Symantec เผยรายงานกลุ่มแฮกเกอร์พุ่งเป้าโจมตีบริษัทสื่อ, การเงินและฝั่งการผลิตเพื่อขโมยข้อมูลในญี่ปุ่น, จีน, ไต้หวันและสหรัฐฯ

Symantec Threat Hunter Team ออกรายงานความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนภายใต้ชื่อ Palmerworm หรือ BlackTech หลังจากมีการตรวจพบความเคลื่อนไหวล่าสุดในช่วงที่ผ่านมา โดยกลุ่ม Palmerworm พุ่งเป้าโจมตีหลายส่วนธุรกิจโดยมีเป้าหมายเพื่อขโมยข้อมูลความลับทางการค้า เหยื่อส่วนใหญ่นั้นกระจายอยู่ในสหรัฐฯ, ไต้หวัน, จีนและญี่ปุ่น

เอกลักษณ์ของกลุ่ม Palmerworm มีไม่แตกต่างจากกลุ่มอื่น กลุ่มแฮกเกอร์มีการใช้ทั้งมัลแวร์ซึ่งพัฒนาขึ้นเองจำนวน 4-6 รายการ ในการเป็นช่องทางลับสำหรับเข้าถึงระบบที่ยึดครองได้แล้ว โดยกลุ่มแฮกเกอร์ยังคงมีการใช้เทคนิค Living Off The Land Binaries and Scripts หรือใช้โปรแกรมในกลุ่ม Dual use ในการช่วยในการโจมตี เช่น ใช้ Putty ในการลักลอบส่งข้อมูลออก, ใช้ PsExec ในการทำ Lateral movement, ใช้โปรแกรม SNScan ในการเก็บข้อมูลเครือข่ายภายในและใช้ WinRAR ในการจัดการไฟล์ก่อนถ่ายโอนออก

Symantec Threat Hunter Team ได้เผยแพร่ IOC ที่พบจากการโจมตีแล้ว ผู้ที่สนใจสามารถนำ IOC มาเสริมความปลอดภัยได้ทันที รวมไปถึงเพิ่มรูปแบบการเฝ้าระวังการใช้โปรแกรมในกลุ่ม Dual use เพื่อตรวจสอบหากมีการนำไปใช้ในลักษณะที่ไม่พึงประสงค์

ที่มา: symantec-enterprise-blogs.

Certificates stolen from Taiwanese tech-companies misused in Plead malware campaign

ใบรับรองดิจิตอลของ D-Link ถูกขโมยมาใช้ในการแพร่มัลแวร์

นักวิจัยของ ESET ได้ค้นพบการแพร่ระบาดมัลแวร์ครั้งใหม่ที่ใช้ใบรับรองดิจิตอลที่ขโมยมา เนื่องจากระบบของ ESET เตือนถึงไฟล์ที่น่าสงสัย แต่ไฟล์ดังกล่าวมีใบรับรองดิจิตอลจากบริษัท D-Link ซึ่งเป็นบริษัทผลิตอุปกรณ์ด้านเน็ตเวิร์คชื่อดังของไต้หวัน นักวิจัยจึงประสานงานกับบริษัท D-Link และยกเลิกไม่ให้ใบรับรองดังกล่าวที่ถูกขโมยใช้งานต่อได้อีก และจากการตรวจสอบเพิ่มเติมยังพบมัลแวร์ที่ใช้ใบรับรองดิจิตอลจากบริษัท Changing Information Technology ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยอีกด้วย

นักวิจัยของ ESET เปิดเผยว่าใบรับรองดิจิตอลดังกล่าวถูกใช้ทำเครื่องหมายให้กับมัลแวร์สองตระกูล ซึ่งเคยถูกใช้โดยกลุ่มจารกรรมข้อมูลทางไซเบอร์ชื่อ BlackTech

มัลแวร์ตัวแรกคือ Plead เป็นแบ็คดอร์ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถควบคุมระบบของผู้ใช้งานเพื่อขโมยข้อมูลและสอดแนมผู้ใช้
มัลแวร์อีกตัวคือ มัลแวร์ขโมยรหัสผ่านที่ใช้ร่วมกับ Plead เพื่อรวบรวมรหัสผ่าน จาก Google Chrome Microsoft Internet Explorer Microsoft Outlook และ Mozilla Firefox

ใบรับรองดิจิตอลถูกขโมยเพื่อนำใช้ในการแพร่มัลแวร์มาแล้วหลายครั้ง เนื่องจากคอมพิวเตอร์จะเชื่อถือโปรแกรมที่ทำเครื่องหมายด้วยใบรับรองดิจิตอล และทำงานโปรแกรมดังกล่าวโดยไม่ขึ้นข้อความแจ้งเตือน ทำให้ผู้ใช้หลงเชื่อว่าโปรแกรมดังกล่าวไม่เป็นอันตราย

ที่มา:welivesecurity