กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

กลุ่ม Maze Ransomware ปล่อยข้อมูลชุดสมบูรณ์ 100% ของการไฟฟ้าส่วนภูมิภาคแล้ว

กลุ่ม Maze Ransomware ปล่อยข้อมูลชุด 100% ซึ่งเป็นผลมาจากการโจมตีระบบของการไฟฟ้าส่วนภูมิภาคแล้วหลังจากถึงเส้นตายตามมาตรการใหม่ของกลุ่ม Maze

ตามมาตรการใหม่ของ Maze ซึ่งไอ-ซีเคียวได้เคยนำเสนอข่าวไปก่อนแล้วนั้น กลุ่ม Maze จะทำการปล่อยข้อมูลชุดแรกบางส่วนเพื่อยืนยันการโจมตีว่าได้เกิดขึนจริง หลังจากนั้นกลุ่ม Maze จะมีการให้เวลาเหยื่อเป็นเวลา 10 วันเพื่อให้ดำเนินการทำตามข้อตกลง (คำขู่กรรโชก) โดยหากเหยื่อไม่สามารถทำได้ภายในเวลา 10 วัน กลุ่ม Maze จะมีดำเนินการปล่อยข้อมูลทั้งหมดที่กลุ่มได้มาจากการปฏิบัติการนั้น

ในสถานการณ์ปัจจุบันนั้น เป็นที่แน่ชัดแล้วว่าทาง PEA ตัดสินใจที่จะไม่ปฏิบัติตามคำเรียกร้องของกลุ่ม Maze ซึ่งส่งผลให้เกิดการปล่อยข้อมูลชุดนี้ออกมา การตัดสินใจในครั้งนี้หากอยู่บนพื้นฐานของการมีข้อมูลที่เพียงพอและสามารถประเมินผลกระทบหากข้อมูลที่ถูกผู้โจมตียึดครองถูกปล่อยออกมาได้ก็อาจถือได้ว่าเป็นการตัดสินใจที่ถูกต้อง เพราะการยินยอมทำตามคำขู่กรรโชกในทางอ้อมก็ถือเป็นการสนับสนุนให้กลุ่ม Maze คงอยู่และปฏิบัติการต่อไปได้

ไฟล์ที่ถูกปล่อยออกมาในครั้งล่าสุดนี้มีจำนวน 18 ไฟล์ รวมจากที่ปล่อยออกมาแล้วจำนวน 3 ไฟล์เป็นจำนวนทั้งหมด 21 ไฟล์ มีการปรากฎของชื่อไฟล์ที่บ่งชี้ให้เห็นถึงความเกี่ยวข้องกับโครงการของทาง PEA อาทิ ELGBlockchanin.

Trickbot is the most prolific malware operation using COVID-19 themed lures

โปรดระวังแคมเปญมัลแวร์ Trickbot ใช้ข่าวที่เกี่ยวข้องกับ COVID-19 ในการโจมตีผู้ใช้

Microsoft Office 365 Advanced Threat Protection (ATP) ได้สังเกตถึงแคมเปญมัลแวร์ Trickbot ที่ใช้ข่าวที่เกี่ยวข้องกับ COVID-19 ในการโจมตีผู้ใช้

มัลแวร์ Trickbot จะถูกแนบไปกับเอกสารที่ถูกส่งไปทางอีเมลของผู้ใช้จำนวนมาก โดยอีเมลที่ถูกส่งไปจะมีเนื้อหาเชิญชวนให้ลงชื่อเพื่อรับการตรวจ COVID-19 ฟรี เมื่อผู้ใช้เปิดเอกสารผู้ใช้จะถูกหลอกให้เปิดใช้งานมาโครหลังจากนั้นมัลแวร์จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายและหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส

เมื่อมัลแวร์ TrickBot ทำงานมันจะอนุญาตให้ผู้โจมตีสามารถรวบรวมข้อมูลของผู้ใช้จากระบบที่ถูกบุกรุกและพยายามทำการเเพร่กระจายไปยังเครื่องอื่นๆ ที่อยู่ในเครือข่ายเดียวกัน

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลที่ได้รับถ้าพบว่าอีเมลที่ได้รับไม่รู้เเหล่งที่มา ผู้ใช้งานไม่ควรทำการเปิดไฟล์ที่แนบมากับอีเมลเพื่อความปลอดภัยของข้อมูลผู้ใช้

ที่มา : securityaffairs

รวมแหล่งข้อมูลภัยคุกคาม (Threat Intelligence) ในสถานการณ์ COVID-19

อาชญากรคือหนึ่งในอาชีพที่อาจเรียกได้ว่าเป็นนักฉวยโอกาสเพื่อสร้างผลประโยชน์ได้เก่งที่สุดอาชีพหนึ่ง พวกเขาฉวยโอกาสทั้งจากการให้เหตุผลของคน ความเชื่อใจ ความรู้สึกในรูปแบบต่างๆ รวมไปถึงสถานการณ์เพื่อสร้างผลประโยชน์แก่ตนหรือกลุ่มของตน การแพร่ระบาดของ COVID-19 ก็เป็นอีกหนึ่งเหตุการณ์ซึ่งตอกย้ำความสามารถในการฉวยโอกาสของพวกเขาเหล่านี้ และจะเป็นหัวข้อหลักของเนื้อหาที่เราจะพูดถึงกันในวันนี้

ในช่วงการแพร่ระบาดของ COVID-19 เมื่อผู้คนถูกบังคับให้ต้องรับข้อมูลข่าวสารให้มากขึ้น รวมถึงมาตรการซึ่งออกมาเพื่อควบคุมการแพร่ระบาดและส่งผลกระทบต่อความมั่นคงปลอดภัย เหล่าอาชญากรไซเบอร์เหล่านี้ได้ฉวยโอกาสเพื่อสร้างการโจมตีโดยใช้ประโยชน์ของสถานการณ์การแพร่กระจาย COVID-19 หรือที่ถูกเรียกว่า COVID-19 themed campaign อย่างแพร่หลาย การตระหนักรู้ถึงการเกิดขึ้นของภัยคุกคามในลักษณะนี้ และการนำความตระหนักรู้มาประยุกต์ให้เกิดความสามารถในการป้องกันภัยคุกคามจึงเป็นส่วนสำคัญที่ช่วยให้ระบบของเรารอดพ้นจากวิกฤติไปพร้อมๆ กับมนุษยชาติ

ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงแหล่งข้อมูลภัยคุกคามที่เกี่ยวข้องกับการใช้ประโยชน์ของ COVID-19 ซึ่งสามารถนำไปปรับใช้ให้เกิดการตรวจจับและป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพครับ

แหล่งข้อมูลโดยส่วนใหญ่ที่จะถูกพูดถึงในบทความนี้เป็นแหล่งข้อมูลซึ่งเรารวบรวมมา การใช้งานแหล่งข้อมูลแต่ละแหล่งถือเป็นการยอมรับข้อตกลงในการใช้งานที่กำหนดไว้กับแต่ละแหล่งข้อมูลแล้ว
แหล่งข้อมูลภัยคุกคามที่เผยแพร่ข้อมูล IOC โดยตรง
แหล่งข้อมูลภัยคุกคามต่อไปนี้คือแหล่งข้อมูลภัยคุกคามซึ่งเผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) ซึ่งสามารถถูกดาวโหลดและนำไปใช้ได้โดยตรงโดยไม่จำเป็นต้องผ่านกระบวนการตรวจสอบและคัดแยก หรืออย่างน้อยที่สุดเพียงแค่อาศัยการเขียนโปรแกรมเพื่อดาวโหลดและนำข้อมูลมาใช้งานก็ถือเป็นเสร็จสิ้นครับ

