นักวิจัยจาก Jamf Threat Labs บริษัทวิจัยด้านความปลอดภัย ค้นพบซอฟต์แวร์ Final Cut Pro ที่ถูกฝัง cryptomining malware โดยมุ่งเป้าหมายไปที่กลุ่มผู้ใช้งาน MacOS เพื่อเรียกใช้งาน XMRig utility ในการขุด Monero cryptocurrency โดยปัจจุบันส่วนใหญ่ยังไม่ถูกตรวจจับได้จากอุปกรณ์ป้องกันด้านความปลอดภัย

การค้นพบ macOS malware

หลังจากที่นักวิจัยได้ค้นพบมัลแวร์ดังกล่าวแล้ว จึงได้ทำการตรวจสอบ และพบว่า macOS malware ดังกล่าวนั้นมาจาก torrents ที่เป็นอันตรายที่ชื่อ The Pirate Bay โดยผู้ใช้ชื่อ “wtfisthat34698409672” รวมไปถึงยังพบว่าผู้ใช้ดังกล่าวได้ทำการแผยแพร่ซอฟต์แวร์ macOS อื่น ๆ เช่น Adobe Photoshop และ Logic Pro X ตั้งแต่ปี 2019 โดยซอฟต์แวร์ทั้งหมดได้ฝัง payload สำหรับการขุด cryptocurrency เอาไว้ทั้งสิ้น

จากการวิเคราะห์เชิงลึกทำให้นักวิจัยสรุปได้ว่า มัลแวร์ดังกล่าวได้มีการพัฒนา และปรับปรุงมาแล้ว 3 ครั้ง เพื่อให้มีความสามารถในการหลบเลี่ยงการตรวจจับที่ซับซ้อนมากยิ่งขึ้น โดยพบว่าปัจจุบันอุปกรณ์ด้านความปลอดภัยสามารถตรวจจับได้แค่เวอร์ชันแรกเท่านั้น

ลักษณะการทำงานหลัก ๆ ของ macOS malware ที่มีมาตั้งแต่เวอร์ชันแรกจนถึงปัจจุบันคือ การทำ network layer I2P (Invisible Internet Project) สำหรับปกปิดการสื่อสารกับ C2 server

ต่อมาในเวอร์ชันที่สองที่พบในเดือนเมษายน 2021 ถึงตุลาคม 2021 มีความสามารถในการเข้ารหัสแบบ base 64 เพื่อซ่อนตัวใน app bundle

เวอร์ชันที่สาม หรือเวอร์ชันปัจจุบันพบในเดือนตุลาคม 2021 ถึงพฤษภาคม 2022 ได้เพิ่มความสามารถในการปลอมแปลง process ที่เป็นอันตราย ให้กลายเป็น process ของระบบใน Spotlight เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึงมีสคริปต์ที่ใช้ในการตรวจสอบเครื่องมือประเภท Activity Monitor อย่างต่อเนื่อง หากมีการเปิดใช้งาน มันจะยุติกระบวนการทั้งหมดทันทีเพื่อไม่ให้ถูกตรวจจับได้

ปัจจุบัน MacOS ในปัจจุบัน ซึ่งมีชื่อว่า “Ventura” ได้เพิ่มการตรวจจับ และการป้องกันด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการตรวจสอบใบรับรองซอฟต์แวร์ และตรวจสอบการดัดแปลงในเนื้อหาซอฟต์แวร์ แต่ทั้งนี้ผู้ใช้งานก็ไม่ควรที่จะดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์จากภายนอก App Store เนื่องจากมีความเป็นไปได้ที่จะถูกฝังมัลแวร์ หรือเพย์โหลดที่เป็นอันตราย

ที่มา : bleepingcomputer

Microsoft ออกรายงานถึงผลการติดตามกลุ่มแฮกเกอร์ Bismuth หรืออีกชื่อคือ APT32 และ OceanLotus ที่มีการเชื่อมโยงกับรัฐบาลเวียดนามและปัจจุบันกำลังปฏิบัติการแคมเปญด้วยการติดตั้งมัลแวร์ Cryptominer ควบคู่ไปกับการปฏิบัติจารกรรมทางไซเบอร์

