อีเมลล์ข้อเสนองานปลอมของ CrowdStrike มุ่งเป้าไปที่นักพัฒนาด้วยมัลแวร์ขุดคริปโตฯ

CrowdStrike แจ้งเตือนแคมเปญฟิชชิงอีเมลเสนองานปลอมแอบอ้างเป็นบริษัท เพื่อหลอกเป้าหมายให้ติดมัลแวร์ติดมัลแวร์ขุดเหรียญคริปโตฯ Monero (XMRig)

CrowdStrike พบแคมเปญฟิชชิงดังกล่าวเมื่อวันที่ 7 มกราคม 2025 โดยอ้างอิงจากเนื้อหาในอีเมลฟิชชิง คาดว่าแคมเปญนี้อาจเริ่มต้นได้ไม่นานก่อนหน้านี้

การโจมตีเริ่มต้นจากอีเมลฟิชชิงที่ส่งไปยังผู้หางาน โดยแอบอ้างว่าเป็นตัวแทนฝ่ายจัดหางานของ CrowdStrike พร้อมขอบคุณผู้สมัครงานในตำแหน่งนักพัฒนาซอฟต์แวร์ของบริษัท

อีเมลดังกล่าวจะหลอกให้กลุ่มเป้าหมายดาวน์โหลดสิ่งที่อ้างว่าเป็น "แอปพลิเคชัน CRM สำหรับพนักงาน" จากเว็บไซต์ที่ออกแบบให้ดูเหมือนเป็นพอร์ทัลของ CrowdStrike จริง ๆ

โดยอ้างว่าเป็นส่วนหนึ่งของความพยายามของบริษัทในการปรับปรุงกระบวนการรับพนักงานใหม่ให้มีประสิทธิภาพมากขึ้นผ่านการเปิดตัวแอปพลิเคชัน CRM สำหรับผู้สมัครใหม่

ผู้สมัครที่คลิกลิงก์ในอีเมลจะถูกนำไปยังเว็บไซต์ชื่อ ("cscrm-hiring[.]com") ซึ่งมีลิงก์สำหรับดาวน์โหลดแอปพลิเคชันดังกล่าวสำหรับ Windows หรือ macOS

เครื่องมือที่ถูกดาวน์โหลดมาจะทำการตรวจสอบการทำงานของ sandbox ก่อนที่จะดาวน์โหลด payload เพิ่มเติมมาใช้งาน เพื่อให้แน่ใจว่ามันไม่ได้ทำงานอยู่ในสภาพแวดล้อมที่ใช้สำหรับการวิเคราะห์ เช่น การตรวจสอบ process number, จำนวน CPU core และการทำงานของ debugger

เมื่อการตรวจสอบเสร็จสิ้นแล้ว และไม่พบการทำงานบ sandbox แอปพลิเคชันจะสร้างข้อความแสดงข้อผิดพลาดปลอมเพื่อแจ้งให้ทราบว่าไฟล์ติดตั้งอาจเสียหาย

ในเบื้องหลัง downloader จะดึงไฟล์ configuration ที่มีพารามิเตอร์ที่จำเป็นสำหรับการรัน XMRig

จากนั้นมันจะดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรมขุดเหรียญคริปโตฯ จาก GitHub repository และทำการแตกไฟล์ไปยังโฟลเดอร์ '%TEMP%\System.

MoneyGram ยืนยันไม่พบหลักฐานว่าถูกโจมตีด้วยแรนซัมแวร์ จากเหตุการณ์การโจมตีทางไซเบอร์เมื่อเร็ว ๆ นี้

แพลตฟอร์มการชำระเงิน MoneyGram ระบุว่าไม่มีหลักฐานใดที่แสดงให้เห็นว่าการโจมตีทางไซเบอร์เมื่อเร็ว ๆ นี้ ซึ่งทำให้ระบบหยุดให้บริการเป็นเวลา 5 วันในเดือนกันยายนมีความเกี่ยวข้องกับแรนซัมแวร์ (more…)

