ผู้ไม่หวังดีใช้ประโยชน์จากข่าวการเกิดขึ้นของไวรัสโควิด Omicron ที่กำลังได้รับความสนใจเป็นอย่างมาก ทำให้ตอนนี้ถูกนำมาใช้เป็นเหยื่อล่อในแคมเปญอีเมลที่เป็นอันตราย

โดยผู้ไม่หวังดีสามารถปรับตัวให้เข้ากับเทรนด์ล่าสุด และประเด็นร้อนแรงอย่างรวดเร็ว เนื่องจากการเพิ่มความกลัวให้กับผู้คนเป็นวิธีที่ดีที่สุดในการทำให้เหยื่อรีบเปิดอีเมลอ่านโดยไม่คิดให้รอบคอบก่อน

จากกรณีที่เป็นข่าวว่า "มีนักวิทยาศาสตร์กังวลเกี่ยวกับการแพร่เชื้อในระดับสูง และความไร้ประสิทธิผลของวัคซีนที่มีอยู่ต่อการกลายพันธุ์"

ทำให้มันเป็นหัวข้อที่เหมาะสำหรับฟิชชิ่งเป็นอย่างมาก เพราะแม้แต่ผู้ที่ได้รับวัคซีนไปแล้วก็ยังกังวลว่าพวกเขาก็อาจจะได้รับผลกระทบ

แคมเปญฟิชชิ่งนี้ ได้มุ่งเป้าไปที่สหราชอาณาจักร (UK)

องค์กรคุ้มครองผู้บริโภคของสหราชอาณาจักรได้มีการเผยแพร่ตัวอย่างอีเมลฟิชชิ่ง 2 ฉบับ ซึ่งอ้างว่าเป็นอีเมลจากองค์กรบริการสุขภาพแห่งชาติของสหราชอาณาจักร (NHS) เตือนเกี่ยวกับไวรัสโควิดสายพันธุ์ใหม่ Omicron

อีเมลเหล่านี้เสนอการตรวจ PCR test เพื่อตรวจหาเชื้อไวรัสโควิด Omicron ฟรี และใช้ชื่ออีเมล ‘contact-nhs@nhscontact.

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

หน่วยงานซึ่งรับผิดชอบการประเมิน ควบคุมและอนุญาตการใช้ยาตัวใหม่ในสหภาพยุโรป European Medicines Agency (EMA) ซึ่งกำลังรับผิดชอบการอนุญาตใช้วัคซีน COVID-19 ถูกโจมตีทางไซเบอร์ ยังไม่ทราบผลกระทบอย่างแน่ชัด

EMA ประกาศการโจมตีทางไซเบอร์เมื่อวันอังคารที่ผ่านมาบนหน้าเว็บไซต์ของหน่วยงาน ทั้งนี้ EMA ระบุว่ารายละเอียดและผลกระทบของเหตุการณ์ยังไม่สามารถเปิดเผยได้เนื่องจากกำลังอยู่ในระหว่างการสอบสวน อย่างไรก็ตาม Pfizer ซึ่งเป็นผู้ผลิตวัคซีนร่วมกับ BioNTech ได้มีแถลงการณ์ร่วมเกี่ยวกับการโจมตีนี้ว่า เอกสารที่เกี่ยวข้องกับการอนุญาตของ BNT162b2 ซึ่งเป็นรหัสของวัคซีน COVID-19 ถูกเข้าถึงโดยไม่ได้รับอนุญาตจากการโจมตีดังกล่าว

ไอ-ซีเคียวจะทำการอัปเดตสถานการณ์หากมีข้อมูลเพิ่มเติม

ที่มา: bleepingcomputer

ถึงคราวต้องโบกมือลา NSS Labs บริษัทประเมินคุณภาพโปรดักส์ความปลอดภัยชื่อดังยุติการให้บริการ

NSS Labs บริษัทประเมินคุณภาพโปรดักส์ความปลอดภัยชื่อดังประกาศยุติการให้บริการเมื่อวันอังคารที่ผ่านมา แถลงการณ์เบื้องต้นของบริษัทหน้าเว็บไซต์มีการกล่าวถึงผลกระทบจากการแพร่กระจายของ COVID-19 การยุติการให้บริการมีผลแล้วในวันที่ 15 ตุลาคมที่ผ่านมา

