มีเครื่องมือหลบเลี่ยงการป้องกันรูปแบบใหม่ชื่อว่า “NtKiller” ปรากฏขึ้นในฟอรัมอาชญากรรมไซเบอร์ใต้ดิน ซึ่งถูกนำมาโปรโมทโดยอาชญากรไซเบอร์ที่ใช้นามแฝงว่า 'AlphaGhoul'

(more…)

มีการค้นพบช่องโหว่แบบ Zero-Day ในโซลูชัน Elastic EDR ซึ่งทำให้ผู้โจมตีสามารถหลบเลี่ยงมาตรการรักษาความปลอดภัย, เรียกใช้โค้ดที่เป็นอันตราย และทำให้ระบบเกิด Blue Screen of Death ได้ ตามรายงานการวิจัยของ Ashes Cybersecurity

(more…)

กลุ่มแรนซัมแวร์ Crypto24 ได้ใช้เครื่องมือพิเศษที่พัฒนาขึ้นเองในการโจมตี เพื่อหลบเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัยในเครือข่าย และเข้ารหัสไฟล์ รวมถึงขโมยข้อมูลออกไป

ปฏิบัติการของกลุ่มนี้ถูกพบครั้งแรกในฟอรั่มของ BleepingComputer เมื่อเดือนกันยายน 2024 แม้ในช่วงแรกจะไม่ได้มีชื่อเสียงมากนัก

นักวิจัยจาก Trend Micro ที่ติดตามพฤติกรรมของกลุ่ม Crypto24 พบว่า ผู้โจมตีกลุ่มนี้ได้โจมตีองค์กรขนาดใหญ่หลายแห่งในสหรัฐอเมริกา, ยุโรป และเอเชีย โดยเน้นเป้าหมายที่มีมูลค่าสูง เช่น ภาคการเงิน, การผลิต, ด้านความบันเทิง และด้านเทคโนโลยี

นักวิจัยด้านความปลอดภัยระบุว่า กลุ่ม Crypto24 มีความรู้ และความชำนาญ ซึ่งแสดงให้เห็นว่ามีความเป็นไปได้มากที่กลุ่มนี้ก่อตั้งโดยอดีตสมาชิกหลักของกลุ่มแรนซัมแวร์ที่ยุติการปฏิบัติการไปแล้ว

พฤติกรรมหลังการโจมตีระบบ

หลังจากได้สิทธิ์เข้าถึงระบบในครั้งแรก ผู้โจมตีกลุ่ม Crypto24 จะเปิดใช้งานบัญชีผู้ดูแลระบบที่เป็นค่าเริ่มต้นบนระบบ Windows ภายในเครือข่ายองค์กร หรือสร้างบัญชีผู้ใช้ใหม่ เพื่อใช้สำหรับการเข้าถึงแบบเงียบ ๆ และแฝงตัวอยู่ในระบบได้อย่างต่อเนื่อง

จากนั้นจะเข้าสู่ขั้นตอนการ reconnaissance โดยใช้ batch file ที่พัฒนาขึ้นเอง พร้อมใช้คำสั่งในการดึงข้อมูลรายชื่อบัญชีผู้ใช้, รายละเอียดฮาร์ดแวร์ของระบบ และโครงสร้างของดิสก์ ซึ่งต่อมาผู้โจมตีจะสร้าง Windows services และ scheduled tasks ที่เป็นอันตรายเพื่อใช้ในการแฝงตัวอยู่ในระบบ

อันแรก WinMainSvc เป็น keylogger service สำหรับดักจับการพิมพ์ของผู้ใช้ และอันที่สอง MSRuntime เป็น ransomware loader

ต่อมากลุ่ม Crypto24 จะใช้เครื่องมือโอเพ่นซอร์ส RealBlindingEDR เวอร์ชันพิเศษ ซึ่งมีเป้าหมายโจมตี agent ของซอฟต์แวร์รักษาความปลอดภัยจากผู้ผลิตหลายราย โดยปิดการทำงานของ kernel driver เช่น

Trend Micro
Kaspersky
Sophos
SentinelOne
Malwarebytes
Cynet
McAfee
Bitdefender
Broadcom (Symantec)
Cisco
Fortinet
Acronis

RealBlindingEDR เวอร์ชันพิเศษของกลุ่ม Crypto24 จะดึงชื่อบริษัทจากข้อมูล metadata ของ driver มาเปรียบเทียบกับรายชื่อที่ฝังไว้ในโค้ด และถ้าพบว่าตรงกัน จะปิดการทำงานของ hooks/callbacks ในระดับ kernel เพื่อปิดการตรวจจับของเครื่องมือ

สำหรับผลิตภัณฑ์ของ Trend Micro รายงานระบุว่า ถ้าผู้โจมตีมีสิทธิ์ administrator จะรัน batch script ที่เรียกใช้โปรแกรม ‘XBCUninstaller.