CrowdStrike เปลี่ยนแปลงระบบอัปเดตซอฟต์แวร์หลังจากเกิดเหตุการณ์ครั้งล่าสุด

ผู้บริหารระดับสูงของ CrowdStrike แสดงตัวต่อรัฐสภาในวันที่ 22 กันยายน 2024 เพื่อหารือเกี่ยวกับปัญหา service outage ครั้งใหญ่ของบริษัทในเดือนกรกฎาคมที่ผ่านมา และขั้นตอนที่ดำเนินการตั้งแต่นั้นเป็นต้นมา (more…)

หน่วยงานในเวียดนามตกเป็นเป้าหมายการจารกรรมทางไซเบอร์ของกลุ่ม Mustang Panda ที่เชื่อมโยงกับประเทศจีน

ในเดือนเมษายน 2017 นักวิจัยจาก CrowdStrike Falcon Intelligence รายงานถึงกลุ่มแฮ็กเกอร์ที่ไม่เคยถูกพบมาก่อน ซึ่งกำลังโจมตีกลุ่มผู้เชี่ยวชาญในสายงานต่าง ๆ ในสหรัฐฯ ที่มีความสัมพันธ์กับจีน การสืบสวนเพิ่มเติมทำให้พบแคมเปญการโจมตีที่ใหญ่กว่านั้น โดยแสดงให้เห็นถึงเทคนิคการโจมตีที่โดดเด่น ซึ่งกลุ่มดังกล่าวเป็นที่รู้จักจากการโจมตีองค์กรภาค NGOs อย่างกว้างขวาง

Mustang Panda เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีฐานอยู่ในประเทศจีน ถูกพบครั้งแรกในปี 2017 แต่มีแนวโน้มว่าได้ปฏิบัติการมาตั้งแต่ปี 2014 โดยกลุ่มนี้ได้ทำการโจมตีหน่วยงานที่หลากหลาย เช่น องค์กรรัฐบาล, องค์กรไม่แสวงผลกำไร, สถาบันศาสนา และองค์กรนอกภาครัฐอื่น ๆ ในสหรัฐอเมริกา, ยุโรป, มองโกเลีย, เมียนมา, ปากีสถาน, เวียดนาม และภูมิภาคอื่น ๆ

ในแคมเปญที่ดำเนินการในเดือนพฤษภาคม 2024 กลุ่ม Mastang Panda ได้โจมตีหน่วยงานในประเทศเวียดนามโดยใช้เอกสารที่เกี่ยวกับ tax compliance โดยเมื่อสังเกตจากโครงสร้างพื้นฐานที่ใช้ในแคมเปญเดือนพฤษภาคม 2024 นักวิจัยได้ระบุแคมเปญอีกหนึ่งแคมเปญของเดือนเมษายน 2024 ซึ่งเป็นการโจมตีหน่วยงานด้านการศึกษา

ในทั้งสองแคมเปญ การติดมัลแวร์เริ่มต้นจากอีเมลสแปมที่มีไฟล์แนบ ซึ่งไฟล์แนบจะประกอบไปด้วยไฟล์ ZIP และ RAR ที่มีไฟล์ Windows shortcut (LNK) ที่เป็นอันตราย เพื่อเรียกใช้งานไฟล์ PowerShell, Mshta และ batch (bat) หลายไฟล์ ผลลัพธ์สุดท้ายคือไฟล์โหลด DLL ที่เป็นอันตราย ซึ่งจะทำการรัน shellcode ซึ่งสามารถดาวน์โหลด และรันไฟล์ที่อันตรายอื่น ๆ ลงในระบบได้เพิ่มเติม

รายละเอียดทางเทคนิค

CRIL พบหนึ่งแคมเปญในเดือนพฤษภาคม 2024 ที่ใช้ไฟล์ LNK ที่อันตรายชื่อ “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.