นอกเหนือประกาศอย่างเป็นทางการ ซีอีโอของ NSS Labs "Jason Brvenik" ออกมาประกาศเพิ่มเติมใน LinkedIn ของเขาโดยมีการช่วยโปรโมตอดีตพนักงานของ NSS Labs ในการหางานใหม่ด้วย

ที่มา : securityweek

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

กลุ่ม Maze Ransomware ปล่อยข้อมูลชุด 100% ซึ่งเป็นผลมาจากการโจมตีระบบของการไฟฟ้าส่วนภูมิภาคแล้วหลังจากถึงเส้นตายตามมาตรการใหม่ของกลุ่ม Maze

ตามมาตรการใหม่ของ Maze ซึ่งไอ-ซีเคียวได้เคยนำเสนอข่าวไปก่อนแล้วนั้น กลุ่ม Maze จะทำการปล่อยข้อมูลชุดแรกบางส่วนเพื่อยืนยันการโจมตีว่าได้เกิดขึนจริง หลังจากนั้นกลุ่ม Maze จะมีการให้เวลาเหยื่อเป็นเวลา 10 วันเพื่อให้ดำเนินการทำตามข้อตกลง (คำขู่กรรโชก) โดยหากเหยื่อไม่สามารถทำได้ภายในเวลา 10 วัน กลุ่ม Maze จะมีดำเนินการปล่อยข้อมูลทั้งหมดที่กลุ่มได้มาจากการปฏิบัติการนั้น

ในสถานการณ์ปัจจุบันนั้น เป็นที่แน่ชัดแล้วว่าทาง PEA ตัดสินใจที่จะไม่ปฏิบัติตามคำเรียกร้องของกลุ่ม Maze ซึ่งส่งผลให้เกิดการปล่อยข้อมูลชุดนี้ออกมา การตัดสินใจในครั้งนี้หากอยู่บนพื้นฐานของการมีข้อมูลที่เพียงพอและสามารถประเมินผลกระทบหากข้อมูลที่ถูกผู้โจมตียึดครองถูกปล่อยออกมาได้ก็อาจถือได้ว่าเป็นการตัดสินใจที่ถูกต้อง เพราะการยินยอมทำตามคำขู่กรรโชกในทางอ้อมก็ถือเป็นการสนับสนุนให้กลุ่ม Maze คงอยู่และปฏิบัติการต่อไปได้

ไฟล์ที่ถูกปล่อยออกมาในครั้งล่าสุดนี้มีจำนวน 18 ไฟล์ รวมจากที่ปล่อยออกมาแล้วจำนวน 3 ไฟล์เป็นจำนวนทั้งหมด 21 ไฟล์ มีการปรากฎของชื่อไฟล์ที่บ่งชี้ให้เห็นถึงความเกี่ยวข้องกับโครงการของทาง PEA อาทิ ELGBlockchanin.

โปรดระวังแคมเปญมัลแวร์ Trickbot ใช้ข่าวที่เกี่ยวข้องกับ COVID-19 ในการโจมตีผู้ใช้

Microsoft Office 365 Advanced Threat Protection (ATP) ได้สังเกตถึงแคมเปญมัลแวร์ Trickbot ที่ใช้ข่าวที่เกี่ยวข้องกับ COVID-19 ในการโจมตีผู้ใช้

มัลแวร์ Trickbot จะถูกแนบไปกับเอกสารที่ถูกส่งไปทางอีเมลของผู้ใช้จำนวนมาก โดยอีเมลที่ถูกส่งไปจะมีเนื้อหาเชิญชวนให้ลงชื่อเพื่อรับการตรวจ COVID-19 ฟรี เมื่อผู้ใช้เปิดเอกสารผู้ใช้จะถูกหลอกให้เปิดใช้งานมาโครหลังจากนั้นมัลแวร์จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายและหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส

เมื่อมัลแวร์ TrickBot ทำงานมันจะอนุญาตให้ผู้โจมตีสามารถรวบรวมข้อมูลของผู้ใช้จากระบบที่ถูกบุกรุกและพยายามทำการเเพร่กระจายไปยังเครื่องอื่นๆ ที่อยู่ในเครือข่ายเดียวกัน

