Cisco เปิดตัวแพตช์อัปเดตความปลอดภัยสำหรับ AnyConnect Secure Mobility Client แก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำ Hijacking DLL ของซอฟต์แวร์ได้

Cisco เปิดตัวแพตช์อัปเดตความปลอดภัยสำหรับช่องโหว่ใน AnyConnect Secure Mobility Client สำหรับ Windows โดยช่องโหว่อาจทำให้ผู้โจมตีที่อยู่ภายในระบบและได้รับการตรวจสอบความถูกต้องสามารถทำการโจมตีแบบ Hijacking DLL บนอุปกรณ์ที่ได้รับผลกระทบหากโมดูล VPN Posture (HostScan) ถูกติดตั้งบน AnyConnect client

ช่องโหว่ถูกค้นพบโดย Marcos Accossatto และ Pablo Zurro จาก Core Security โดยช่องโหว่เกิดจากการตรวจสอบความถูกต้องของข้อมูลที่โหลดโดยแอปพลิเคชันในขณะทำงานไม่เพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยส่ง IPC message ที่สร้างขึ้นมาเป็นพิเศษไปยังกระบวนการของ AnyConnect ซึ่งหากประสบความสำเร็จในการใช้ช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ต้องรับอนุญาตบนเครื่องที่ตกเป็นเป้าหมายด้วยสิทธิ์ของระบบ ซึ่งในการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีจำเป็นต้องมีข้อมูล Credential บนระบบก่อน

ทั้งนี้ Cisco แก้ไขช่องโหว่นี้ใน Cisco AnyConnect Secure Mobility Client สำหรับ Windows เวอร์ชัน 4.9.05042 และใหม่กว่า ผู้ใช้งานควรทำการอัปเดตให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: cisco

NSA ออกแจ้งเตือนถึงกลุ่มผู้ประสงค์ร้ายพยายามเข้าถึง Cloud-based ขององค์กร ผ่าน Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

Patch Now: DarkIRC Botnet กำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (RCE) เพื่อโจมตี Oracle WebLogic Server

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้เปิดเผยถึงเป้าหมายการโจมตีของบอตเน็ต DarkIRC ที่กำลังพยายามสแกนหาและใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (Remote Code Execution - RCE) ในเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและยังไม่ได้รับการแพตช์เพื่อแก้ไขช่องโหว่

ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ได้ทำการตรวจสอบเซิร์ฟเวอร์ Oracle WebLogic จากเครื่องมือค้นหาของ Shodan พบว่ามีเซิร์ฟเวอร์ Oracle WebLogic ประมาณ 3,000 เครื่องที่สามารถเข้าถึงได้บนอินเทอร์เน็ต

ช่องโหว่ CVE-2020-14750 (RCE) ในเซิร์ฟเวอร์ Oracle WebLogic เป็นช่องโหว่ที่สำคัญและมีความรุนเเรงจากคะแนน CVSSv3 อยู่ที่ 9.8/10 โดยช่องโหว่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์ Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

นักวิจัยกล่าวว่าบอตเน็ต DarkIRC ทำกำหนดเป้าหมายไปยังเครือข่ายของเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเมื่อบุกรุกได้แล้วจะทำการดาวน์โหลดไฟล์เพื่อขโมยข้อมูลภายในเครื่อง, Keylogger, ขโมยข้อมูล Credential และจะสั่งรัน Command บนเครื่องที่ถูกบุกรุกและทำการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย นอกจากนี้บอตเน็ตยังมีฟีเจอร์ที่จะทำการเปลื่ยนที่อยู่ Bitcoin wallet ที่อยู่ภายในเครื่องไปยังที่อยู่ Bitcoin wallet ของผู้ประสงค์ร้าย ทั้งนี้บอตเน็ต DarkIRC ถูกผู้ใช้ที่ชื่อ "Freak_OG" ทำการวางขายบอตเน็ตในแฮ็กฟอรัม โดยราคาขายอยู่ที่ $75 (ประมาณ 2,259 บาท) ตั้งแต่เดือนสิงหาคมที่ผ่านมา

ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: thehackernews

 

Hacker ปล่อยข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

นักวิจัยด้านความปลอดภัยจาก Bank_Security ได้เปิดเผยถึงการค้นพบข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

ข้อมูล Credential ที่ถูกปล่อยนั้นเป็นไฟล์ "sslvpn_websession" ของ Fortinet VPN ที่ถูกใช้ประโยชน์จากช่องโหว่ CVE-2018-13379 ซึ่งเป็นช่องโหว่ path traversal ที่ส่งผลกระทบต่ออุปกรณ์ Fortinet FortiOS SSL VPN จำนวนมากที่ไม่ได้รับการเเพตซ์ความปลอดภัย ด้วยการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเข้าถึงไฟล์ของระบบผ่านการร้องขอ HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ ซึ่งผู้โจมตีจะสามารถเข้าถึงไฟล์ sslvpn_websession จาก Fortinet VPN ได้และจะสามารถขโมยข้อมูล Credential ของการเข้าสู่ระบบ โดยข้อมูล Credential ที่ถูกขโมยเหล่านี้สามารถใช้ในบุกรุกเครือข่ายได้

นักวิจัยได้ทำการวิเคราะห์ข้อมูลที่ถูกรั่วไหลออกมา พบว่า IP และโดเมนส่วนใหญ่เป็นของรัฐบาลจากทั่วโลกและเป็นของธนาคารและบริษัททางด้านการเงินทุนที่มีชื่อเสียง

ทั้งนี้ผู้ดูแลระบบของ Fortinet VPN ควรรีบทำการตรวจสอบและควรรีบทำการอัปเดตแพตซ์ความปลอดภัยเป็นการด่วนเพื่อเป็นการป้องกันการโจมตีจากผู้ประสงค์ร้าย

ที่มา:

https://www.

Marriott ถูกปรับเป็นจำนวนเงิน 18.4 ล้านปอนด์หลังจากข้อมูลของแขกผู้เข้าพักจำนวน 339 ล้านคนถูกขโมยไปจากเครือโรงแรม

สำนักงานคณะกรรมการข้อมูลข่าวสาร (Information Commissioner Office - ICO) สั่งปรับเครือโรงเเรม Marriott เป็นจำนวนเงิน 18.4 ล้านปอนด์ หลังจากข้อมูลของแขกผู้เข้าพักจำนวน 339 ล้านคนถูกขโมยไปจากเครือโรงแรม

เหตุการณ์การถูกละเมิดข้อมูลนั้นเกิดขึ้นในปี 2014 และส่งผลกระทบต่อเครือรีสอร์ท Starwood ที่ Marriott เข้าซื้อกิจการในปี 2015 ด้วย เหตุการณ์เกิดขึ้นจากผู้โจมตีสามารถเข้าถึงระบบของ Starwood และได้ดำเนินการรันมัลแวร์ผ่านเว็บเชลล์รวมถึงเครื่องมือการเข้าถึงจากระยะไกล เพื่อทำการรวบรวม credential ของระบบ จากนั้นผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่ใช้ในการจัดเก็บข้อมูลการจองของแขกรวมถึงชื่อ ที่อยู่, อีเมล, หมายเลขโทรศัพท์, หมายเลขหนังสือเดินทาง, รายละเอียดการเดินทางและข้อมูล loyalty ของทางโรงแรม ซึ่งการบุกรุกยังคงดำเนินการต่อไปจนถึงปี 2018 โดยที่ทางเครือโรงเเรม Marriott ไม่สามารถตรวจพบและตลอดระยะเวลาสี่ปีข้อมูลของแขกผู้เข้าพักประมาณ 339 ล้านคนถูกขโมยไปจากเครือโรงแรม