การโจมตีจากช่องโหว่การยกระดับสิทธิ์มากกว่า 50% มากจาก Insider Threat

การโจมตีจากช่องโหว่การยกระดับสิทธิ์มากกว่า 50% มากจาก Insider Threat

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) เป็นช่องโหว่ที่พบบ่อยที่สุด ที่บุคคลภายในองค์กรใช้เพื่อให้สามารถเข้าใช้งานบนเครือข่ายที่ไม่ได้รับอนุญาต ไม่ว่าจะเพื่อจุดประสงค์ที่เป็นอันตราย หรือโดยการดาวน์โหลดเครื่องมือที่มีความเสี่ยงในลักษณะที่เป็นอันตราย
(more…)

Terminator เครื่องมือใหม่ของแฮ็กเกอร์ที่อ้างว่าหยุดการทำงานของ EDR ได้

เครื่องมือของแฮ็กเกอร์ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการโปรโมตโดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมแฮ็กเกอร์ของรัสเซีย โดยเครื่องมือนี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้ อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น

รายละเอียดของ Terminator

ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender

Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'
Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ

โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร

เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ
เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้เครื่องมือ
เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้

ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยเครื่องมือสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal

อย่างไรก็ตาม Florian Roth หัวหน้าฝ่ายวิจัยที่ Nextron Systems และ Nasreddine Bencherchali นักวิจัยด้านความเสี่ยง ได้แชร์ YARA กับ Sigma rules ที่ช่วยให้ผู้ใช้งานสามารถตรวจจับไดรเวอร์ที่มีช่องโหว่ที่ถูกใช้งานโดยเครื่องมือ Terminator ได้แบบล่วงหน้า และลดความเสี่ยงจากไดรเวอร์ที่มีช่องโหว่ที่อยู่ในระบบได้

อ้างอิง : https://cyware.

พบการโจมตีแบบ Cryptojacking รูปแบบใหม่ มุ่งเป้าไปที่ Kubernetes Clusters เพื่อขุดเหรียญ Dero

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency สำหรับเหรียญ Dero เป็นครั้งแรกตั้งแต่เดือนกุมภาพันธ์ 2023

CrowdStrike รายงานว่า "การดำเนินการ Cryptojacking ของเหรียญ Dero นี้มุ้งเน้นไปที่การค้นหา Kubernetes clusters ที่มีการเปิดใช้งานแบบไม่ระบุตัวตน ที่เปิดใช้งานบน Kubernetes API และเปิดใช้งานพอร์ตที่ไม่ได้มาตรฐานที่สามารถเข้าถึงได้จากอินเทอร์เน็ต"

การพัฒนานี้เป็นการเปลี่ยนแปลงที่สำคัญจาก Monero ซึ่งเป็นสกุลเงินดิจิทัลที่พบบ่อยในแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency มีความเป็นไปได้ว่าสาเหตุเนื่องมาจาก Dero มีผลตอบแทนที่สูง และมีฟีเจอร์ที่ไม่ระบุตัวตนที่เหมือนกัน หรือดีกว่า Monero

การโจมตีนี้มาจากผู้ไม่หวังดีที่มีแรงจูงใจทางด้านการเงิน โดยการโจมตีจะเริ่มต้นด้วยการสแกนหา Kubernetes clusters ที่ตั้งค่าการตรวจสอบสิทธิ์เป็น '--anonymous-auth=true' ซึ่งอนุญาตให้ส่งคำขอแบบไม่ระบุตัวตนไปยังเซิร์ฟเวอร์ เพื่อฝัง payloads ที่เป็นอันตราย โดยมีต้นทางเป็น IP Address จาก 3 แห่งในสหรัฐฯ

การโจมตีนี้รวมถึงการติดตั้ง Kubernetes DaemonSet ชื่อ 'proxy-api' ซึ่งจะถูกใช้ในการฝัง pod ที่เป็นโปรแกรมควบคุมทุก ๆ Node ของ Kubernetes cluster เพื่อเริ่มต้นการขุดเหรียญ cryptocurrency