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลที่ได้รับถ้าพบว่าอีเมลที่ได้รับไม่รู้เเหล่งที่มา ผู้ใช้งานไม่ควรทำการเปิดไฟล์ที่แนบมากับอีเมลเพื่อความปลอดภัยของข้อมูลผู้ใช้

ที่มา : securityaffairs

อาชญากรคือหนึ่งในอาชีพที่อาจเรียกได้ว่าเป็นนักฉวยโอกาสเพื่อสร้างผลประโยชน์ได้เก่งที่สุดอาชีพหนึ่ง พวกเขาฉวยโอกาสทั้งจากการให้เหตุผลของคน ความเชื่อใจ ความรู้สึกในรูปแบบต่างๆ รวมไปถึงสถานการณ์เพื่อสร้างผลประโยชน์แก่ตนหรือกลุ่มของตน การแพร่ระบาดของ COVID-19 ก็เป็นอีกหนึ่งเหตุการณ์ซึ่งตอกย้ำความสามารถในการฉวยโอกาสของพวกเขาเหล่านี้ และจะเป็นหัวข้อหลักของเนื้อหาที่เราจะพูดถึงกันในวันนี้

ในช่วงการแพร่ระบาดของ COVID-19 เมื่อผู้คนถูกบังคับให้ต้องรับข้อมูลข่าวสารให้มากขึ้น รวมถึงมาตรการซึ่งออกมาเพื่อควบคุมการแพร่ระบาดและส่งผลกระทบต่อความมั่นคงปลอดภัย เหล่าอาชญากรไซเบอร์เหล่านี้ได้ฉวยโอกาสเพื่อสร้างการโจมตีโดยใช้ประโยชน์ของสถานการณ์การแพร่กระจาย COVID-19 หรือที่ถูกเรียกว่า COVID-19 themed campaign อย่างแพร่หลาย การตระหนักรู้ถึงการเกิดขึ้นของภัยคุกคามในลักษณะนี้ และการนำความตระหนักรู้มาประยุกต์ให้เกิดความสามารถในการป้องกันภัยคุกคามจึงเป็นส่วนสำคัญที่ช่วยให้ระบบของเรารอดพ้นจากวิกฤติไปพร้อมๆ กับมนุษยชาติ

ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงแหล่งข้อมูลภัยคุกคามที่เกี่ยวข้องกับการใช้ประโยชน์ของ COVID-19 ซึ่งสามารถนำไปปรับใช้ให้เกิดการตรวจจับและป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพครับ

แหล่งข้อมูลโดยส่วนใหญ่ที่จะถูกพูดถึงในบทความนี้เป็นแหล่งข้อมูลซึ่งเรารวบรวมมา การใช้งานแหล่งข้อมูลแต่ละแหล่งถือเป็นการยอมรับข้อตกลงในการใช้งานที่กำหนดไว้กับแต่ละแหล่งข้อมูลแล้ว
แหล่งข้อมูลภัยคุกคามที่เผยแพร่ข้อมูล IOC โดยตรง
แหล่งข้อมูลภัยคุกคามต่อไปนี้คือแหล่งข้อมูลภัยคุกคามซึ่งเผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) ซึ่งสามารถถูกดาวโหลดและนำไปใช้ได้โดยตรงโดยไม่จำเป็นต้องผ่านกระบวนการตรวจสอบและคัดแยก หรืออย่างน้อยที่สุดเพียงแค่อาศัยการเขียนโปรแกรมเพื่อดาวโหลดและนำข้อมูลมาใช้งานก็ถือเป็นเสร็จสิ้นครับ