เมื่อช่วงต้นเดือนสิงหาคม 2025 ทีมรักษาความปลอดภัยทางไซเบอร์ในประเทศตุรกีได้ตรวจพบมัลแวร์ประเภท loader ตัวใหม่ที่พัฒนาด้วยภาษา Java ซึ่งมีความสามารถในการหลบเลี่ยงการตรวจจับขั้นสูง โดยมันสามารถหลุดรอดจาก Public Sandbox, Antivirus และแม้แต่แพลตฟอร์ม EDR/XDR ในระดับองค์กรได้ทั้งหมด

(more…)

พบเครื่องมือสำหรับปิดการทำงานของระบบ Endpoint Detection and Response (EDR) ตัวใหม่ ซึ่งถือเป็นเวอร์ชันพัฒนาต่อจาก “EDRKillShifter” ที่สร้างโดยกลุ่ม RansomHub ถูกพบว่ากำลังถูกนำไปใช้ในการโจมตีโดยกลุ่มแรนซัมแวร์ถึง 8 กลุ่ม

(more…)

พบเทคนิค EDR bypass "Bring Your Own Installer" รูปแบบใหม่ ที่ถูกใช้ประโยชน์ในการโจมตีเพื่อ bypass คุณสมบัติการป้องกันการปลอมแปลง (tamper protection feature) ของ SentinelOne ทำให้ Hacker สามารถปิดใช้งาน endpoint detection and response (EDR) (more…)

Five Eyes หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ในสหราชอาณาจักร, ออสเตรเลีย, แคนาดา, นิวซีแลนด์ และสหรัฐอเมริกา ได้ออกคำแนะนำให้ผู้ผลิตอุปกรณ์ Network Edge พัฒนาความสามารถในการ forensic เพื่อช่วยให้สามารถตรวจจับการโจมตี และสืบสวนเหตุละเมิดความ (more…)

นักวิจัยจาก Security Joes บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานการพบเทคนิคการโจมตีแบบ Process Injection รูปแบบใหม่ในชื่อ “Mockingjay” ที่ใช้ในการหลีกเลี่ยงการตรวจจับของ EDR (Endpoint Detection and Response) รวมถึงผลิตภัณฑ์รักษาความปลอดภัยอื่น ๆ เพื่อเรียกใช้คำสั่งอันตรายบนระบบเป้าหมาย

โดยเทคนิคการโจมตี Mockingjay จะใช้ DLL ที่ได้รับการรับรอง พร้อมกับสิทธิ์ RWX (read, write, execute) ในการหลีกเลี่ยง EDR hooks และแทรกคำสั่งอันตรายจากระยะไกล

Process injection เป็นวิธีการเรียกใช้คำสั่งจากใน Process ที่กำลังทำงานอยู่ในระบบ ซึ่งเป็นระบบที่ได้รับการเชื่อใจจากระบบ (trusted by the operating system) จึงทำให้ Hacker สามารถเรียกใช้งานคำสั่งอันตรายโดยไม่ถูกตรวจจับได้ ตัวอย่างของเทคนิคการโจมตีนี้ได้แก่ DLL injection, PE (portable executable) injection, reflective DLL injection, thread execution hijacking, process hollowing, mapping injection, APC (asynchronous procedure call) injection และอื่น ๆ

เทคนิคการโจมตี Mockingjay

Security Joes ได้ทำการวิจัยเพื่อค้นหา DLL ที่มีช่องโหว่พร้อมกับสิทธิ์ RWX เริ่มต้น เพื่อให้สามารถแก้ไขเนื้อหา และดาวน์โหลดคำสั่งอันตรายโดยไม่ต้องดำเนินการขอสิทธิ์เพิ่มเติม

ซึ่งนักวิจัยพบ DLL อันตรายจาก DLL msys-2.0.dll ภายใน Visual Studio 2022 Community ซึ่งมีสิทธิ์ RWX เริ่มต้นที่มีขนาด 16 KB

โดยการใช้ประโยชน์จากส่วน RWX ที่มีอยู่แล้วนี้ ทำให้สามารถป้องกันหน่วยความจำในตัว และหลีกเลี่ยงการตรวจสอบของ EDR รวมถึงเพิ่มประสิทธิภาพในการโจมตีแบบ injection

ซึ่งทางทีม Security Joes ได้ทำการพัฒนากระบวนการโจมตีแบบ injection 2 วิธี คือ self-injection และ remote process injection

self-injection ทดลองโดยการใช้ custom application ("nightmare.

