็นมัลแวร์ที่ใช้ในการแพร่กระจายมัลแวร์ขโมยข้อมูลและขุดบิทคอยน์ต่อ การโจมตี IDN homograph นี้จะเป็นการโจมตีที่อาศัยการจดชื่อโดเมนเนม (ชื่อเว็บไซต์) โดยใช้อักขระที่มีความคล้ายกับชื่อโดเมนเนมจริงหรืออักขระที่เมื่อเปิดผ่านโปรแกรมเว็บเบราว์เซอร์แล้วจะเห็นเป็นโดเมนเนมของจริง เช่น “apple.

พบ Backdoor ตัวใหม่ “Stantinko” ถูกติดตั้งอยู่ในเครื่องทั่วโลกเป็นจำนวนกว่าครึ่งล้านเครื่อง ซึ่งตัวมันจะทำการ Inject Malware ที่ไม่พึงประสงค์ผ่านส่วนเสริมของ Browser ในระหว่างที่กำลังใช้งานอินเตอร์เน็ตอยู่ และทำการสร้าง backdoor ไว้ในเครื่องของเหยื่อ หน้าตาของ Stantinko ที่เห็นภายนอกจะดูเป็นมิตรจึงทำให้ดูไม่น่าสงสัย วิธีการหลบหลีกไม่ให้ถูกตรวจเจอของ Stantinko คือจะซ่อน malicious code ไว้ใน Windows Registry.

ผู้เชี่ยวชาญของ Kaspersky ตรวจพบโทรจันตัวใหม่ “Triada” ที่มุ่งโจมตีแอนดรอยด์เวอร์ชั่น 4.4.4 และเวอร์ชั่นต่ำกว่า มีความซับซ้อนเทียบเท่ามัลแวร์ระบบวินโดวส์
มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ใน Google Appstore แฝงตัวมาในรูปของเกมส์และแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่น ๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว
นอกจากนี้ เมื่อทำการ Root เครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้ง Backdoor จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง
มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง โดยจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้แอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น Triada ปฏิบัติงานเงียบ ๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่น ๆ ตรวจพบ
โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง
การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่ 2 ทาง คือ การ Root Device และลบแอพพลิเคชั่นด้วยตนเอง

ที่มา : scmagazineuk

เมื่อวันที่ 21 กุมภาพันธ์ที่ผ่านมา เว็บไซต์ Linux Mint หนึ่งใน Linux Distro ยอดนิยมได้ออกมาประกาศว่าเว็บไซต์ linuxmint.

Symantec ได้ค้นพบมัลแวร์ Linux.WiFatch หรือ Ifwatch ซึ่งเป็นมัลแวร์ชนิดใหม่ที่ได้แพร่กระจายตัวไปยังอุปกรณ์ประเภท Router และ Internet of Things ไปแล้วกว่า 10,000 เครื่อง ที่น่าสนใจคือ มัลแวร์ดังกล่าวยังช่วยอุดช่องโหว่ Backdoor และแจ้งเตือนให้เจ้าของอุปกรณ์ตั้งค่ารหัสผ่านให้ปลอดภัย

โค้ดของ Linux.