เพื่อให้เกิดผลเช่นนั้น ไฟล์ YAML ของ DaemonSet จะถูกสั่งให้รัน Docker image ที่มีไฟล์ไบนารีชื่อ 'pause' ซึ่งเป็นโปรแกรมสำหรับขุดเหรียญ Dero

ในการติดตั้ง Kubernetes ที่ถูกต้อง 'pause' containers จะถูกใช้โดย Kubernetes เพื่อทำการบูต pod โดยทางบริษัทระบุว่า "ผู้ไม่หวังดีอาจจะใช้ชื่อนี้เพื่อแฝงตัวเข้ากับระบบ และหลีกเลี่ยงการตรวจจับ

CrowdStrike ระบุว่าตรวจพบการโจมตีที่เหมือนกันนี้ในการขุดเหรียญ Morero ด้วยการโจมตี Kubernetes clusters โดยพยายามลบ "proxy-api" DaemonSet ที่เกี่ยวข้องกับการโจมตีเพื่อขุดเหรียญ Dero

โดยเป็นสัญญาณให้เห็นถึงการโจมตีเพื่อแย่งชิงระหว่างกลุ่มที่มีเจตนาสำหรับการ Cryptojacking ซึ่งแข่งขันกันเพื่อใช้ทรัพยากรบนคลาวด์ในการเข้าควบคุมเครื่อง และใช้ทรัพยากรของเครื่องทั้งหมด

นักวิจัยจาก CrowdStrike คาดว่า "ทั้ง 2 แคมเปญ พยายามค้นหาเพื่อโจมตี Kubernetes ที่ยังไม่ถูกโจมตี และกำลังแข่งขันกัน"

 

ที่มา : thehackernews

 

ทีมงาน I-SECURE ขอประมวลเหตุการณ์ช่องโหว่ ที่จัดอยู่ในระดับความรุนแรงสูงมาก พร้อมผลทดสอบการป้องกันการโจมตี ของ Log4j หรืออีกชื่อหนึ่ง Log4Shell โดยมีหมายเลขช่องโหว่เป็น CVE-2021-44228 ที่ผ่านมาตลอด 1 สัปดาห์

เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.

เพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัย ช่องโหว่ Log4shell ด้วย Custom IOA จาก CrowdStrike

จากเหตุการณ์การเกิดช่องโหว่ CVE2011-42288 Log4shell การป้องกันช่องโหว่ด้วยวีธี Update/Patch เป็นการแก้ไขปัญหาที่ดีที่สุด แต่ถ้ายังไม่สามารถทำได้ในทันทีล่ะ
.
ทางทีม MDR มีอีกวิธีที่จะมาช่วยเพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัยหรืออาจจะเข้าข่ายการโจมตีด้วยช่องโหว่ Log4shell ด้วยการทำเงื่อนไขการตรวจจับแบบปรับแต่งเอง หรือ Custom IOA จาก CrowdStrike (Require Falcon Insight Module)
.
โดยหากเราลองใช้สมมติฐานที่ว่า……
การโจมตีด้วยช่องโหว่ Log4shell คือการโจมตี Package Log4j ที่ทำงานบนภาษา Java หรือพูดง่ายๆ คือสามารถสั่งให้ Process Java บนเครื่องของเรา ให้ Run process หรือ คำสั่งใดๆ ก็ได้ (อาจจะด้วยการ JNDI Injection)
.
เราสามารถตั้งเงื่อนไข Custom IOA ได้ว่า ถ้า Process Java มีการเรียกใช้งานหรือไปสร้าง Child Process ต่างๆ เช่น sh , bash , dash , curl , python เป็นต้น และให้ CrowdStrike ทำการ Detect และแจ้งผู้ดูแลระบบเพื่อให้ผู้ดูแลระบบสามารถเข้าตรวจสอบพฤติกรรมดังกล่าวได้อย่างทันท่วงที
.
ซึ่งเป็นการเพิ่ม Visibility ให้แก่ผู้ดูแลระบบเพื่อรับมือการอาจจะถูกโจมตีช่องโหว่ Log4shell ได้ไม่มากก็น้อยเพื่อเป็นตัวช่วยคุณอย่างนึง ในระหว่างรอการ Update/Patch อยู่นั้นเอง
แต่หากคุณเจอ False Positive อย่าเพิ่งตกใจไปนะ เราสามารถทำการ Fine-Tune Customer IOA ของเรา โดยเพิ่ม Exclusion ให้กับ Child Process ที่เป็นการใช้งานปกติได้เพิ่มเติมภายหลังได้