เครื่องมือของแฮ็กเกอร์ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการโปรโมตโดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมแฮ็กเกอร์ของรัสเซีย โดยเครื่องมือนี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้ อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น

รายละเอียดของ Terminator

ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender

Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'
Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ

โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร

เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ
เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้เครื่องมือ
เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้

ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยเครื่องมือสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal

อย่างไรก็ตาม Florian Roth หัวหน้าฝ่ายวิจัยที่ Nextron Systems และ Nasreddine Bencherchali นักวิจัยด้านความเสี่ยง ได้แชร์ YARA กับ Sigma rules ที่ช่วยให้ผู้ใช้งานสามารถตรวจจับไดรเวอร์ที่มีช่องโหว่ที่ถูกใช้งานโดยเครื่องมือ Terminator ได้แบบล่วงหน้า และลดความเสี่ยงจากไดรเวอร์ที่มีช่องโหว่ที่อยู่ในระบบได้

อ้างอิง : https://cyware.

นักวิจัยรายงานการพบกลุ่มแฮ็กเกอร์จีนกำลังใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ Fortinet FortiOS ที่มีความรุนแรงระดับกลาง ซึ่งปัจจุบันมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปเรียบร้อยแล้ว

Mandiant บริษัทผู้เชี่ยวชาญทางด้าน Threat intelligence ระบุว่า การโจมตีดังกล่าวเป็นส่วนหนึ่งของแคมเปญการโจมตีขนาดใหญ่ที่ออกแบบมาเพื่อติดตั้ง backdoor ลงบนอุปกรณ์ Fortinet และ VMware เพื่อสร้างช่องทางสำหรับการแฝงตัวอยู่ภายในระบบของเหยื่อ

โดย Mandiant กำลังติดตามการดำเนินการของกลุ่มดังกล่าวภายใต้ชื่อ UNC3886 ซึ่งคาดว่ามีความเกี่ยวข้องกับประเทศจีน

นักวิจัยของ Mandiant ระบุในรายงานการวิเคราะห์ทางเทคนิคว่า "UNC3886 เป็นกลุ่มแฮ็กเกอร์ที่มีความสามารถเฉพาะตัวในการดำเนินการโจมตีอุปกรณ์บนเครือข่าย สังเกตได้จากเครื่องมือที่ใช้ในแคมเปญการโจมตี"

โดย Mandiant พบว่า UNC3886 มุ่งเป้าหมายไปที่อุปกรณ์ไฟร์วอลล์ และเทคโนโลยี virtualization ที่ยังไม่รองรับจากอุปกรณ์ EDR โดยมีความสามารถในการจัดการเฟิร์มแวร์ของไฟล์วอลล์ และใช้ประโยชน์จากช่องโหว่ที่ถูกพบ แสดงให้เห็นว่ากลุ่มผู้โจมตีมีความเชี่ยวชาญในเทคโนโลยีดังกล่าว

ก่อนหน้านี้กลุ่มแฮ็กเกอร์กลุ่มนี้ เกี่ยวข้องกับการโจมตีที่มุ่งเป้าหมายเป็นเซิร์ฟเวอร์ VMware ESXi และ เซิร์ฟเวอร์ Linux vCenter ซึ่งเป็นส่วนหนึ่งของแคมเปญ hyperjacking ที่ออกแบบมาเพื่อฝัง backdoor เช่น VIRTUALPITA และ VIRTUALPIE

รายงานล่าสุดจาก Mandiant เกิดขึ้นภายหลังจากที่ Fortinet เปิดเผยว่าหน่วยงานของภาครัฐ และองค์กรขนาดใหญ่ ได้รับผลกระทบจากการถูกโจมตีโดยการใช้ช่องโหว่บน Fortinet FortiOS ซึ่งอาจส่งผลให้ข้อมูลสูญหาย และเกิดความเสียหายในระบบปฏิบัติการได้

