นักวิจัยเชื่อมโยงการโจมตี CryptoCore ในการแลกเปลี่ยน Cryptocurrency กับ เกาหลีเหนือ

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

กลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group พุ่งเป้าโจมตีกลุ่มธุรกิจป้องกันประเทศด้วยมัลแวร์พิเศษ

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

CISA ออกแจ้งเตือนภัยคุกคามยอดนิยมในรอบ 30 วันที่ผ่านมา

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

CryptoCore hacker group stole over $200M from cryptocurrency exchanges

กลุ่มเเฮกเกอร์ CryptoCore ทำการขโมยเงิน $200M จากระบบเเลกเปลื่ยนเงิน Cryptocurrency ออนไลน์

ผู้เชี่ยวชาญจาก ClearSky ระบุว่ากลุ่มแฮกเกอร์ CryptoCore ทำการขโมยเงินจำนวน 200 ล้านดอลลาร์จากการโจมตีระบบการแลกเปลี่ยน cryptocurrency ออนไลน์

ผู้เชี่ยวชาญจาก ClearSky กล่าวว่ากลุ่ม CryptoCore หรือที่รู้จักกันในนาม ”Crypto-gang“, “Dangerous Password” และ “Leery Turtle” นั้นเป็นกลุ่มที่มีเป้าหมายในการโจมตีกลุ่มบริษัทที่รับทำการแลกเปลี่ยน cryptocurrency หลังจากทำการโจมตีกลุ่ม CryptoCore จะทำการเพื่อให้เข้าถึง wallet และทำการขโมยเงินออกไป โดยคาดว่ามียอดเงินจากการทำการโจมตีและขโมยเป็นจำนวนเงินมากกว่า 200 ล้านดอลลาร์

ผู้เชี่ยวชาญยังกล่าวอีกว่ากลุ่ม CryptoCore นั้นใช้มักใช้ช่องทางฟิชชิ่งในการโจมตี โดยทำการปลอมตัวเป็นพนักงานที่มีตำเเหน่งสูงหรือผู้บริหารองค์กรที่มีการเชื่อมต่อกับพนักงานเป้าหมาย จากนั้นทำการส่งอีเมลฟิชชิ่งโดยการพยายามหลอกล่อเหยื่อให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ของตน ซึ่งจะสามารถทำให้ผู้โจมตีทำการขโมยหรือเข้าถึงบัญชีและรหัสผ่านของเหยื่อ จากนั้นโจมตีจะใช้รหัสผ่านที่ถูกขโมยเพื่อเข้าถึงบัญชี wallet ของเหยื่อทำการปิดการตรวจสอบหลายปัจจัยและเริ่มโอนเงินออกจาก wallet

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการเปิดอ่านหรือทำการดาวน์โหลดไฟล์ที่เเนบมากับอีเมล เพื่อป้องกันผู้ไม่ประสงค์ดีทำการขโมยบัญชีและรหัสผ่านของผู้ใช้

