แจ้งเตือนกลุ่มแฮกเกอร์จีนโจมตีระบบหน่วยงานรัฐฯ ในภูมิภาคเอเชียตะวันออกเฉียงใต้

Bitdefender เผยแพร่รายงานล่าสุดเกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนที่พุ่งเป้าโจมตีระบบหน่วยงานรัฐฯ ในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเชื่อว่าความเคลื่อนไหวของกลุ่มแฮกเกอร์กลุ่มนี้เริ่มต้นตั้งแต่ปี 2018 และมีเป้าหมายในการจารกรรมข้อมูล

ในรายละเอียดของปฏิบัติการ กลุ่มแฮกเกอร์มีการใช้งานมัลแวร์หลายตัวซึ่งคาดว่ามีการพัฒนาขึ้นมาใช้งานเอง ได้แก่ Chinoxy, PcShare RAT และ FunnyDream จากข้อมูลในซอร์สโค้ดและการตั้งค่าภาษาต่าง ๆ Bitdefender จึงมีความมั่นใจว่ากลุ่มแฮกเกอร์นี้ใช้ภาษาจีนเป็นหลัก การโจมตีจะเริ่มขึ้นจากการใช้ phishing เพื่อหลอกให้เหยื่อติดตั้งโปรแกรมที่เป็นอันตราย มัลแวร์ Chinoxy และ PcShare จะถูกใช้หลังจากนั้นเพื่อให้แฮกเกอร์สามารถฝังตัวและเชื่อมต่อเข้าสู่ระบบที่โจมตีได้แล้วในภายหลัง หลังจากนั้นแฮกเกอร์จะมีการใช้เครื่องมือและโปรแกรมในระบบเพื่อลักลอบเก็บข้อมูลก่อนส่งออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์ภายนอก

การแกะรอยพฤติกรรมและการเคลื่อนไหวยังเปิดเผยอีกว่า มัลแวร์ FunnyDream ซึ่งถูกใช้ในปฏิบัติการนั้นถูกเริ่มใช้ในเดือนพฤษภาคม 2019 และปรากฎเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) ของ FunnyDream อยู่ในฮ่องกง, จีน, เกาหลีใต้และเวียดนาม

รายงานของ Bitdefender เชื่อว่ากลุ่มแฮกเกอร์ได้มีการโจมตีหน่วยงานรัฐฯ ในประเทศมาเลเซีย, ไต้หวัน, ฟิลิปปินส์และเวียดนามไปแล้ว ยังไม่พบการโจมตีในประเทศไทย

รายงานของ Bitdefender ได้มีการให้รายละเอียดข้อมูลพฤติกรรมของผู้โจมตีและ IOC เอาไว้แล้ว โดยสามารถเข้าถึงได้ที่ bitdefender 

ที่มา: thehackernews | zdnet

Mercenary hacker group targets companies with 3Ds Max malware

พบแฮกเกอร์ทำการรับจ้างเเฮกบริษัทด้านสถาปัตยกรรมโดยใช้ช่องโหว่จาก Autodesk 3Ds Max

นักวิจัยด้านความปลอดภัยจาก Bitdefender ได้เปิดเผยถึงกลุ่มแฮกเกอร์กลุ่มใหม่ที่รับการจ้างบุกรุกคอมพิวเตอร์ของบริษัทต่างๆ ทั่วโลกโดยใช้มัลแวร์ที่ฝังอยู่ในปลั๊กอิน “PhysXPluginMfx” ของซอฟต์แวร์ Autodesk 3Ds Max ทำการโจมตีเพื่อขโมยข้อมูล

