ในช่วงสงครามระหว่างรัสเซีย และยูเครน ทั้งองค์กรภาครัฐ, ภาคเกษตร และภาคขนส่งที่ตั้งอยู่ในเมือง Donetsk, Lugansk, และ Crimea ถูกโจมตี ซึ่งส่วนหนึ่งของแคมเปญการโจมตีมีการฝังโมดูลเฟรมเวิร์กการโจมตีใหม่ที่ชื่อ 'CommonMagic'

Kaspersky ระบุในรายงานล่าสุดว่า "ถึงแม้วิธีการในช่วงแรกยังไม่มีรายละเอียดชัดเจน แต่รายละเอียดของขั้นตอนถัดไปแสดงให้เห็นว่ามีการใช้เทคนิค spear phishing หรือเทคนิคที่คล้ายกัน"

Kaspersky พบการโจมตีครั้งแรกในเดือนตุลาคม 2022 ภายใต้ชื่อกลุ่ม 'Bad Magic'

ขั้นตอนการโจมตีจะใช้ URL ที่ตั้งค่าให้ดาวน์โหลดไฟล์ .ZIP ที่อยู่บนเว็บเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้โจมตี เมื่อเปิดไฟล์จะมีเอกสารปลอม และไฟล์ .LNK ที่เป็นอันตราย ซึ่งจะทำการติดตั้ง backdoor ชื่อ 'PowerMagic'

'PowerMagic' เป็น PowerShell ที่ใช้ในการติดต่อกับ C2 Server เพื่อรันคำสั่งที่เป็นอันตราย และส่งข้อมูลกลับไปยังบริการคลาวด์ต่าง ๆ เช่น Dropbox และ Microsoft OneDrive

PowerMagic ยังทำหน้าที่เป็นช่องทางในการส่งเฟรมเวิร์ก CommonMagic ซึ่งเป็นโมดูลที่สามารถดำเนินการต่าง ๆ เช่น command-and-control (C2) server, เข้ารหัส และถอดรหัสข้อมูลที่ติดต่อสื่อสารกับ C2 Server และติดตั้ง plugins ต่าง ๆ

โดย plugins 2 ตัว มีความสามารถในการจับภาพหน้าจอทุก ๆ 3 วินาที และสามารถรวบรวมไฟล์ที่มีความสำคัญจากอุปกรณ์ที่เชื่อมต่อผ่าน USB ได้

Kaspersky ระบุว่า "ยังไม่พบหลักฐาน และเครื่องมือที่ใช้ที่สามารถเชื่อมโยงการโจมตีกับกลุ่มผู้โจมตีกลุ่มใดกลุ่มหนึ่งได้"

 

ที่มา : thehackernews

ผู้เชี่ยวชาญจาก SEKOIA พบเคมเปญการโจมตีขนาดใหญ่ที่มีการใช้งานโดเมนกว่า 1,300 โดเมนในการปลอมเป็น Official Site ของโปรแกรมรีโมทที่ใช้งานกันแพร่หลายอย่าง AnyDesk โดยจะเปลี่ยนเส้นทางของผู้ใช้งานไปยัง Dropbox ที่ใช้สำหรับติดตั้งมัลแวร์ขโมยข้อมูลที่มีชื่อว่า Vidar ซึ่ง Host ทั้งหมดใช้มาจาก IP เดียวกันคือ 185.149.120[.]9

ปัจจุบันโดเมนส่วนใหญ่ยังคงออนไลน์อยู่ แต่ก็มีบางโดเมนถูกรายงาน และปิดโดยผู้ให้บริการ Hosting รวมไปถึงถูกบล็อกจาก AntiVirus นอกจากนี้ลิงก์ Dropbox ของเว็ปไซต์ที่เปิดอยู่จะไม่ทำงานอีกต่อไปเนื่องจากมีรายงานไฟล์ที่เป็นอันตรายไปยังผู้ให้บริการ อย่างไรก็ตามแคมเปญเหล่านี้ชี้ไปที่เว็ปไซต์ปลายทางเดียวกัน ทำให้ผู้โจมตีสามารถแก้ไขปัญหาได้โดยอัปเดต URL ดาวน์โหลดไปยังเว็ปไซต์อื่นแทน

ลักษณะการทำงาน

ในแคมเปญล่าสุดที่ค้นพบเว็ปไซต์ปลอมต์ต่าง ๆ จะทำการแจกจ่ายไฟล์ที่ชื่อ 'AnyDeskDownload.