ที่มา: securityaffairs

Australian banks targeted by DDoS extortionists

แฮกเกอร์ข่มขู่จะโจมตีธนาคารในออสเตรเลียด้วย DDOS หากไม่จ่ายค่าไถ่
แฮกเกอร์ได้ทำการส่งอีเมลไปยังธนาคารในออสเตรเลียเพื่อเรียกค่าไถ่จำนวนมากใน Monero เเละจะทำการโจมตีด้วย DDoS หากไม่ได้ในสิ่งที่พวกเขาต้องการ ธนาคารและองค์กรอื่นๆ จากภาคการเงินของออสเตรเลียตกเป็นเป้าหมายของการขู่กรรโชกมากมายในช่วงสัปดาห์ที่ผ่านมา กลุ่มผู้คุกคามได้ส่งอีเมลถึงผู้ที่ตกเป็นเหยื่อของภัยคุกคามว่าจะโจมตีแบบ distributed denial of service (DDoS) จนกว่าองค์กรจะจ่ายค่าไถ่จำนวนมากใน cryptocurrency สกุล Monero (XMR)
ภัยคุกคามที่องค์กรออสเตรเลียได้รับในช่วงสัปดาห์ที่ผ่านมา เป็นส่วนหนึ่งของแคมเปญเรียกค่าไถ่ransom denial of service (RDoS) ซึ่งเริ่มขึ้นในเดือนตุลาคม 2562 ณ เวลานั้นความพยายามกรรโชกในครั้งแรกๆ มีธนาคารเป็นเป้าหมาย และบริษัทอื่นๆในภาคการเงิน ภัยคุกคามเหล่านี้มีความหลากหลาย และแฮกเกอร์ก็ตั้งเป้าไปที่กลุ่มอุตสาหกรรมอื่นๆด้วย
จากความต้องการเรียกค่าไถ่กับธนาคารในสิงคโปร์และแอฟริกาใต้, ภายหลังภัยคุกคามนี้ก็ได้ทำเเบบเดียวกัน กับบริษัทโทรคมนาคมในตุรกี,ผู้ให้บริการอินเทอร์เน็ตในแอฟริกาใต้ และการพนันออนไลน์ และพอร์ทัลการพนันออนไลน์ทั่วเอเชียตะวันออกเฉียงใต้ ,นี่เป็นเพียงรายชื่อเป้าหมายที่ถูกโจมตีไม่กี่ชื่อ การขู่กรรโชกยังคงดำเนินต่อไปในเดือนต่อๆ มา และแฮ็กเกอร์ขยายการดำเนินงานอย่างเป็นระบบ เพื่อกำหนดเป้าหมายหลายสิบประเทศจากทุกทวีปทั่วโลก
กลุ่มผู้อยู่เบื้องหลังการโจมตีนี้ มีการเปลี่ยนชื่อตามที่พวกเขาได้ลงนามไว้ ในอีเมลการขู่กรรโชกอย่างสม่ำเสมอ ตอนแรกพวกเขาใช้ชื่อ Fancy Bear หลังจากนั้นพวกเขาก็เปลี่ยนไปใช้ Cozy Bear, ชื่ออื่นที่ใช้ ได้แก่ Anonymous, Carbanak และ Emotet ทั้งหมดนี้เป็นชื่อของการแฮ็คและการปฏิบัติการอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก ผู้คุกคามที่อยู่เบื้องหลังการโจมตีนี้ หวังว่าผู้ที่ตกเป็นเหยื่อจะค้นหาชื่อเหล่านี้ทางออนไลน์ หลังจากที่ได้รับภัยคุกคามทางอีเมลจากพวกเขา Google เเสดงผลลัพธ์การค้นหาหลายพันรายการสำหรับคำเหล่านี้ และแฮกเกอร์ก็หวังว่าสิ่งนี้จะช่วยสร้างความน่าเชื่อถือให้กับการคุกคามของพวกเขา และโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าไถ่
ในการเเจ้งเตือนภัยคุกคามเมื่อปีที่แล้ว Radware ผู้ให้บริการบรรเทาสาธารณภัย DDoS แนะนำผู้ที่ตกเป็นเหยื่อที่ได้รับอีเมลการขู่กรรโชก DDoS ประเภทนี้ว่าไม่ต้องจ่าย แต่ให้ติดต่อบริษัทรักษาความปลอดภัยไซเบอร์แทน
Australian Signals Directorate's Australian Cyber Security Centre (ASCS) แนะนำให้องค์กรเตรียมพร้อมสำหรับการโจมตีล่วงหน้าก่อนที่จะเกิดขึ้น เพราะเหตุการณ์เช่นนี้อาจตอบสนองได้ยากเมื่อการโจมตีเริ่มต้นขึ้น องค์กรที่เตรียมตัวดีควรจะสามารถทำงานได้อย่างมีประสิทธิภาพแม้จะมีภัยคุกคามเหล่านี้ และ DoS ใดๆก็ตาม ที่อาจเกิดขึ้น ASCS กล่าว

ที่มา : zdnet

First Cyber Attack ‘Mass Exploiting’ BlueKeep RDP Flaw Spotted in the Wild

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

PyLocky Ransomware Decryption Tool Released — Unlock Files For Free

Mike Bautista นักวิจัยด้านความปลอดภัยจาก Cisco Talos เผยแพร่เครื่องมือฟรีที่สามารถปลดล็อคไฟล์ที่ถูกเข้ารหัสจาก PyLocky ransomware โดยไม่ต้องเสียค่าไถ่

PyLocky Ransomware ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก Trend Micro เมื่อเดือนกรกฎาคมปีที่แล้ว โดยทำการแพร่กระจายผ่านทาง spam email เช่นเดียวกับแคมเปญมัลแวร์ส่วนใหญ่ อีกทั้งยังมีความสามารถในการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ sandbox

เมื่อเข้าถึงกระบวนการเข้ารหัสไฟล์ Ransomware ดังกล่าวจะทำการเข้ารหัสเฉพาะระบบที่มีหน่วยความจำที่มากกว่าหรือเท่ากับ 4GB เท่านั้น โดยจะแสดงข้อมูลเกี่ยวกับการเรียกค่าไถ่ที่อ้างว่าเป็นตัวแปรของ Locky ransomware ที่รู้จักกันดีซึ่งต้องการค่าไถ่ในรูปแบบ cryptocurrency เพื่อ "กู้คืน" ไฟล์ และอ้างว่าจะเพิ่มค่าไถ่เป็นสองเท่าทุก ๆ 96 ชั่วโมงหากเหยื่อไม่จ่ายเงิน เป้าหมายหลักในการโจมตีของ PyLocky คือธุรกิจในยุโรปเป็นหลัก โดยเฉพาะในฝรั่งเศส และอาจมีเป้าหมายไปที่ประเทศเกาหลีและอิตาลีอีกด้วย

