นักวิจัยด้านความปลอดภัยพบมัลแวร์ขโมยข้อมูลตัวใหม่ที่ชื่อว่า SYS01stealer ซึ่งมีเป้าหมายไปยังพนักงานขององค์กรด้านโครงสร้างพื้นฐานที่สำคัญของรัฐบาล, บริษัทในภาคการผลิต และบริษัทในภาคส่วนอื่น ๆ

Morphisec รายงานว่า ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะมุ่งเป้าไปที่ Business accounts บน Facebook โดยการใช้ Google ads และโปรไฟล์ Facebook ปลอม ที่โปรโมตสิ่งต่าง ๆ เช่น เกมส์, เนื้อหาสำหรับผู้ใหญ่, และซอร์ฟแวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดไฟล์ที่เป็นอันตราย

การโจมตีนี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ, คุกกี้, ข้อมูลของ Facebook ad และข้อมูลบัญชีธุรกิจ

โดย Morphisec ระบุว่า แคมเปญนี้เริ่มต้นจากการดำเนินการของกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงินที่ชื่อว่า Ducktail

WithSecure เคยรายงานปฏิบัติการของกลุ่ม Ducktail เป็นครั้งแรกในเดือนกรกฎาคม พ.ศ. 2565 ได้ระบุว่า ข้อมูลที่ได้จากการวิเคราะห์การโจมตีทั้ง 2 ครั้งของ Ducktail มีความแตกต่างกัน แสดงให้เห็นว่าผู้โจมตีพยายามสร้างความสับสนให้กับนักวิจัยในความพยายามสำหรับการระบุแหล่งที่มา รวมไปถึงความพยายามในการหลบเลี่ยงการตรวจจับ

โดยรายงานจาก Morphisec ระบุว่า การโจมตีเริ่มต้นด้วยการหลอกล่อให้เหยื่อคลิก URL จากโปรไฟล์ หรือโฆษณาบน Facebook เพื่อดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือเนื้อหาสำหรับผู้ใหญ่

การเปิดไฟล์ ZIP จะมีการเรียกใช้งานแอปที่ดูถูกต้องตามปกติ แต่จะใช้วิธีการ DLL side-loading ทำให้สามารถโหลดไฟล์ DLL ที่เป็นอันตรายควบคู่ไปกับแอปปกติได้

แอปพลิเคชันบางตัวที่ถูกนำมาใช้เพื่อดาวน์โหลด DLL ที่เป็นอันตรายคือ WDSyncService.

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

Bitdefender เผยแพร่รายงานล่าสุดเกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนที่พุ่งเป้าโจมตีระบบหน่วยงานรัฐฯ ในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเชื่อว่าความเคลื่อนไหวของกลุ่มแฮกเกอร์กลุ่มนี้เริ่มต้นตั้งแต่ปี 2018 และมีเป้าหมายในการจารกรรมข้อมูล

ในรายละเอียดของปฏิบัติการ กลุ่มแฮกเกอร์มีการใช้งานมัลแวร์หลายตัวซึ่งคาดว่ามีการพัฒนาขึ้นมาใช้งานเอง ได้แก่ Chinoxy, PcShare RAT และ FunnyDream จากข้อมูลในซอร์สโค้ดและการตั้งค่าภาษาต่าง ๆ Bitdefender จึงมีความมั่นใจว่ากลุ่มแฮกเกอร์นี้ใช้ภาษาจีนเป็นหลัก การโจมตีจะเริ่มขึ้นจากการใช้ phishing เพื่อหลอกให้เหยื่อติดตั้งโปรแกรมที่เป็นอันตราย มัลแวร์ Chinoxy และ PcShare จะถูกใช้หลังจากนั้นเพื่อให้แฮกเกอร์สามารถฝังตัวและเชื่อมต่อเข้าสู่ระบบที่โจมตีได้แล้วในภายหลัง หลังจากนั้นแฮกเกอร์จะมีการใช้เครื่องมือและโปรแกรมในระบบเพื่อลักลอบเก็บข้อมูลก่อนส่งออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์ภายนอก

การแกะรอยพฤติกรรมและการเคลื่อนไหวยังเปิดเผยอีกว่า มัลแวร์ FunnyDream ซึ่งถูกใช้ในปฏิบัติการนั้นถูกเริ่มใช้ในเดือนพฤษภาคม 2019 และปรากฎเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) ของ FunnyDream อยู่ในฮ่องกง, จีน, เกาหลีใต้และเวียดนาม