กลุ่มแฮ็กเกอร์ที่ชื่อว่า Worok ใช้วิธีการซ่อนมัลแวร์ภายในรูปภาพ PNG เพื่อแพร่กระจาย และขโมยข้อมูลจากเครื่องของเหยื่อ โดยไม่ทำให้ถูกตรวจจับได้จากซอฟแวร์ด้านความปลอดภัย

เหตุการณ์ดังกล่าวได้รับการยืนยันจากนักวิจัยของ Avast ซึ่งนำข้อมูลอ้างอิงที่ได้จากการค้นพบมัลแวร์ในครั้งแรกของบริษัท ESET เมื่อต้นเดือนกันยายน 2022

โดย ESET เคยเตือนว่ากลุ่ม Worok มุ่งเป้าไปยังเหยื่อระดับสูง ซึ่งรวมถึงหน่วยงานของรัฐบาลในตะวันออกกลาง เอเชียตะวันออกเฉียงใต้ และแอฟริกาใต้

รายงานของ Avast ซึ่งอ้างอิงจากหลักฐานที่ได้จากการวิเคราะห์การโจมตีของกลุ่ม Worok ซึ่งยืนยันสมมติฐานของ ESET เกี่ยวกับพฤติกรรมของการใช้ไฟล์ PNG และข้อมูลใหม่ของมัลแวร์เพย์โหลด รวมไปถึงวิธีการในการขโมยข้อมูลออกไป

การซ่อนมัลแวร์ในไฟล์ PNG

แม้ยังไม่ทราบถึงวิธีการในการเจาะเข้าสู่เครือข่าย แต่ Avast เชื่อว่า Worok มีแนวโน้มที่จะใช้วิธีการ DLL sideloading เพื่อรัน malware CLRLoader ลงในหน่วยความจำ

อ้างอิงจากหลักฐานจากเครื่องที่ถูกโจมตี ซึ่งนักวิจัยของ Avast พบ DLL สี่ตัวที่มีรหัส CLRLoaderถัดมา CLRLoader จะทำการโหลด DLL ถัดไป (PNGLoader) ซึ่งถูกแยกส่วน และฝังอยู่ในไฟล์ PNG จากนั้นจะนำไปสู่การเรียกใช้งานไฟล์ติดตั้ง 2 ไฟล์

 

การซ่อน payload ใน PNGs

Steganography คือการซ่อนโค้ดภายในไฟล์ภาพที่ดูเหมือนปกติเมื่อถูกเปิดในโปรแกรมดูรูปภาพ

ในเคสของ Worok, Avast ระบุว่าผู้โจมตีใช้เทคนิคที่เรียกว่า "least significant bit (LSB) encoding" ซึ่งใช้การฝัง code ที่เป็นอันตรายขนาดเล็กลงในบิตที่มีความสำคัญน้อยที่สุดในพิกเซลของภาพ

Payload แรกที่แยกจากบิตเหล่านั้นโดย PNGLoader คือ PowerShell script ที่ทั้ง ESET และ Avast ไม่สามารถดึงข้อมูลออกมาได้

Payload ที่สองที่ซ่อนอยู่ในไฟล์ PNG คือ .NET C# info-stealer (DropBoxControl) ที่ถูกสร้างขึ้นเอง และใช้ DropBox เป็น C2 server, เก็บข้อมูลที่ถูกขโมยออกมา และอื่น ๆ

การโจมตีด้วย DropBox

มัลแวร์ 'DropBoxControl' จะใช้บัญชี DropBox ที่ถูกควบคุมโดยผู้โจมตีเพื่อรับข้อมูล และคำสั่ง หรืออัปโหลดไฟล์จากเครื่องที่ถูกโจมตี

คำสั่งจะถูกเก็บไว้ในไฟล์ที่เข้ารหัสบน DropBox ของผู้โจมตี และมัลแวร์จะรอรับคำสั่งเป็นระยะ ๆ เพื่อดำเนินการต่อไป

คำสั่งที่กำหนดไว้มีดังนี้:

เรียกใช้ "cmd /c" ด้วยพารามิเตอร์ที่กำหนด
ดำเนินการ หรือรันด้วยพารามิเตอร์ที่กำหนด
ดาวน์โหลดข้อมูลจาก DropBox ไปยังอุปกรณ์
อัปโหลดข้อมูลจากอุปกรณ์ไปยัง DropBox
ลบข้อมูลในระบบของเหยื่อ
เปลี่ยนชื่อข้อมูลในระบบของเหยื่อ
แยกข้อมูลไฟล์จากไดเร็กทอรีที่กำหนด
ตั้งค่าไดเร็กทอรีใหม่สำหรับแบ็คดอร์
ดึงข้อมูลระบบ
อัปเดตการตั้งค่าของแบ็คดอร์

Function เหล่านี้บ่งชี้ว่า Worok เป็นกลุ่มอาชญากรทางอินเทอร์เน็ตที่เน้นไปที่การขโมยข้อมูล และพยายามเจาะไปยังระบบอื่น ๆ บนเครือข่ายของเหยื่อ และแอบแฝงตัวอยู่บนระบบที่ถูกโจมตี

Avast ระบุว่าเครื่องมือที่ถูกใช้โดย Worok นั้นไม่ได้ถูกนำมาใช้อย่างแพร่หลาย ดังนั้นจึงมีแนวโน้มว่าเครื่องมือเหล่านี้จะถูกสร้างขึ้นมา และนำใช้ภายในกลุ่มดังกล่าวเท่านั้น

 

ที่มา : bleepingcomputer

Dropbox ออกมายอมรับเหตุการณ์ข้อมูลรั่วไหล ซึ่งเกิดจากการที่ผู้โจมตีสามารถขโมย code repositories ของบริษัทออกไปกว่า 130 รายการ ภายหลังจากการเข้าถึงบัญชี GitHub โดยใช้ข้อมูลส่วนตัวของพนักงานที่ถูกขโมยจากการโจมตีแบบฟิชชิ่ง

บริษัทพบว่าถูกแฮ็กเมื่อวันที่ 14 ตุลาคม 2565 ที่ผ่านมา เมื่อ GitHub แจ้งว่ามีพฤติกรรมที่น่าสงสัย ซึ่งเกิดขึ้นหนึ่งวันก่อนที่จะมีการส่งการแจ้งเตือน จนถึงปัจจุบัน (1 พฤศจิกายน 2565) จากการตรวจสอบพบว่าข้อมูลที่ผู้โจมตีรายนี้เข้าถึงส่วนใหญ่เป็นคีย์ API ที่ใช้โดยนักพัฒนาของ Dropbox ซึ่งรวมไปถึง source code, ข้อมูลชื่อ และที่อยู่อีเมลกว่า 2000-3000 รายการ ทั้งของพนักงาน Dropbox ของลูกค้าปัจจุบัน และลูกค้าในอดีต ซึ่งปัจจุบัน Dropbox มีผู้ใช้งานที่ลงทะเบียนมากกว่า 700 ล้านคน

การโจมตีเริ่มมาจากอีเมลฟิชชิ่งที่ถูกส่งไปยังพนักงานของ Dropbox หลายคน โดยการใช้อีเมลปลอมที่แอบอ้างเป็นแพลตฟอร์ม CircleCI ซึ่งเมื่อคลิกลิงค์ จะถูก redirect ไปยังหน้า Landing Page ของฟิชชิ่งให้กรอกชื่อผู้ใช้ และรหัสผ่านของ GitHub รวมไปถึงการขอให้กรอก "One Time Password (OTP)” ด้วย

อีเมลฟิชชิ่งที่แอบอ้างเป็น CircleCI

หลังจากสามารถขโมยข้อมูลส่วนตัวของพนักงานของ Dropbox ได้ ผู้โจมตีจึงสามารถเข้าถึง GitHub ของ Dropbox และขโมย code repositories ออกไปกว่า 130 รายการ ซึ่งประกอบไปด้วยข้อมูลสำเนาของไลบรารีของ third-party ที่มีการปรับเปลี่ยนสำหรับการใช้งานของ Dropbox, ผลิตภัณฑ์ต้นแบบที่ใช้ภายใน, เครื่องมือ และ configuration files ที่ใช้โดย Security Team แต่ Dropbox ยืนยันว่า แฮ็กเกอร์ไม่สามารถเข้าถึง core apps หรือ infrastructure หลักได้ รวมไปถึงบัญชี รหัสผ่าน หรือข้อมูลการชําระเงินของลูกค้า เนื่องจากระบบเหล่านั้นมีการรักษาความปลอดภัยที่เข้มงวดมากกว่า

เพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้น Dropbox กําลังดําเนินการด้านความปลอดภัยเพิ่มเติม โดยการใช้ WebAuthn และ hardware tokens หรือ biometric factors

ในเดือนกันยายนที่ผ่านมา ผู้ใช้งาน GitHub ทั่วๆ ไป ก็เคยตกเป็นเป้าหมายในการโจมตีในลักษณะคล้ายกัน โดยอีเมลฟิชชิ่งที่แอบอ้างเป็นแพลตฟอร์ม CircleCI และขอให้พวกเขาลงชื่อเข้าใช้บัญชี GitHub เพื่อยอมรับข้อกำหนดของผู้ใช้งาน และการอัปเดตนโยบายความเป็นส่วนตัวเพื่อใช้บริการต่อไป

โดย GitHub ระบุว่ามักจะพบการขโมยข้อมูลออกไปทันทีหลังจากที่บัญชีของผู้ใช้งานถูกเข้าถึงได้ โดยจากการตรวจสอบพบว่าผู้โจมตีส่วนใหญ่จะใช้ VPN หรือบริการ Proxy เพื่อทำให้ติดตามได้ยากขึ้น

ที่มา : bleepingcomputer.

อดีตวิศวกรของ Yahoo ถูกตัดสินให้ถูกคุมขังและถูกกักบริเวณในบ้านเป็นเวลาห้าปี หลังจากทำการแฮกเข้าสู่บัญชีส่วนตัวของผู้ใช้ Yahoo Mail กว่า 6,000 รายเพื่อทำการค้นหารูปภาพและวิดีโอส่วนตัวของเข้าของบัญชี โดย Reyes Daniel Ruiz วัย 34 ปีจาก Tracy รัฐ California ถูกศาลตัดสินให้จ่ายค่าปรับเป็นเงิน $ 5,000 (156,235 บาท) และอีก $118,456 (3,701,394 บาท) ให้กับ Yahoo เพื่อชดใช้ความเสียหายที่เกิดขึ้น

เอกสารประกอบคำตัดสินเปิดเผยว่า Ruiz ก่ออาชญากรรมของเขาในขณะที่ทำงานที่ Yahoo ในฐานะวิศวกร ระหว่างปี 2009 ถึงกรกฎาคม 2019 โดย Reyes ใช้สิทธ์ในการเข้าถึง backend ของ Yahoo เพื่อทำการเข้าถึงรหัสผ่านถูกเข้าด้วยฟังก์ชันแฮชแล้วจึงทำการถอดค้าหารหัสผ่านแบบ plaintext จากค่าแฮชดังกล่าวเพื่อเข้าถึงบัญชี Yahoo Mail ของแฟนสาว, เพื่อนและเพื่อนร่วมงานของเขา เมื่อเข้าถึงบัญชีได้เขาทำการค้นหารูปภาพและวีดีโอส่วนตัวของเจ้าของบัญชีจากนั้นทำการดาวน์โหลดและเก็บไว้ในฮาร์ดไดรฟ์ส่วนตัวที่บ้าน

นักวิจัยยังกล่าวด้วยว่า Ruiz ยังใช้บัญชีอีเมล Yahoo ที่ถูกแฮกทำการหลอกล่อหยื่อเพื่อเข้าถึงบัญชีและที่จัดเก็บไฟล์ส่วนบุคคล ในบริการต่างๆ เช่น Apple iCloud, Gmail, Hotmail, Dropbox และ Photobucket และคาดว่ามีผู้ที่ตกเป็นเหยื่อจำนวน 6,000 คน

การแฮกของ Ruiz ถูกตรวจพบโดยวิศวกรของ Yahoo คนอื่นในเดือนมิถุนายน 2018 และได้รายงานต่อเจ้าหน้าที่หลังจากตรวจพบ โดยหลังจากถูกตรวจพบ Ruiz ได้ทำการทำลายฮาร์ดไดรฟ์ที่ใช้เก็บข้อมูลที่เข้าทำการละเมิดข้อมูล ซึ้งมีข้อมูลอยู่ในนั้นเป็นจำนวน 2 TB ซึ่งเชื่อกันว่ามีภาพและวิดีโอส่วนตัวระหว่าง 1,000 ถึง 4,000 ภาพ

เนื่องจาก Ruiz ทำลายฮาร์ดไดรฟ์ส่วนตัวของเขาอัยการสหรัฐฯ กล่าวว่าพวกเขาสามารถระบุเหยื่อได้เพียง 3,137 คนจากเหยื่อทั้งหมด 6,000 คนเท่านั้น

ที่มา: zdnet

นักวิจัยด้านความปลอดภัย Brad Duncan จาก Palo Alto Networks และ MalwareHunter ได้แจ้งเตือนถึงการตรวจพบการใช้ CDN (Content Delivery Network) ซึ่งเป็นลักษณะของเซิร์ฟเวอร์ซึ่งกระจายอยู่ทั่วโลกเพื่อให้ผู้ใช้งานสามารถเข้าถึงเนื้อหาต่างๆ ได้อย่างรวดเร็วของบริการที่มีชื่อเสียง อาทิ Facebook, Dropbox และ Google ในการเก็บไฟล์อันตรายหรือมัลแวร์เพื่อแพร่กระจาย สืบเนื่องมาจากหลายองค์กรหรือหลายระบบความปลอดภัยนั้นอนุญาตให้ผู้ใช้งานเข้าถึงข้อมูลซึ่งมาจากแหล่งเหล่านี้ได้

ในการโจมตีนั้น กลุ่มแฮกเกอร์ดังกล่าวจะทำการแนบลิงค์ของ CDN สำหรับดาวโหลดไฟล์ไปกับอีเมลซึ่งถูกปลอมแปลงให้มีลักษณะคล้ายกับอีเมลของหน่วยงานราชการ เมื่อผู้ใช้งานดาวโหลดไฟล์มัลแวร์จาก CDN แล้ว ไฟล์มัลแวร์ดังกล่าวจะเป็นไฟล์ลิงค์ (LNK) ที่ถูกบีบอัดให้เป็นไฟล์ RAR หรือ ZIP เมื่อผู้ใช้งานเปิดไฟล์ลิงค์ดังกล่าวแล้ว ไฟล์ลิงค์จะทำการรันคริปสต์ batch หรือ powershell เพื่อดาวโหลดและติดตั้งมัลแวร์ตัวจริงอีกครั้ง กระบวนการทั้งหมดมีชื่อเรียกอย่างไม่เป็นทางการว่าเทคนิค Squiblydoo

จุดที่น่าสนใจในการโจมตีนี้นั้นอยู่ที่การเลือกเป้าหมาย นักวิจัยด้านความปลอดภัยมีการค้นพบว่า มัลแวร์จะทำการตรวจสอบประเทศของเป้าหมายจากหมายเลขไอพีแอดเดรส ซึ่งหากเป้าหมายไม่ได้อยู่ในประเทศที่กำหนดไว้แล้วก็จะไม่ทำการดาวโหลดมัลแวร์เพื่อโจมตีด้วย ในขณะนี้บริการที่มีการใช้ CDN และถูกใช้ในการโจมตีได้ถูกดำเนินการตรวจสอบแล้ว ผู้ใช้ควรระมัดระวังการโจมตีในลักษณะเดียวกันกับบริการอื่นๆ ไว้ด้วย

ที่มา: bleepingcomputer

Mohamed Ramadan ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการเปิดเผยปัญหาด้านความปลอดภัยของ Dropbox ซึ่งกระทบต่อทั้งผู้ใช้งานบนเว็บและแอพบน iOS ในขณะที่ Dropbox ปฏิเสธว่าเป็น "ช่องโหว่" ด้านความปลอดภัย ปัญหานี้คือการยินยอมให้มีการเอ็กซีคิวต์จาวาสคริปต์ที่ถูกฝังอยู่ในไฟล์ประเภท HTML และ SWF ได้เมื่อมีการอัพโหลดและแชร์ไปยังผู้ใช้งานอื่น การโจมตีอย่าง XSS มักจะใช้วิธีเดียวกันนี้ในการโจมตีและขโมยข้อมูลของผู้ใช้งาน

ทางด้าน Dropbox ได้ตอบอีเมลของ Ramadan ว่านี่ไม่นับเป็นช่องโหว่ด้านความปลอดภัยของ Dropbox เพราะจำเป็นต้องให้ผู้ใช้อัพโหลดและแชร์ไฟล์ อีกทั้งไฟล์ที่ถูกอัพโหลดไปจะอยู่บนโฮสต์ dl-web.

Mohamed Ramadan ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการเปิดเผยปัญหาด้านความปลอดภัยของ Dropbox ซึ่งกระทบต่อทั้งผู้ใช้งานบนเว็บและแอพบน iOS ในขณะที่ Dropbox ปฏิเสธว่าเป็น "ช่องโหว่" ด้านความปลอดภัย ปัญหานี้คือการยินยอมให้มีการเอ็กซีคิวต์จาวาสคริปต์ที่ถูกฝังอยู่ในไฟล์ประเภท HTML และ SWF ได้เมื่อมีการอัพโหลดและแชร์ไปยังผู้ใช้งานอื่น การโจมตีอย่าง XSS มักจะใช้วิธีเดียวกันนี้ในการโจมตีและขโมยข้อมูลของผู้ใช้งาน

ทางด้าน Dropbox ได้ตอบอีเมลของ Ramadan ว่านี่ไม่นับเป็นช่องโหว่ด้านความปลอดภัยของ Dropbox เพราะจำเป็นต้องให้ผู้ใช้อัพโหลดและแชร์ไฟล์ อีกทั้งไฟล์ที่ถูกอัพโหลดไปจะอยู่บนโฮสต์ dl-web.