เครื่องมือสำหรับถอดรหัสไฟล์สามารถใช้งานได้กับทุกคน แต่มีข้อจำกัดอย่างมากในการกู้ไฟล์คืน โดยต้องทำการจับ initial network traffic (PCAP file) ระหว่าง PyLocky ransomware และ command-and-control (C2) server โดยสามารถดาวน์โหลดเครื่องมือถอดรหัส PyLocky ransomware จาก GitHub ได้ฟรีและเปิดใช้งานบนคอมพิวเตอร์ Windows

ที่มา : thehackernews

Adwind Trojan circumvents antivirus software to infect your PC

นักวิจัย Cisco Talos และ ReversingLabs รายงานเกี่ยวกับ Adwind ซึ่งเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่เคยการโจมตีไปยังโรงงานต่างๆทั่วโลก ได้กลับมาพร้อมกับการทำงานที่หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสทำให้สามารถเจาะเข้าไปยังระบบได้สำเร็จ Adwind สามารถรวบรวมข้อมูล PC, keystrokes, ข้อมูล credentials, ข้อมูลเสียงภาพหรือวีดีโอ และยังสามารถที่จะขโมยคีย์ที่ใช้ในการเข้าถึง cryptocurrency wallets ที่ติดไวรัสได้
Adwind จะติดตั้งจาก payload ใน phishing อีเมลที่สร้างขึ้นประกอบด้วยไฟล์ JAR ที่เป็นอันตรายซึ่งเมื่อรันแล้วจะเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) ของ Adwind เพื่อดาวน์โหลด payloads อื่นๆ และถ่ายโอนข้อมูลที่ขโมยมาได้ มีการเชื่อมโยง Adwind เข้ากับการโจมตี 400,000 ครั้งในธุรกิจในด้านการเงิน การผลิต การขนส่งสินค้าและอุตสาหกรรมโทรคมนาคม ประเทศที่มีการตรวจพบเจอได้แก่ Turkey, the US, India, Vietnam, และ Hong Kong
เมื่อเดือนสิงหาที่ผ่านมา มีการค้นพบการแพร่กระจาย Adwind 3.0 ครั้งใหม่ที่มุ่งเน้นไปที่เครื่อง Windows, Linux, Mac โดยเฉพาะเครื่องของผู้ที่ตกเป็นเหยื่อในตรุกีและเยอรมัน สิ่งที่น่าสนใจสำหรับการแพร่กรจายครั้งใหม่นี้คือการรวมการโจมตีเข้ากับการแลกเปลี่ยนข้อมูลแบบไดนามิก (DDE) ซึ่งมีเป้าหมายเพื่อทำให้เกิดความเสียหายกับ Microsoft Excel และหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน signature การแพร่กระจายครั้งนี้จะส่งข้อความ phishing อีเมลที่เป็นอันตรายซึ่งมีไฟล์. CSV หรือ. XLS ซึ่งทั้งสองไฟล์นี้ถูกเปิดโดย Excel เป็นค่าเริ่มต้น
Cisco Talos กล่าวว่าเทคนิคใหม่นี้ได้ถูกเพื่อ obfuscation โดยจุดเริ่มต้นของไฟล์อันตรายนี้ไม่มีส่วนของ Header ของไฟล์ให้ตรวจสอบซึ่งอาจทำให้ซอฟต์แวร์ป้องกันไวรัสสับสนได้ เพราะซอฟต์แวร์ป้องกันไวรัสคาดว่าจะเจออักขระ ASCII ที่บอกว่าไฟล์นี้เป็นไฟล์ CSV เมื่อไม่พบอักขระดังกล่าว โปรแกรมจะมองว่าไฟล์มีความเสียหายแต่ยังสามารถเปิดใช้งานบน Excel ได้
อย่างไรก็ตามเทคนิคนี้สามารถถูกตรวจจับได้ด้วย อุปกรณ์ sandbox และซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน behavior

ที่มา: zdnet

 

New Virus Decides If Your Computer Good for Mining or Ransomware

นักวิจัยค้นพบโทรจันที่สามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware

นักวิจัยค้นพบโทรจันที่สามารถสามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware โดยมีการพัฒนามาจาก Trojan-Ransom.