โครงการ littl3field/DodgyDomainsBot เป็นโครงการซึ่งนำผลลัพธ์จากสคริปต์ในการระบุหาโดเมนที่อาจมีส่วนเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19 มาเผยแพร่ โดยได้แยกส่วนของรายการที่ตรวจสอบแล้วและยังไม่ได้ตรวจสอบไว้อยู่ให้เลือกใช้งานได้
โครงการ Blacklist จาก COVID-19 Cyber Threat Coalition เป็นรายการโดเมนต้องสงสัยและเป็นอันตรายที่รวบรวมมาจากกลุ่ม Cyber Threat Coalition ซึ่งถูกตั้งขึ้นมาเฉพาะกิจเพื่อรับมือกับภัยคุกคามในช่วง COVID-19 โดยข้อมูลสามารถเข้าถึงได้ทั้งในรูปแบบของไฟล์เอกสาร หรือผ่าน API จาก AlienVault OTX
โครงการ COVID-19 Threat Bulletin จาก Anomali ซึ่งติดตามภัยคุกคามและการโจมตีต่างๆ ที่เกี่ยวข้องกับ COVID-19 พร้อมด้วยรายการ IOC กว่า 6,000 รายการที่สามารถนำไปใช้ได้ทันที
โครงการ COVID-19 Threat List จาก DomainTools เป็นลักษณะของรายการโดเมนที่เกี่ยวข้องกับภัยคุกคามในช่วง COVID-19 ในรูปแบบ CSV อัปเดตรายวัน
เหนือกว่า IOC ต้อง TTP โครงการ Hunting Notebook สำหรับ Azure Sentinel เพื่อระบุหาพฤติกรรมภัยคุกคามที่เกี่ยวข้องกับ COVID-19
โครงการ Corona Domain Data จาก Swimlane เป็นข้อมูลอัปเดตรายวันในรูปแบบ JSON และ TXT ซึ่งสามารถนำไปวิเคราะห์หรือใช้ต่อในการตรวจจับได้ทันที
โครงการ Coronavirus-Phishing-Yara-Rules จาก Cofense เป็นโครงการซึ่งรวบรวม Yara rule สำหรับการคัดแยกและตรวจจับลักษณะของข้อมูลใดๆ ที่อาจเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19
รายการโดเมนเนมจดทะเบียนใหม่ที่อาจเกี่ยวข้องกับ COVID-19 themed threat โดย Malware Patrol มีทั้งแบบ TXT, JSON, BIND RPZ Zone, Squid และ Snort
โครงการ Coronavirus Host Reputation Feed จาก @j0hn_f ซึ่งนำข้อมูลจาก F-Secure มาวิเคราะห์เพิ่มเติม มีการเพิ่มคะแนนความน่าเชื่อถือและแจกจ่ายในรูปแบบ JSON
Telemetry จาก apklab.

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

ในช่วง COVID-19 กำลังระบาดแบบนี้ หลายๆ บริษัทอาจมีการปรับการทำงานเพื่อลดความเสี่ยงในการติดเชื้อ ไม่ว่าจะเป็นการให้พนักงานสามารถ Work from Home หรือเปลี่ยนรูปแบบการจ่ายเงินจากการรับเช็คไปเป็นการโอนผ่านบัญชีธนาคาร ซึ่งพฤติกรรมที่ปรับเปลี่ยนไปนี้อาจเป็นช่องทางให้ผู้ไม่หวังดีสามารถทำการโจมตีได้

เมื่อวันศุกร์ 13 มีนาคม 2020 ที่ผ่านมา นักวิจัยจาก Agari Cyber Intelligence Division (ACID) พบการโจมตีแบบ Business Email Compromise (BEC) ในธีม COVID-19 ขึ้นแล้วเป็นครั้งแรก โดยมีวิธีการโจมตีคือจดโดเมนชื่อคล้ายๆ จากนั้นส่งอีเมลปลอมไปหาบริษัทคู่ค้าระบุว่ามีความจำเป็นต้องเปลี่ยนบัญชีสำหรับโอนเงินเนื่องจากการแพร่ระบาดของ COVID-19 ซึ่งหากคู่ค้าหลงเชื่อก็จะโอนเงินเข้าไปยังเลขบัญชีของผู้โจมตีแทน

นอกจากการใช้อีเมลปลอมเป็นคู่ค้าแล้ว ยังมีเทคนิคการโจมตีแบบอื่นๆ เพื่อหลอกให้หลงโอนเงินไปยังบัญชีของผู้โจมตีอีกหลายรูปแบบ ไม่ว่าจะเป็นการปลอมเป็นผู้บริหารสั่งให้โอนเงินด่วน ไม่สร้างโดเมนปลอมแต่ใช้วิธีฟิชชิงหลอกเอารหัสผ่านอีเมลจริงๆ ไปใช้ส่งอีเมลเปลี่ยนเลขบัญชี เป็นต้น โดยสามารถอ่านรายละเอียดเกี่ยวกับ Business Email Compromise (BEC) เพิ่มเติมได้จาก https://www.