รายงานของ Bitdefender เชื่อว่ากลุ่มแฮกเกอร์ได้มีการโจมตีหน่วยงานรัฐฯ ในประเทศมาเลเซีย, ไต้หวัน, ฟิลิปปินส์และเวียดนามไปแล้ว ยังไม่พบการโจมตีในประเทศไทย

รายงานของ Bitdefender ได้มีการให้รายละเอียดข้อมูลพฤติกรรมของผู้โจมตีและ IOC เอาไว้แล้ว โดยสามารถเข้าถึงได้ที่ bitdefender 

ที่มา: thehackernews | zdnet

พบแฮกเกอร์ทำการรับจ้างเเฮกบริษัทด้านสถาปัตยกรรมโดยใช้ช่องโหว่จาก Autodesk 3Ds Max

นักวิจัยด้านความปลอดภัยจาก Bitdefender ได้เปิดเผยถึงกลุ่มแฮกเกอร์กลุ่มใหม่ที่รับการจ้างบุกรุกคอมพิวเตอร์ของบริษัทต่างๆ ทั่วโลกโดยใช้มัลแวร์ที่ฝังอยู่ในปลั๊กอิน “PhysXPluginMfx” ของซอฟต์แวร์ Autodesk 3Ds Max ทำการโจมตีเพื่อขโมยข้อมูล

เมื่อผู้ใช้ทำการติดตั้งปลั๊กอิน “PhysXPluginMfx” ภายใน Autodesk 3Ds Max ยูทิลิตี้ MAXScript จะทำการเรียกใช้โค้ดที่เป็นอันตรายและจะทำให้ไฟล์ MAX (*.max) ภายในเครื่องติดมัลแวร์ ทั้งนี้มัลแวร์สามารถแพร่กระจายไปยังผู้ใช้รายอื่นได้โดยการรับและเปิดไฟล์ที่ติดมัลเเวร์บนเครือข่าย นอกจากการเเพร่กระจายแล้วมัลแวร์มีความสามารถในการรวบรวมข้อมูลและขโมยข้อมูลที่อยู่ภายในเครื่องเช่น Screen capture, Username, IP addresses และข้อมูลการโปรเซสเซอร์ภายใน RAM ออกไปยังเซิร์ฟเวอร์ C&C ของกลุ่มเเฮกเกอร์ที่ถูกพบในประเทศต่างๆ เช่น เกาหลีใต้, สหรัฐอเมริกา, ญี่ปุ่นและแอฟริกาใต้

จากการตรวจสอบการโจมตีและสามารถยืนยันได้พบมีการโจมตีอย่างน้อยหนึ่งครั้งเป็นบริษัทสถาปัตยกรรมและผลิตวิดีโอคอนเทนต์ที่ทำงานร่วมบริษัทอสังหาริมทรัพย์ระดับใหญ่ในสหรัฐอเมริกา, อังกฤษ, ออสเตรเลียและโอมาน

เพื่อเป็นการหลีกเลี่ยงการโจมตีจากเเฮกเกอร์กลุ่มนี้ผู้ใช้ที่ใช้งาน Autodesk 3Ds Max ควรทำการตรวจสอบปลั๊กอินที่ใช้อยู่ว่ามีการใช้งานปลั๊กอิน “PhysXPluginMfx” หรือไม่ ถ้าพบว่ามีการใช้งานควรทำการลบออกจากเครื่อง ซึ่งทั้งนี้ไม่ควรทำการโหลดปลั๊กอินจากเเหล่งที่ไม่รู้จักเพื่อป้องกันการขโมยข้อมูลและการเเพร่กระจายมัลเเวร์ภายในเเครือข่ายขององค์กรและบริษัท

ที่มา: zdnet.

นักวิจัยด้านความปลอดภัย Wladimir Palant ได้เปิดเผยถึงช่องโหว่การโจมตีจากระยะไกลใหม่ใน Bitdefender ถูกติดตามด้วยรหัส CVE-2020-8102 โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งภายในการทำงานของ Safepay Utility

Palant อธิบายว่าช่องโหว่ใหม่ใน Bitdefender ที่เขาค้นพบนั้นอยู่ในส่วนของ Safepay browser component ซึ่งเป็นส่วนที่ทำหน้าที่เป็น Man-in-the-Middle (MitM) พร็อกซี่ให้กับผู้ใช้ในการตรวจสอบการเชื่อมต่อกับเว็บไซต์ HTTPS โดยช่องโหว่จะอาศัยการตรวจสอบอินพุตที่ไม่เหมาะสมใน Safepay browser component ของ Bitdefender Total Security 2020 ซึ่งจะช่วยให้ผู้ไม่ประสงค์ดีทำหน้าเว็บภายนอกที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้คำสั่งโจมตีจากระยะไกลภายในกระบวนการ Safepay Utility