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-41328 (CVSS score: 6.5) เป็นช่องโหว่ path traversal บน FortiOS ซึ่งมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 7 มีนาคม 2023 ที่ผ่านมา

ตามรายงานจาก Mandiant ระบุว่าการโจมตีที่ UNC3886 ได้มุ่งเป้าไปที่อุปกรณ์ FortiGaet, FortiManager, และ FortiAnalyzer ของ Fortinert เพื่อติดตั้ง backdoor THINCRUST และ CASTLETAP ซึ่งจะสามารถทำได้หากอุปกรณ์ FortiManager ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

โดย THINCRUST เป็น backdoor ที่เขียนด้วยภาษา Python และสามารถรันคำสั่ง รวมถึงอ่าน และเขียนไฟล์บนดิสก์ได้

รวมถึงเพย์โหลดที่เพิ่มเข้ามาใหม่ เรียกว่า "/bin/fgfm" (หรือเรียกว่า CASTLETAP) ซึ่งจะทำการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกที่ถูกควบคุมโดยผู้โจมตี เพื่อรับคำสั่ง, ติดตั้งเพย์โหลด และส่งข้อมูลที่ขโมยออกมาไปที่ C2 Server

นักวิจัยระบุว่า "เมื่อ CASTLETAP ถูกติดตั้งบนไฟร์วอลล์ FortiGate แล้ว ผู้โจมตีจะเชื่อมต่อกับเครื่อง ESXi และ vCenter เพื่อสร้างช่องทางการแฝงตัวบนระบบ ซึ่งทำให้สามารถเข้าถึง hypervisors และเครื่อง guest อื่น ๆ"

ในกรณีที่อุปกรณ์ FortiManager มีการจำกัดการเข้าถึงจากอินเทอร์เน็ต ผู้ไม่หวังดีจะใช้เทคนิค Pivoting โดยการเชื่อมต่อจาก FortiGate Firewall ที่โจมตีด้วย CASTLETAP เพื่อฝัง reverse shell backdoor ชื่อ REPTILE ("/bin/klogd") บนระบบจัดการเครือข่ายเพื่อให้สามารถกลับเข้าถึงระบบได้อีกครั้ง

UNC3886 ใช้เครื่องมือชื่อ TABLEFLIP เพื่อเชื่อมต่อโดยตรงกับอุปกรณ์ FortiManager โดยไม่สนใจ ACL (access-control list) ที่กำหนดไว้ในอุปกรณ์ FortiGate

การโจมตีนี้ไม่ใช่ครั้งแรกที่กลุ่มผู้ไม่หวังดีจากจีน มุ่งเป้าหมายไปยังอุปกรณ์เครือข่ายเพื่อแพร่กระจายมัลแวร์ โดยก่อนหน้านี้ก็พบการโจมตีโดยการใช้ช่องโหว่อื่น ๆ ในอุปกรณ์ Fortinet และ SonicWall

รายงานจาก Rapid7 พบว่าผู้ไม่หวังดีกำลังพัฒนา และเผยแพร่เครื่องมือที่ใช้ในการโจมตีได้รวดเร็วขึ้นกว่าที่ผ่านมา โดยมีช่องโหว่มากถึง 28 รายการ ที่ถูกนำมาใช้ในการโจมตีเพียง 7 วัน ภายหลังจากมีการเปิดเผยข้อมูลออกสู่สาธารณะ ซึ่งเพิ่มขึ้น 12% จากปี 2021 และเพิ่มขึ้น 87% จากปี 2020

กลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับประเทศจีนได้กลายเป็นผู้เชี่ยวชาญเฉพาะด้านในการใช้ช่องโหว่ zero-day และการแพร่กระจายมัลแวร์ที่ปรับแต่งให้เหมาะสม เพื่อขโมยข้อมูลประจำตัวผู้ใช้งาน และแฝงตัวบนระบบเครือข่ายของเป้าหมาย

Mandiant ระบุว่า "การโจมตีนี้เป็นหลักฐานที่ชี้ให้เห็นว่าผู้โจมตีที่มีความเชี่ยวชาญ กำลังใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึง และค้นหาข้อมูลของเป้าหมาย โดยเฉพาะเทคโนโลยีที่ไม่รองรับการป้องกันจากอุปกรณ์ EDR"

 

ที่มา : thehackernews