Microsoft กล่าวว่ากลุ่มแฮกเกอร์ Bismuth เป็นที่รู้จักมาตั้งแต่ปี 2012 ซึ่งกลยุทธ์ที่ใช้ในการปฏิบัติการแคมเปญของกลุ่มนี้มีความซับซ้อน โดยเป้าหมายของกลุ่มแฮกเกอร์มีทั้งในประเทศและต่างประเทศเวียดนาม ซึ่งมีวัตถุประสงค์เพื่อรวบรวมข้อมูลเพื่อช่วยให้รัฐบาลจัดการกับการตัดสินใจทางการเมืองเศรษฐกิจและนโยบายต่างประเทศ

อย่างไรก็ดี Microsoft ได้เพิ่งสังเกตเห็นการเปลี่ยนแปลงกลยุทธ์ของกลุ่มแฮกเกอร์ตั้งแต่เดือนกรกฎาคมถึงเดือนสิงหาคม 2020 ที่ผ่านมา โดยกลุ่มเเฮกเกอร์ได้ใช้มัลแวร์ Cryptominer ในการโจมตีที่ถูกกำหนดเป้าหมายไปยังภาคเอกชนและสถาบันของรัฐในประเทศฝรั่งเศสและเวียดนาม ทั้งนี้ Microsoft ได้มีสองทฤษฎีในการเปลื่ยนเเปลงกลยุทธ์ของกลุ่มแฮกเกอร์ดังนี้

ประการแรกคือกลุ่มแฮกเกอร์กำลังใช้มัลแวร์ Cryptominer ในการปฏิบัติการเพื่ออำพรางการโจมตีบางส่วนจากผู้ที่ตกเป็นเหยื่อและหลอกให้ผู้ที่ตกเป็นเหยื่อเชื่อว่าการโจมตีเป็นการบุกรุกแบบสุ่มที่มีลำดับความสำคัญต่ำ
ประการที่สองคือกลุ่มแฮกเกอร์กำลังทดลองกลยุทธ์และวิธีใหม่ๆ ในการสร้างรายได้จากระบบที่ทำการบุกรุก ซึ่งส่วนหนึ่งของการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติ

ทั้งนี้ทฤษฎีที่สองนี้ยังสอดคล้องกับแนวโน้มทั่วไปที่เห็นในการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติเช่นเดียวกับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน, รัสเซีย, อิหร่านและเกาหลีเหนือ

ที่มา:

zdnet.

Microsoft ได้ออกเผยแพร่รายงานซึ่งมีรายละเอียดของการโจมตี Kubeflow ซึ่งเป็นชุดเครื่องมือสำหรับการใช้งาน Machine learning (ML) ซึ่งอยู่ใน Kubernetes

Yossi Weizman นักวิจัยด้านความปลอดภัยของ Microsoft Azure Security Center ได้ออกมาเปิดเผยถึงการโจมตีว่า การโจมตีเกิดขึ้นตั้งแต่เดือนเมษายนที่ผ่านมา และสามารถตรวจจับกลุ่มที่ทำการโจมตี Kubernetes Cluster นี้ได้ 10 กลุ่มด้วยกันโดยเป้าหมายของการโจมตีนั้นพุ่งเป้าไปที่ Kubeflow ซึ่งเป็นชุดเครื่องมือสำหรับการใช้งาน Machine learning (ML) โดยโหนดของ ML นั้นจะมีประสิทธิภาพค่อนข้างสูง ผู้โจมตีจึงกำหนดเป้าหมายเพื่อใช้โหนดในการติดตั้งแอปพลิเคชั่นการขุด Monero Cryptocurrency

Weizman กล่าวว่าตั้งแต่เดือนเมษายนกลุ่ม Cryptomining ได้สแกนหา Dashboard ของผู้ดูแลระบบที่สามารถเข้าถึงผ่านอินเทอร์เน็ตเมื่อสามารถเข้าถึงได้จะทำการ Deploy ตัว Server Image ตัวใหม่ลงบน Kubeflow Cluster เพื่อที่จะสามารถใช้งาน XMRig ซึ่งเป็นแอปพลิเคชั่นการขุด Monero Cryptocurrency

Weizman ได้ออกคำเเนะนำผู้ดูแลระบบเซิร์ฟเวอร์ให้ทำการตรวจสอบ Kubeflow Instances ว่าถูกบุกรุกหรือไม่โดยมีวิธีการตรวจสอบดังนี้

ให้ทำการตรวจสอบว่าใน Container นั้นมีการ Deploy Server Images ที่ไม่รู้จักหรือไม่ โดยสามารถใช้คำสั่งทำการตรวจสอบดังนี้
kubectl get pods –all-namespaces -o jsonpath=" {.items[*].spec.