โครงการ littl3field/DodgyDomainsBot เป็นโครงการซึ่งนำผลลัพธ์จากสคริปต์ในการระบุหาโดเมนที่อาจมีส่วนเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19 มาเผยแพร่ โดยได้แยกส่วนของรายการที่ตรวจสอบแล้วและยังไม่ได้ตรวจสอบไว้อยู่ให้เลือกใช้งานได้
โครงการ Blacklist จาก COVID-19 Cyber Threat Coalition เป็นรายการโดเมนต้องสงสัยและเป็นอันตรายที่รวบรวมมาจากกลุ่ม Cyber Threat Coalition ซึ่งถูกตั้งขึ้นมาเฉพาะกิจเพื่อรับมือกับภัยคุกคามในช่วง COVID-19 โดยข้อมูลสามารถเข้าถึงได้ทั้งในรูปแบบของไฟล์เอกสาร หรือผ่าน API จาก AlienVault OTX
โครงการ COVID-19 Threat Bulletin จาก Anomali ซึ่งติดตามภัยคุกคามและการโจมตีต่างๆ ที่เกี่ยวข้องกับ COVID-19 พร้อมด้วยรายการ IOC กว่า 6,000 รายการที่สามารถนำไปใช้ได้ทันที
โครงการ COVID-19 Threat List จาก DomainTools เป็นลักษณะของรายการโดเมนที่เกี่ยวข้องกับภัยคุกคามในช่วง COVID-19 ในรูปแบบ CSV อัปเดตรายวัน
เหนือกว่า IOC ต้อง TTP โครงการ Hunting Notebook สำหรับ Azure Sentinel เพื่อระบุหาพฤติกรรมภัยคุกคามที่เกี่ยวข้องกับ COVID-19
โครงการ Corona Domain Data จาก Swimlane เป็นข้อมูลอัปเดตรายวันในรูปแบบ JSON และ TXT ซึ่งสามารถนำไปวิเคราะห์หรือใช้ต่อในการตรวจจับได้ทันที
โครงการ Coronavirus-Phishing-Yara-Rules จาก Cofense เป็นโครงการซึ่งรวบรวม Yara rule สำหรับการคัดแยกและตรวจจับลักษณะของข้อมูลใดๆ ที่อาจเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19
รายการโดเมนเนมจดทะเบียนใหม่ที่อาจเกี่ยวข้องกับ COVID-19 themed threat โดย Malware Patrol มีทั้งแบบ TXT, JSON, BIND RPZ Zone, Squid และ Snort
โครงการ Coronavirus Host Reputation Feed จาก @j0hn_f ซึ่งนำข้อมูลจาก F-Secure มาวิเคราะห์เพิ่มเติม มีการเพิ่มคะแนนความน่าเชื่อถือและแจกจ่ายในรูปแบบ JSON
Telemetry จาก apklab.

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

ในช่วง COVID-19 กำลังระบาดแบบนี้ หลายๆ บริษัทอาจมีการปรับการทำงานเพื่อลดความเสี่ยงในการติดเชื้อ ไม่ว่าจะเป็นการให้พนักงานสามารถ Work from Home หรือเปลี่ยนรูปแบบการจ่ายเงินจากการรับเช็คไปเป็นการโอนผ่านบัญชีธนาคาร ซึ่งพฤติกรรมที่ปรับเปลี่ยนไปนี้อาจเป็นช่องทางให้ผู้ไม่หวังดีสามารถทำการโจมตีได้

เมื่อวันศุกร์ 13 มีนาคม 2020 ที่ผ่านมา นักวิจัยจาก Agari Cyber Intelligence Division (ACID) พบการโจมตีแบบ Business Email Compromise (BEC) ในธีม COVID-19 ขึ้นแล้วเป็นครั้งแรก โดยมีวิธีการโจมตีคือจดโดเมนชื่อคล้ายๆ จากนั้นส่งอีเมลปลอมไปหาบริษัทคู่ค้าระบุว่ามีความจำเป็นต้องเปลี่ยนบัญชีสำหรับโอนเงินเนื่องจากการแพร่ระบาดของ COVID-19 ซึ่งหากคู่ค้าหลงเชื่อก็จะโอนเงินเข้าไปยังเลขบัญชีของผู้โจมตีแทน

นอกจากการใช้อีเมลปลอมเป็นคู่ค้าแล้ว ยังมีเทคนิคการโจมตีแบบอื่นๆ เพื่อหลอกให้หลงโอนเงินไปยังบัญชีของผู้โจมตีอีกหลายรูปแบบ ไม่ว่าจะเป็นการปลอมเป็นผู้บริหารสั่งให้โอนเงินด่วน ไม่สร้างโดเมนปลอมแต่ใช้วิธีฟิชชิงหลอกเอารหัสผ่านอีเมลจริงๆ ไปใช้ส่งอีเมลเปลี่ยนเลขบัญชี เป็นต้น โดยสามารถอ่านรายละเอียดเกี่ยวกับ Business Email Compromise (BEC) เพิ่มเติมได้จาก https://www.