ตัวอย่างการทำ Generic Custom IOA บน Linux environment

 

 

 

 

 

 

 

 

 

ตัวอย่าง Detection เมื่อพบเหตุการณ์ที่ตรงกับเงื่อนไข Custom IOA

 

 

 

 

 

 

พบ Java มีการเรียกใช้ Dash และ Curl

ทั้งนี้เพื่อให้การ Custom IOA เหมาะกับองค์กรของคุณและสามารถ Detect พฤติกรรมที่น่าสงสัยได้อย่างเต็มประสิทธิภาพ สามารถติดต่อไปยังทีมงานผู้เชี่ยวชาญของ I-SECURE กันได้นะคะ
Facebook Page : @isecure.

U.S. Declares Emergency in 17 States Over Fuel Pipeline Cyber Attack

สหรัฐออกกฎหมายฉุกเฉินหลัง Colonial Pipeline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกรายใหญ่ของสหรัฐฯ ออกประกาศว่าถูกโจมตีระบบเครือข่ายด้วย DarkSide Ransomware ส่งผลกระทบต่อการจัดหา น้ำมันเบนซิน, ดีเซล, น้ำมันเครื่องบินและผลิตภัณฑ์ปิโตรเลียมกลั่นอื่น ๆ และต้องทำการปิดท่อส่งเชื้อเพลิง 5,500 ไมล์จากเมืองฮุสตันของเท็กซัสไปยังท่าเรือนิวยอร์ก

Colonial Pipeline เป็นบริษัทที่ทำการขนส่งน้ำมันเชื้อเพลิงปริมาณ 2.5 ล้านบาร์เรลต่อวันหรือคิดเป็น 45% ของปริมาณการใช้น้ำมันดีเซล น้ำมันเบนซินและเชื้อเพลิงอากาศยานในฝั่งตะวันออกของสหรัฐฯ การโจมตีทำให้กลุ่มแฮกเกอร์ได้ข้อมูลภายในของบริษัทเกือบ 100 กิกะไบต์ และทำการเข้ารหัสคอมพิวเตอร์และเซิร์ฟเวอร์บางส่วนเพื่อเรียกค่าไถ่ ซึ่งหากบริษัทไม่ยอมจ่ายเงิน ก็จะทำการปล่อยข้อมูลดังกล่าวสู่สาธารณะ

จากรายงานของ Crowdstrike คาดว่า DarkSide เป็นฝีมือแฮกเกอร์ที่เรียกว่า Carbon Spider (aka Anunak, Carbanak หรือ FIN7) ซึ่งผู้จัดการระดับสูงและผู้ดูแลระบบเพิ่งถูกตัดสินจำคุกในสหรัฐฯเป็นเวลา 10 ปี และจากการตรวจสอบบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ชื่อว่า DarkSide's data leak ยังพบการเผยแพร่ข้อมูลของธุรกิจน้ำมันและก๊าซอื่นๆ เช่น Forbes Energy Services และ Gyrodata
ปัจจุบันบริษัทและหน่วยงานที่เกี่ยวข้องกำลังเร่งกู้คืนระบบ และพยายามทำให้ระบบบางส่วนกลับมาให้บริการได้อย่างเต็มรูปแบบอีกครั้ง

ที่มา : thehackernews