หน่วยงาน ICO ได้ทำการสอบสวนต่อเหตุการณ์ที่เกิดขึ้นและพบว่าเครือโรงเเรม Marriott ได้ทำการฝ่าฝืนข้อกำหนดการป้องกันข้อมูลและการบังคับใช้กฎระเบียบของ (General Data Protection Regulation - GDPR) ที่ออกในปี 2018 ซึ่งด้วยเหตุนี้ ICO สั่งปรับเครือโรงเเรม Marriott เป็นจำนวนเงิน 99 ล้านปอนด์ แต่ด้วยสถานะการ COVID-19 ซึ่งทำให้เครือโรงเเรม Marriott เกิดสถานะขาดทุนทางด้านการเงิน จึงทำให้เกิดการต่อรองและเจรจาขอลดในส่วนของค่าปรับและเครือโรงเเรม Marriott ได้ถูกเเก้ไขค่าปรับเป็นเงินจำนวน 18.4 ล้านปอนด์

ทั้งนี้เหตุการณ์การบุกรุกเครือข่ายทางเครือโรงเเรม Marriott ได้ทำการปรับปรุงด้านความปลอดภัยทางไซเบอร์พื่อลดความเสี่ยงต่อความเสียหายที่ลูกค้าได้รับแล้ว

ที่มา: zdnet

Emotet campaign used parked domains to deliver malware payloads

Emotet ออกแคมเปญใหม่ใช้ Parked Domain ในการส่งเพย์โหลดมัลแวร์ไปยังเครื่องที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัยทีม Unit 42 จาก Palo Alto Networks ได้เปิดเผยถึงแคมเปญฟิชชิ่งใหม่จาก Emotet botnet ที่ได้ใช้ Parked domain ที่เป็นอันตรายเป็นฐานในการส่งเพย์โหลดเพื่อการแพร่กระจายของมัลแวร์, การแพร่กระจายของโปรแกรมที่อาจไม่พึงประสงค์ (Potentially Unwanted Program - PUP) และการหลอกลวงแบบฟิชชิง

พฤติกรรมดังกล่าวเกิดจากทีมนักวิจัยจาก Unit 42 ได้ตรวจพบโดเมนที่ถูกใช้ในการโจมตีคือ valleymedicalandsurgicalclinic [.] com ซึ่งได้รับการจดทะเบียนครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2020 และได้ถูกตั้งค่าให้เป็น Parked domain แต่หลังจากวันที่ 14 กันยายนที่ผ่านมาโดเมนดังกล่าวถูกพบอีกครั้งเพื่อใช้ในการแพร่กระจายของมัลแวร์ Emotet ผ่านเอกสารที่แนบมากับอีเมลฟิชชิ่งมีสคริปต์มาโครที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้ตกเป็นเหยื่อแล้ว มัลแวร์จะนำไปสู่การขโมยข้อมูล Credential และรวมถึงการยึดครองอุปกรณ์ของผู้ที่ตกเป็นเหยื่ออีกด้วย

ทีมนักวิจัยจาก Unit 42 กล่าวอีกว่าจากการตรวจสอบ Parked domain ที่ในปัจจุบันมีจำนวนกว่า 6 ล้าน โดเมนและพบว่ามี 1 % ของ Parked domain ถูกใช้ในแคมเปญมัลแวร์หรือฟิชชิงและถูกกำหนดเป้าหมายไปยังเหยื่อที่อาจเกิดขึ้นจากหลายประเทศทั่วโลกเช่น สหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส,ญี่ปุ่น, เกาหลีและอิตาลี นอกจากนี้แคมเปญของ Emotet จะมุ่งเน้นไปที่ภาคอุตสาหกรรมต่างๆ ตั้งแต่ภาครัฐการศึกษา, พลังงาน, การผลิต, การก่อสร้างและโทรคมนาคม

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเอกสารที่แนบมากับอีเมลทุกครั้งก่อนทำการเปิดเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer

Chrome 86 มาแล้ว พร้อมฟีเจอร์ด้านความปลอดภัยใหม่เพียบ

Google ประกาศการออก Chrome เวอร์ชัน 86 เมื่อวันที่ 6 ตุลาคมที่ผ่านมา โดยจุดน่าสนใจในรุ่นใหม่นี้นั้นอยู่ที่ฟีเจอร์ที่เกี่ยวข้องกับความปลอดภัยซึ่งถูกเพิ่มเข้ามาเป็นจำนวนมาก ตามรายการดังนี้