เมื่อผู้ใช้ทำการติดตั้งปลั๊กอิน “PhysXPluginMfx” ภายใน Autodesk 3Ds Max ยูทิลิตี้ MAXScript จะทำการเรียกใช้โค้ดที่เป็นอันตรายและจะทำให้ไฟล์ MAX (*.max) ภายในเครื่องติดมัลแวร์ ทั้งนี้มัลแวร์สามารถแพร่กระจายไปยังผู้ใช้รายอื่นได้โดยการรับและเปิดไฟล์ที่ติดมัลเเวร์บนเครือข่าย นอกจากการเเพร่กระจายแล้วมัลแวร์มีความสามารถในการรวบรวมข้อมูลและขโมยข้อมูลที่อยู่ภายในเครื่องเช่น Screen capture, Username, IP addresses และข้อมูลการโปรเซสเซอร์ภายใน RAM ออกไปยังเซิร์ฟเวอร์ C&C ของกลุ่มเเฮกเกอร์ที่ถูกพบในประเทศต่างๆ เช่น เกาหลีใต้, สหรัฐอเมริกา, ญี่ปุ่นและแอฟริกาใต้

จากการตรวจสอบการโจมตีและสามารถยืนยันได้พบมีการโจมตีอย่างน้อยหนึ่งครั้งเป็นบริษัทสถาปัตยกรรมและผลิตวิดีโอคอนเทนต์ที่ทำงานร่วมบริษัทอสังหาริมทรัพย์ระดับใหญ่ในสหรัฐอเมริกา, อังกฤษ, ออสเตรเลียและโอมาน

เพื่อเป็นการหลีกเลี่ยงการโจมตีจากเเฮกเกอร์กลุ่มนี้ผู้ใช้ที่ใช้งาน Autodesk 3Ds Max ควรทำการตรวจสอบปลั๊กอินที่ใช้อยู่ว่ามีการใช้งานปลั๊กอิน “PhysXPluginMfx” หรือไม่ ถ้าพบว่ามีการใช้งานควรทำการลบออกจากเครื่อง ซึ่งทั้งนี้ไม่ควรทำการโหลดปลั๊กอินจากเเหล่งที่ไม่รู้จักเพื่อป้องกันการขโมยข้อมูลและการเเพร่กระจายมัลเเวร์ภายในเเครือข่ายขององค์กรและบริษัท

ที่มา: zdnet.

BitDefender เเก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้คำสั่งโจมตีจากระยะไกลได้

นักวิจัยด้านความปลอดภัย Wladimir Palant ได้เปิดเผยถึงช่องโหว่การโจมตีจากระยะไกลใหม่ใน Bitdefender ถูกติดตามด้วยรหัส CVE-2020-8102 โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งภายในการทำงานของ Safepay Utility

Palant อธิบายว่าช่องโหว่ใหม่ใน Bitdefender ที่เขาค้นพบนั้นอยู่ในส่วนของ Safepay browser component ซึ่งเป็นส่วนที่ทำหน้าที่เป็น Man-in-the-Middle (MitM) พร็อกซี่ให้กับผู้ใช้ในการตรวจสอบการเชื่อมต่อกับเว็บไซต์ HTTPS โดยช่องโหว่จะอาศัยการตรวจสอบอินพุตที่ไม่เหมาะสมใน Safepay browser component ของ Bitdefender Total Security 2020 ซึ่งจะช่วยให้ผู้ไม่ประสงค์ดีทำหน้าเว็บภายนอกที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้คำสั่งโจมตีจากระยะไกลภายในกระบวนการ Safepay Utility

ปัญหานี้ส่งผลกระทบต่อ Bitdefender Total Security 2020 รุ่นก่อนเวอร์ชั่น 24.0.20.116

คำเเนะนำ
Bitdefender ได้ทำการเเก้ไขช่องโหว่แล้วใน Bitdefender Total Security 2020 เวอร์ชั่น 24.0.20.116 ผู้ใช้งานควรทำการอัพเดตและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุด เพื่อป้องกันผู้ไม่ประสงค์ดีทำการใช้ประโยชน์จากช่องโหว่

ที่มา: bleepingcomputer.

