อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

North Korea’s BeagleBoyz Robbing Banks

รัฐบาลสหรัฐฯ เตือนแฮกเกอร์เกาหลีเหนือพุ่งเป้าโจมตีธนาคารทั่วโลก

รัฐบาลสหรัฐอเมริกาได้ออกเตือนถึงกลุ่มเเฮกเกอร์ชาวเกาหลีเหนือที่เรียกว่ากลุ่ม “BeagleBoyz” ได้ทำการโจมตีโดยใช้มัลแวร์เพื่อทำการขโมยเงินหลายล้านดอลลาร์และกำลังกำหนดเป้าหมายเป็นธนาคารในกว่า 30 ประเทศ

จากรายงานข้อมูลที่รวบรวมและตรวจสอบโดยนักวิเคราะห์จาก CISA, กระทรวงการคลัง, FBI และ USCYBERCOM ระบุว่ากลุ่มแฮกเกอร์ได้กำหนดเป้าหมายเพื่อทำการขโมยเงินจากธนาคารในหลายประเทศ โดยการใช้โดยมัลเเวร์ CCENTRICBANDWAGON สามารถเก็บข้อมูลจากการพิมพ์, ภาพหน้าจอ และ Credential ต่อมาแฮกเกอร์จะทำการใช้มัลเเวร์ VIVACIOUSGIFT ที่มีความสามารถในการเป็นพร็อกซีเซิฟเวอร์เพื่อใช้ในการเชื่อมต่อกับเซิฟเวอร์ C&C ท้ายที่สุดกลุ่มแฮกเกอร์จะพยามยามค้นหาเทอร์มินัล SWIFT และ ATM payment switch application ภายในเครือข่ายเพื่อใช้และจะใช้เครื่องมือที่ชื่อว่า FASTCASH สำหรับ Windows เพื่อที่จะทำการสั่งถอนเงินสดจาก ATM ของธนาคารได้จากทั่วโลก

นอกเหนือจากการขโมยเงินจากสถาบันการเงินแล้วกลุ่ม BeagleBoyz ยังกำหนดเป้าหมายไปยัง Cryptocurrency exchange เพื่อขโมย Cryptocurrency ด้วย

ทั้งนี้ผู้ที่สนใจรายละเอียดสามารถอ่านข้อมูล IoC และข้อมูลเพิ่มเติมเกี่ยวกับกลุ่ม “BeagleBoyz” ได้ที่นี่ :

https://us-cert.

เตือน ระวังมัลแวร์จากเกม Flappy Bird ปลอม!

วีโอ ชาง นักวิเคราะห์ภัยคุกคามมือถือ บริษัท เทรนด์ไมโคร อิงค์ เปิดเผยล่าสุดว่า เกม Flappy Bird มีแอพฯ ที่คล้ายคลึงกันเกิดขึ้นใหม่อย่างมากมาย แต่ดูเหมือนว่าพัฒนาการต่อเนื่องที่เกิดขึ้นนั้นจะมีบางสิ่งที่ผิดปกติ นั่นคือแอพฯ Android Flappy Bird ปลอมจำนวนมาก ซึ่งกำลังแพร่กระจายทางออนไลน์อยู่ในขณะนี้ และกำลังแพร่กระจายอย่างหนักในตลาดแอพของรัสเซียและเวียดนาม

สำหรับแอพฯ เวอร์ชั่นปลอมทั้งหมดที่เทรนด์ไมโครตรวจพบนั้นจะเป็นรูปแบบตัวลวงการให้บริการพรีเมียม (Premium Service Abuser) ซึ่งเป็นแอพฯ ที่จะส่งข้อความไปยังสมาชิกระดับพรีเมียม และทำให้เกิดการเสียค่าบริการที่ไม่ต้องการปรากฏอยู่ในใบแจ้งหนี้ค่าโทรศัพท์ของเหยื่อ เช่น แอพ Flappy Bird ปลอมจะร้องขอสิทธิ์ในการอ่าน หรือส่งข้อความเพิ่มเติมจากผู้ใช้ในระหว่างการติดตั้งแอพฯ ซึ่งแอพฯ ในเวอร์ชั่นดั้งเดิมจะไม่มีขั้นตอนนี้ หลังจากที่เกมได้รับการติดตั้งและถูกเปิดขึ้นมาแล้ว แอพมัลแวร์ดังกล่าวจะเริ่มส่งข้อความไปยังหมายเลขของสมาชิกระดับพรีเมียม และมัลแวร์นี้ก็จะแอบเชื่อมต่อกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) ผ่านทาง Google Cloud Messaging เพื่อรับคำสั่งต่างๆ ซึ่งเทรนด์ไมโคร พบว่ามัลแวร์ดังกล่าวจะถูกสั่งให้ส่งข้อความและซ่อนการแจ้งเตือนเมื่อได้รับข้อความที่มีเนื้อหาบางอย่างซ่อนอยู่

นอกจากลักษณะการลวงให้บริการระดับพรีเมียมแล้ว แอพฯ ปลอมเหล่านี้ยังอาจทำให้ข้อมูลของผู้ใช้เกิดการรั่วไหลได้ด้วยการแอบส่งหมายเลขโทรศัพท์, ข้อมูลของผู้ให้บริการโทรศัพท์ หรือที่อยู่ Gmail ที่มีการลงทะเบียนในอุปกรณ์ที่ติดตั้งแอพปลอมไว้
นอกจากนี้ เทรนด์ไมโครยังตรวจพบด้วยว่า เวอร์ชั่นปลอมเหล่านี้จะแสดงป็อปอัปเพื่อขอให้ผู้ใช้ชำระเงินค่าเกม ถ้าผู้ใช้ปฏิเสธที่จะเล่น แอพก็จะปิดลง สำหรับแอป Flappy Bird ปลอมที่ได้รับการตรวจพบแล้วในขณะนี้ ได้แก่ ANDROIDOS_AGENT.HBTF, ANDROIDOS_OPFAKE.HATC และ ANDROIDOS_SMSREG.HAT

ดังนั้นเทรนด์ไมโครขอแนะนำให้ผู้ใช้แอนดรอยด์ (โดยเฉพาะอย่างยิ่งผู้ที่ต้องการดาวน์โหลดแอพ Flappy Bird ที่ตอนนี้ไม่มีให้บริการแล้ว) ระมัดระวังเมื่อทำการติดตั้งแอพ เนื่องจากบรรดาอาชญากรไซเบอร์กำลังหันมาหาประโยชน์จากเกมยอดนิยมต่างๆ (เช่น Candy Crush, Angry Birds Space, Temple Run 2 และ Bad Piggies) โดยหวังจะปล่อยภัยคุกคามเข้าแทรกซึมไปยังระบบมือถือ

ที่มา : Thaiware