หากมีการบันทึก Credential ไว้ใน Chrome และมีการตรวจพบว่าได้รับผลกระทบจากข้อมูลรั่วไหล Chrome จะทำลิงค์เพื่อชี้ไปยัง <URL>/.well-known/change-password เพื่อให้ผู้ใช้งานทราบขั้นตอนในการปฏิบัติเพื่อเปลี่ยนรหัสผ่านโดยอัตโนมัติ (หากไม่มีพาธดังกล่าว Chrome จะสั่งลิงค์ไปยังโฮมเพจแทน)
เพิ่ม Safety Check เอาไว้ตรวจสอบการตั้งค่าเบราว์เซอร์และข้อมูลว่ามีความปลอดภัยหรือไม่ในคลิกเดียว
บล็อคการดาวโหลด mixed content หรือการดาวโหลดไฟล์ผ่านโปรโตคอล HTTP จากเว็บไซต์ HTTPS จากไฟล์ประเภท .exe, .apk, .zip, .iso และไฟล์ไบนารีอื่นๆ
นอกเหนือจากฟีเจอร์ที่ระบุมาแล้ว Chrome 86 ยังมีการแก้ไขและแพตช์ช่องโหว่ซึ่งยังไม่มีการเปิดเผยในขณะนี้ถึงยอดของช่องโหว่ที่ถูกแพตช์ รวมไปถึงเพิ่มฟีเจอร์ทดสอบ (experimental feature) มาอีกเป็นจำนวนมาก ผู้ที่สนใจอยากลองทดสอบฟีเจอร์ใหม่ๆ สามารถดูรายละเอียดเพิ่มเติมได้จากแหล่งที่มา

ที่มา : bleepingcomputer

CISA เเจ้งเตือนถึงมัลแวร์ LokiBot ที่ถูกพบว่ามีการเเพร่กระจายเพิ่มขึ้นอย่างมากในช่อง 3 เดือนที่ผ่านมา

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA

LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ

LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น

ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA

ที่มา : ZDnet

Cyber Attack Shuts Down Hoya Corp’s Thailand Plant for Three Days

Hoya บริษัทผู้ผลิตอุปกรณ์เกี่ยวกับการมองห็นและเลนส์สายตาของญี่ปุ่น ได้รับผลกระทบจากการโจมตีทางไซเบอร์เมื่อปลายเดือนกุมภาพันธ์ที่ผ่านมา ทำให้ต้องหยุดการผลิตบางส่วนในประเทศไทยเป็นเวลาสามวัน

ทางบริษัทเปิดเผยว่าเครื่องคอมพิวเตอร์ประมาณ 100 เครื่องของบริษัทติดมัลแวร์ที่ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้จากเครื่องที่มีช่องโหว่และทำการฝังมัลแวร์ขุดสกุลเงินดิจิตอล จากรายงานระบุว่าทางบริษัทสามารถหยุดยั้งกระบวนการทำงานของมัลแวร์ขุดสกุลเงินดิจิตอลได้ หลังจากสังเกตพบพฤติกรรมการพยายามขโมยข้อมูลสำคัญ (credential) ของมัลแวร์ในระบบเครือข่าย

ไม่ใช่เพียงแค่ระบบคอมพิวเตอร์ของโรงงานในประเทศไทยที่ตกเป็นเหยื่อเท่านั้น แต่มีการตรวจพบว่าระบบคอมพิวเตอร์ในสำนักงานใหญ่ของญี่ปุ่นก็ได้รับผลกระทบเช่นกัน ซึ่งถือว่าการโจมตีในครั้งนี้มีผลกระทบต่อการดำเนินธุรกิจเป็นอย่างมาก ส่งผลให้เกิดความล่าช้าในการผลิต แต่ไม่พบการรั่วไหลของข้อมูลของบริษัท

ที่มา : bleepingcomputer

DarkHydrus Relies on Open-Source Tools for Phishing Attacks

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer