นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

กลุ่มเเฮกเกอร์ CryptoCore ทำการขโมยเงิน $200M จากระบบเเลกเปลื่ยนเงิน Cryptocurrency ออนไลน์

ผู้เชี่ยวชาญจาก ClearSky ระบุว่ากลุ่มแฮกเกอร์ CryptoCore ทำการขโมยเงินจำนวน 200 ล้านดอลลาร์จากการโจมตีระบบการแลกเปลี่ยน cryptocurrency ออนไลน์

ผู้เชี่ยวชาญจาก ClearSky กล่าวว่ากลุ่ม CryptoCore หรือที่รู้จักกันในนาม ”Crypto-gang“, “Dangerous Password” และ “Leery Turtle” นั้นเป็นกลุ่มที่มีเป้าหมายในการโจมตีกลุ่มบริษัทที่รับทำการแลกเปลี่ยน cryptocurrency หลังจากทำการโจมตีกลุ่ม CryptoCore จะทำการเพื่อให้เข้าถึง wallet และทำการขโมยเงินออกไป โดยคาดว่ามียอดเงินจากการทำการโจมตีและขโมยเป็นจำนวนเงินมากกว่า 200 ล้านดอลลาร์

ผู้เชี่ยวชาญยังกล่าวอีกว่ากลุ่ม CryptoCore นั้นใช้มักใช้ช่องทางฟิชชิ่งในการโจมตี โดยทำการปลอมตัวเป็นพนักงานที่มีตำเเหน่งสูงหรือผู้บริหารองค์กรที่มีการเชื่อมต่อกับพนักงานเป้าหมาย จากนั้นทำการส่งอีเมลฟิชชิ่งโดยการพยายามหลอกล่อเหยื่อให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ของตน ซึ่งจะสามารถทำให้ผู้โจมตีทำการขโมยหรือเข้าถึงบัญชีและรหัสผ่านของเหยื่อ จากนั้นโจมตีจะใช้รหัสผ่านที่ถูกขโมยเพื่อเข้าถึงบัญชี wallet ของเหยื่อทำการปิดการตรวจสอบหลายปัจจัยและเริ่มโอนเงินออกจาก wallet

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการเปิดอ่านหรือทำการดาวน์โหลดไฟล์ที่เเนบมากับอีเมล เพื่อป้องกันผู้ไม่ประสงค์ดีทำการขโมยบัญชีและรหัสผ่านของผู้ใช้

ที่มา: securityaffairs

แฮกเกอร์ข่มขู่จะโจมตีธนาคารในออสเตรเลียด้วย DDOS หากไม่จ่ายค่าไถ่
แฮกเกอร์ได้ทำการส่งอีเมลไปยังธนาคารในออสเตรเลียเพื่อเรียกค่าไถ่จำนวนมากใน Monero เเละจะทำการโจมตีด้วย DDoS หากไม่ได้ในสิ่งที่พวกเขาต้องการ ธนาคารและองค์กรอื่นๆ จากภาคการเงินของออสเตรเลียตกเป็นเป้าหมายของการขู่กรรโชกมากมายในช่วงสัปดาห์ที่ผ่านมา กลุ่มผู้คุกคามได้ส่งอีเมลถึงผู้ที่ตกเป็นเหยื่อของภัยคุกคามว่าจะโจมตีแบบ distributed denial of service (DDoS) จนกว่าองค์กรจะจ่ายค่าไถ่จำนวนมากใน cryptocurrency สกุล Monero (XMR)
ภัยคุกคามที่องค์กรออสเตรเลียได้รับในช่วงสัปดาห์ที่ผ่านมา เป็นส่วนหนึ่งของแคมเปญเรียกค่าไถ่ransom denial of service (RDoS) ซึ่งเริ่มขึ้นในเดือนตุลาคม 2562 ณ เวลานั้นความพยายามกรรโชกในครั้งแรกๆ มีธนาคารเป็นเป้าหมาย และบริษัทอื่นๆในภาคการเงิน ภัยคุกคามเหล่านี้มีความหลากหลาย และแฮกเกอร์ก็ตั้งเป้าไปที่กลุ่มอุตสาหกรรมอื่นๆด้วย
จากความต้องการเรียกค่าไถ่กับธนาคารในสิงคโปร์และแอฟริกาใต้, ภายหลังภัยคุกคามนี้ก็ได้ทำเเบบเดียวกัน กับบริษัทโทรคมนาคมในตุรกี,ผู้ให้บริการอินเทอร์เน็ตในแอฟริกาใต้ และการพนันออนไลน์ และพอร์ทัลการพนันออนไลน์ทั่วเอเชียตะวันออกเฉียงใต้ ,นี่เป็นเพียงรายชื่อเป้าหมายที่ถูกโจมตีไม่กี่ชื่อ การขู่กรรโชกยังคงดำเนินต่อไปในเดือนต่อๆ มา และแฮ็กเกอร์ขยายการดำเนินงานอย่างเป็นระบบ เพื่อกำหนดเป้าหมายหลายสิบประเทศจากทุกทวีปทั่วโลก
กลุ่มผู้อยู่เบื้องหลังการโจมตีนี้ มีการเปลี่ยนชื่อตามที่พวกเขาได้ลงนามไว้ ในอีเมลการขู่กรรโชกอย่างสม่ำเสมอ ตอนแรกพวกเขาใช้ชื่อ Fancy Bear หลังจากนั้นพวกเขาก็เปลี่ยนไปใช้ Cozy Bear, ชื่ออื่นที่ใช้ ได้แก่ Anonymous, Carbanak และ Emotet ทั้งหมดนี้เป็นชื่อของการแฮ็คและการปฏิบัติการอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก ผู้คุกคามที่อยู่เบื้องหลังการโจมตีนี้ หวังว่าผู้ที่ตกเป็นเหยื่อจะค้นหาชื่อเหล่านี้ทางออนไลน์ หลังจากที่ได้รับภัยคุกคามทางอีเมลจากพวกเขา Google เเสดงผลลัพธ์การค้นหาหลายพันรายการสำหรับคำเหล่านี้ และแฮกเกอร์ก็หวังว่าสิ่งนี้จะช่วยสร้างความน่าเชื่อถือให้กับการคุกคามของพวกเขา และโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าไถ่
ในการเเจ้งเตือนภัยคุกคามเมื่อปีที่แล้ว Radware ผู้ให้บริการบรรเทาสาธารณภัย DDoS แนะนำผู้ที่ตกเป็นเหยื่อที่ได้รับอีเมลการขู่กรรโชก DDoS ประเภทนี้ว่าไม่ต้องจ่าย แต่ให้ติดต่อบริษัทรักษาความปลอดภัยไซเบอร์แทน
Australian Signals Directorate's Australian Cyber Security Centre (ASCS) แนะนำให้องค์กรเตรียมพร้อมสำหรับการโจมตีล่วงหน้าก่อนที่จะเกิดขึ้น เพราะเหตุการณ์เช่นนี้อาจตอบสนองได้ยากเมื่อการโจมตีเริ่มต้นขึ้น องค์กรที่เตรียมตัวดีควรจะสามารถทำงานได้อย่างมีประสิทธิภาพแม้จะมีภัยคุกคามเหล่านี้ และ DoS ใดๆก็ตาม ที่อาจเกิดขึ้น ASCS กล่าว

ที่มา : zdnet

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

Mike Bautista นักวิจัยด้านความปลอดภัยจาก Cisco Talos เผยแพร่เครื่องมือฟรีที่สามารถปลดล็อคไฟล์ที่ถูกเข้ารหัสจาก PyLocky ransomware โดยไม่ต้องเสียค่าไถ่

PyLocky Ransomware ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก Trend Micro เมื่อเดือนกรกฎาคมปีที่แล้ว โดยทำการแพร่กระจายผ่านทาง spam email เช่นเดียวกับแคมเปญมัลแวร์ส่วนใหญ่ อีกทั้งยังมีความสามารถในการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ sandbox

เมื่อเข้าถึงกระบวนการเข้ารหัสไฟล์ Ransomware ดังกล่าวจะทำการเข้ารหัสเฉพาะระบบที่มีหน่วยความจำที่มากกว่าหรือเท่ากับ 4GB เท่านั้น โดยจะแสดงข้อมูลเกี่ยวกับการเรียกค่าไถ่ที่อ้างว่าเป็นตัวแปรของ Locky ransomware ที่รู้จักกันดีซึ่งต้องการค่าไถ่ในรูปแบบ cryptocurrency เพื่อ "กู้คืน" ไฟล์ และอ้างว่าจะเพิ่มค่าไถ่เป็นสองเท่าทุก ๆ 96 ชั่วโมงหากเหยื่อไม่จ่ายเงิน เป้าหมายหลักในการโจมตีของ PyLocky คือธุรกิจในยุโรปเป็นหลัก โดยเฉพาะในฝรั่งเศส และอาจมีเป้าหมายไปที่ประเทศเกาหลีและอิตาลีอีกด้วย

เครื่องมือสำหรับถอดรหัสไฟล์สามารถใช้งานได้กับทุกคน แต่มีข้อจำกัดอย่างมากในการกู้ไฟล์คืน โดยต้องทำการจับ initial network traffic (PCAP file) ระหว่าง PyLocky ransomware และ command-and-control (C2) server โดยสามารถดาวน์โหลดเครื่องมือถอดรหัส PyLocky ransomware จาก GitHub ได้ฟรีและเปิดใช้งานบนคอมพิวเตอร์ Windows

ที่มา : thehackernews

นักวิจัย Cisco Talos และ ReversingLabs รายงานเกี่ยวกับ Adwind ซึ่งเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่เคยการโจมตีไปยังโรงงานต่างๆทั่วโลก ได้กลับมาพร้อมกับการทำงานที่หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสทำให้สามารถเจาะเข้าไปยังระบบได้สำเร็จ Adwind สามารถรวบรวมข้อมูล PC, keystrokes, ข้อมูล credentials, ข้อมูลเสียงภาพหรือวีดีโอ และยังสามารถที่จะขโมยคีย์ที่ใช้ในการเข้าถึง cryptocurrency wallets ที่ติดไวรัสได้
Adwind จะติดตั้งจาก payload ใน phishing อีเมลที่สร้างขึ้นประกอบด้วยไฟล์ JAR ที่เป็นอันตรายซึ่งเมื่อรันแล้วจะเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) ของ Adwind เพื่อดาวน์โหลด payloads อื่นๆ และถ่ายโอนข้อมูลที่ขโมยมาได้ มีการเชื่อมโยง Adwind เข้ากับการโจมตี 400,000 ครั้งในธุรกิจในด้านการเงิน การผลิต การขนส่งสินค้าและอุตสาหกรรมโทรคมนาคม ประเทศที่มีการตรวจพบเจอได้แก่ Turkey, the US, India, Vietnam, และ Hong Kong
เมื่อเดือนสิงหาที่ผ่านมา มีการค้นพบการแพร่กระจาย Adwind 3.0 ครั้งใหม่ที่มุ่งเน้นไปที่เครื่อง Windows, Linux, Mac โดยเฉพาะเครื่องของผู้ที่ตกเป็นเหยื่อในตรุกีและเยอรมัน สิ่งที่น่าสนใจสำหรับการแพร่กรจายครั้งใหม่นี้คือการรวมการโจมตีเข้ากับการแลกเปลี่ยนข้อมูลแบบไดนามิก (DDE) ซึ่งมีเป้าหมายเพื่อทำให้เกิดความเสียหายกับ Microsoft Excel และหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน signature การแพร่กระจายครั้งนี้จะส่งข้อความ phishing อีเมลที่เป็นอันตรายซึ่งมีไฟล์. CSV หรือ. XLS ซึ่งทั้งสองไฟล์นี้ถูกเปิดโดย Excel เป็นค่าเริ่มต้น
Cisco Talos กล่าวว่าเทคนิคใหม่นี้ได้ถูกเพื่อ obfuscation โดยจุดเริ่มต้นของไฟล์อันตรายนี้ไม่มีส่วนของ Header ของไฟล์ให้ตรวจสอบซึ่งอาจทำให้ซอฟต์แวร์ป้องกันไวรัสสับสนได้ เพราะซอฟต์แวร์ป้องกันไวรัสคาดว่าจะเจออักขระ ASCII ที่บอกว่าไฟล์นี้เป็นไฟล์ CSV เมื่อไม่พบอักขระดังกล่าว โปรแกรมจะมองว่าไฟล์มีความเสียหายแต่ยังสามารถเปิดใช้งานบน Excel ได้
อย่างไรก็ตามเทคนิคนี้สามารถถูกตรวจจับได้ด้วย อุปกรณ์ sandbox และซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน behavior

ที่มา: zdnet

 

นักวิจัยค้นพบโทรจันที่สามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware

นักวิจัยค้นพบโทรจันที่สามารถสามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware โดยมีการพัฒนามาจาก Trojan-Ransom.

กลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group อาจเป็นผู้อยู่เบื้องหลังการโจมตีตลาดแลกเปลี่ยน Cryptocurrency สัญชาติเกาหลีใต้ "Bithumb"

บริษัทด้านความปลอดภัย AlienVault เปิดเผยรายงานการวิเคราะห์ไฟล์เอกสารซึ่งเชื่อกันว่าเป็นไฟล์เอกสารที่ถูกใช้ในการโจมตีเว็บไซต์ตลาดแลกเปลี่ยน Cryptocurrency สัญชาติเกาหลีใต้ "Bithumb" ส่งผลให้มีเงินสูญหายกว่า 30 ล้านดอลลาร์สหรัฐฯ

ไฟล์เอกสารนี้เป็นไฟล์เอกสารที่ถูกจัดทำโดยโปรแกรม Hangul Word Processor ซึ่งเป็นโปรแกรมแก้ไขเอกสารจากเกาหลีใต้ ไฟล์เอกสารถูกระบุชื่อแตกต่างกันออกไป อาทิ "국제금융체제 실무그룹 회의결과.hwp หรือ Results of the international financial system working group meeting, "금융안정 컨퍼런스 개최결과.hwp หรือ 금융안정 컨퍼런스 개최결과.hwp" เมื่อไฟล์เอกสารถูกเปิดออก มัลแวร์ Manuscrypt จะถูกดาวโหลดมาติดตั้งในระบบ

อ้างอิงจากรายงานข่าวของสำนักข่าว KBS ซึ่งรายงานรายละเอียดตรงกันว่าการโจมตี Bithumb นั้นมีจุดเริ่มต้นในลักษณะที่คล้ายกันคือการได้รับไฟล์เอกสาร HWP ก่อนที่การโจมตีจะเกิดขึ้นและพบตัวอย่างมัลแวร์ที่ลักษณะคล้ายคลึงกันอีกด้วย

ที่มา: darkreading

เว็บไซต์สำหรับแลกเปลี่ยน cryptocurrency จากเกาหลีใต้ "Bithumb" ถูกแฮกเป็นครั้งที่สองในรอบปี โดยในครั้งนี้นั้นผู้โจมตีประสบความสำเร็จที่จะขโมยเงินกว่า 31.6 ล้านดอลลาร์สหรัฐฯ ออกจากระบบ

ในขณะนี้ Bithumb ยังไม่ได้มีประกาศอย่างเป็นทางการว่าการโจมตีนั้นเกิดขึ้นได้อย่างไร ผู้โจมตีมีวิธีการนำเงินออกจากระบบได้อย่างไรและมีสกุลเงินใดที่ได้รับผลกระทบบ้าง อย่างไรก็ตามมีผู้ใช้งานหลายรายที่ค้นพบว่าเงินในสกุล Ripple ของตัวเองนั้นหายไป

อย่างไรก็ตามอ้างอิงจากประกาศอย่างเป็นทางการของ Bithumb ทางเว็บไซต์ได้ทำการโยกข้อมูลทั้งหมดไปไว้ใน cold wallet แล้ว และจะทำการตรวจสอบและแก้ไขช่องโหว่ในระบบก่อนที่จะดำเนินการ refund เงินที่ถูกขโมยไปให้กับผู้ใช้งาน

ที่มา : cyberscoop

พบมัลแวร์แพร่กระจายผ่าน Facebook Messenger อีกครั้ง แต่ความสามารถเพิ่มขึ้น !!!

มัลแวร์ตัวนี้ถูกเรียกว่า "FacexWorm" คาดว่าน่าจะเป็นตัวเดียวกับมัลแวร์ที่เคยระบาดบน Facebook Messenger เมื่อเดือนสิงหาคมปีที่แล้ว เหยื่อจะพบว่ามี Link ถูกส่งมาทาง Facebook Messenger ซึ่งผู้ส่งอาจจะเป็นเพื่อนที่ติดมัลแวร์ตัวนี้แล้ว เมื่อกด link ดังกล่าว จะทำการเปิดหน้า YouTube ปลอมขึ้นมา หากใช้ Google Chrome จะมีการแจ้งให้ผู้ใช้ติดตั้ง extension ที่มีชื่อว่า "Koblo"(ชื่ออาจจะถูกเปลี่ยนได้ในอนาคต)

ความสามารถของมัลแวร์ตัวนี้คือ สามารถขโมย credentials บน website ที่มีการใช้งาน, สามารถขโมยเงินดิจิตอล(cryptocurrency) เมื่อมีการเข้าไปทำธุรกรรมต่างๆ(Trading) และสุดท้ายคือสามารถใช้เครื่องผู้ใช้งานในการขุดสกุลเงินดิจิตอล นอกจากนี้ยังสามารถใช้บัญชีผู้ใช้ของเหยื่อในการโจมตีผู้อื่นต่อไปได้อีกด้วย

วิธีป้องกันตนเอง
- ไม่กดเข้า link ใดๆก็ตามที่ไม่น่าเชื่อถือ แม้มาจากคนรู้จักก็ตาม
- หากพบว่าถูกส่งมาจากคนรู้จัก ควรแจ้งเจ้าของบัญชีนั้นๆ
- ไม่ติดตั้ง extension ใดๆก็ตามที่ไม่รู้จัก

ที่มา : Komando