ปัญหานี้ส่งผลกระทบต่อ Bitdefender Total Security 2020 รุ่นก่อนเวอร์ชั่น 24.0.20.116

คำเเนะนำ
Bitdefender ได้ทำการเเก้ไขช่องโหว่แล้วใน Bitdefender Total Security 2020 เวอร์ชั่น 24.0.20.116 ผู้ใช้งานควรทำการอัพเดตและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุด เพื่อป้องกันผู้ไม่ประสงค์ดีทำการใช้ประโยชน์จากช่องโหว่

ที่มา: bleepingcomputer.

Linksys Smart Wi-Fi ถูกโจมตีเปลี่ยนเส้นทางเข้าเว็บอันตราย เตือนผู้ใช้เปลี่ยนรหัสผ่านด่วน

Linksys ได้ทำการล็อคบัญชีคลาวด์ของผู้ใช้ Smart Wi-Fi และขอให้ผู้ใช้รีเซ็ตรหัสผ่านหลังจากพบว่าแฮกเกอร์ได้ทำการขโมยบัญชีและเปลี่ยนการตั้งค่าของเราเตอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่มีมัลแวร์

Linksys Smart Wi-Fi เป็นระบบบริการบนคลาวด์เพื่อให้เจ้าของอุปกรณ์เชื่อมต่อกับเราเตอร์ Linksys และอุปกรณ์อื่นๆ ผ่านทางอินเทอร์เน็ตเพื่อจัดการการตั้งค่าเราเตอร์

บริษัท Bitdefender ได้เผยแพร่ตามรายงานเมื่อเดือนที่แล้วว่าพวกเขาได้ตรวจพบแคมเปญที่จัดขึ้นเพื่อโจมตีเราเตอร์ D-Link และ Linksys และทำการเปลี่ยนการตั้งค่า DNS ผู้ใช้งานที่เข้าถึงเว็บไซต์บางแห่งผ่านเราเตอร์ที่ถูกแฮกนั้นจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย และจะเสนอแอพข้อมูล COVID-19 จากองค์การอนามัยโลกที่ทำการปลอมและเเฝงมัลแวร์ Oski ไว้เพื่อขโมยข้อมูล

ข้อเเนะนำจาก Linksys

ผู้ใช้จะได้รับแจ้งเตือนให้รีเซ็ตรหัสผ่านเมื่อทำการเข้าสู่ระบบ Smart Wi-Fi และควรทำการเปลี่ยนรหัสผ่านเพื่อความปลดภัย
ผู้ใช้โปรดทำการตรวจสอบการตั้งค่า DNS ของเราเตอร์และทำการสแกนไวรัสและมัลแวร์แบบเต็มรูปแบบ

ที่มา: zdnet

Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless

พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP

เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ

นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

Bitdefender ปล่อย Ransomware Recognition Tool ใช้ระบุตัวมัลแวร์เรียกค่าไถ่เพื่อตรวจสอบว่าถอดรหัสได้หรือไม่

Bitdefender ได้มีการเผยแพร่เครื่องมือชื่อว่า Ransomware Recognition Tool โดยเป็นเครื่องมือที่สามารถช่วยให้ผู้ใช้งานและผู้ดูแลระบบสามารถใช้ในการสแกนระบบ "หลัง" จากได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่เพื่อช่วยในการระบุรุ่นและประเภทของมัลแวร์เรียกค่าไถ่ และตรวจสอบว่ามัลแวร์เรียกค่าไถ่ในรุ่นดังกล่าวมีโปรแกรมสำหรับถอดรหัสหรือไม่ได้

สิ่งที่ต้องทำคือ ผู้ใช้งานจะต้องทำการดาวโหลดโปรแกรมดังกล่าว ทำการเปิดโปรแกรมและเลือกโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสพร้อมทั้งโน๊ตที่มัลแวร์เรียกค่าไถ่ทิ้งไว้อยู่ โปรแกรมจะทำการอัพโหลดไฟล์โน๊ตดังกล่าวขึ้นระบบคลาวด์เพื่อตรวจสอบและแจ้งผลลัพธ์การตรวจสอบผ่านทางหน้าต่างโปรแกรม

ผู้ใช้งานสามารถดาวโหลดโปรแกรมและดูวิธีการใช้งานเบื้องต้นได้จากลิงค์แหล่งที่มา

ที่มา : ฺBitdefender