Linksys Smart Wi-Fi ถูกโจมตีเปลี่ยนเส้นทางเข้าเว็บอันตราย เตือนผู้ใช้เปลี่ยนรหัสผ่านด่วน

Linksys Smart Wi-Fi ถูกโจมตีเปลี่ยนเส้นทางเข้าเว็บอันตราย เตือนผู้ใช้เปลี่ยนรหัสผ่านด่วน

Linksys ได้ทำการล็อคบัญชีคลาวด์ของผู้ใช้ Smart Wi-Fi และขอให้ผู้ใช้รีเซ็ตรหัสผ่านหลังจากพบว่าแฮกเกอร์ได้ทำการขโมยบัญชีและเปลี่ยนการตั้งค่าของเราเตอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่มีมัลแวร์

Linksys Smart Wi-Fi เป็นระบบบริการบนคลาวด์เพื่อให้เจ้าของอุปกรณ์เชื่อมต่อกับเราเตอร์ Linksys และอุปกรณ์อื่นๆ ผ่านทางอินเทอร์เน็ตเพื่อจัดการการตั้งค่าเราเตอร์

บริษัท Bitdefender ได้เผยแพร่ตามรายงานเมื่อเดือนที่แล้วว่าพวกเขาได้ตรวจพบแคมเปญที่จัดขึ้นเพื่อโจมตีเราเตอร์ D-Link และ Linksys และทำการเปลี่ยนการตั้งค่า DNS ผู้ใช้งานที่เข้าถึงเว็บไซต์บางแห่งผ่านเราเตอร์ที่ถูกแฮกนั้นจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย และจะเสนอแอพข้อมูล COVID-19 จากองค์การอนามัยโลกที่ทำการปลอมและเเฝงมัลแวร์ Oski ไว้เพื่อขโมยข้อมูล

ข้อเเนะนำจาก Linksys

ผู้ใช้จะได้รับแจ้งเตือนให้รีเซ็ตรหัสผ่านเมื่อทำการเข้าสู่ระบบ Smart Wi-Fi และควรทำการเปลี่ยนรหัสผ่านเพื่อความปลดภัย
ผู้ใช้โปรดทำการตรวจสอบการตั้งค่า DNS ของเราเตอร์และทำการสแกนไวรัสและมัลแวร์แบบเต็มรูปแบบ

ที่มา: zdnet

Windows Remote Desktop Services Used for Fileless Malware Attacks

Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless

พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP

เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ

นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.

Free Decrypter Available for GandCrab Ransomware Victims

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

Free Decrypter Available for GandCrab Ransomware Victims

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

Bitdefender Ransomware Recognition Tool

Bitdefender ปล่อย Ransomware Recognition Tool ใช้ระบุตัวมัลแวร์เรียกค่าไถ่เพื่อตรวจสอบว่าถอดรหัสได้หรือไม่

Bitdefender ได้มีการเผยแพร่เครื่องมือชื่อว่า Ransomware Recognition Tool โดยเป็นเครื่องมือที่สามารถช่วยให้ผู้ใช้งานและผู้ดูแลระบบสามารถใช้ในการสแกนระบบ "หลัง" จากได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่เพื่อช่วยในการระบุรุ่นและประเภทของมัลแวร์เรียกค่าไถ่ และตรวจสอบว่ามัลแวร์เรียกค่าไถ่ในรุ่นดังกล่าวมีโปรแกรมสำหรับถอดรหัสหรือไม่ได้

สิ่งที่ต้องทำคือ ผู้ใช้งานจะต้องทำการดาวโหลดโปรแกรมดังกล่าว ทำการเปิดโปรแกรมและเลือกโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสพร้อมทั้งโน๊ตที่มัลแวร์เรียกค่าไถ่ทิ้งไว้อยู่ โปรแกรมจะทำการอัพโหลดไฟล์โน๊ตดังกล่าวขึ้นระบบคลาวด์เพื่อตรวจสอบและแจ้งผลลัพธ์การตรวจสอบผ่านทางหน้าต่างโปรแกรม

ผู้ใช้งานสามารถดาวโหลดโปรแกรมและดูวิธีการใช้งานเบื้องต้นได้จากลิงค์แหล่งที่มา

ที่มา : ฺBitdefender