พบมัลแวร์ใช้ Google OAuth endpoint กู้คืน cookie เพื่อขโมยบัญชีผู้ใช้

พบมัลแวร์ใช้ Google OAuth endpoint กู้คืน cookie เพื่อขโมยบัญชีผู้ใช้

พบ information-stealing malware หรือมัลแวร์ขโมยข้อมูลหลายตัว ได้ใช้ Google OAuth endpoint ที่พึ่งถูกค้นพบในชื่อ "MultiLogin" เพื่อกู้คืน Session cookie ที่ใช้ในการตรวจสอบสิทธิ์ที่หมดอายุ และลงชื่อเข้าใช้บัญชีของผู้ใช้ แม้ว่ารหัสผ่านของบัญชีจะถูกรีเซ็ตไปแล้วก็ตาม

(more…)

แฮ็กเกอร์ใช้ประโยชน์จาก Windows Container Isolation Framework เพื่อ Bypass Endpoint Security

ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

การรั่วไหลของ LockBit 3.0 Ransomware Builder ทำให้เกิดเวอร์ชันใหม่หลายร้อยรายการ

การรั่วไหลของ LockBit 3.0 ransomware builder ในปีที่ผ่านมา ส่งผลให้ผู้โจมตีใช้เครื่องมือนี้เพื่อสร้าง ransomware เวอร์ชันใหม่ออกมาจำนวนมาก

Kaspersky บริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียระบุว่า ตรวจพบการโจมตีของแรนซัมแวร์ที่ใช้โค้ดของ LockBit แต่มีขั้นตอนการเรียกค่าไถ่ที่แตกต่างอย่างชัดเจน

โดยนักวิจัยด้านความปลอดภัย Eduardo Ovalle และ Francesco Figurell ระบุว่า “ผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ ได้ใช้ข้อความเรียกค่าไถ่ที่แตกต่างออกไป โดยเกี่ยวข้องกับกลุ่มที่ไม่เคยรู้จักมาก่อนที่ชื่อว่า 'NATIONAL HAZARD AGENCY' "

การเรียกค่าไถ่รูปแบบใหม่นี้จะระบุจำนวนเงินที่ต้องชำระโดยตรงเพื่อรับคีย์ถอดรหัส และให้ติดต่อผ่านบริการ Tox และอีเมล ซึ่งแตกต่างกับกลุ่ม LockBit ที่ไม่ได้ระบุจำนวนเงิน และใช้แพลตฟอร์มการสื่อสาร และการเจรจาของตนเอง

NATIONAL HAZARD AGENCY ไม่ใช่กลุ่มผู้โจมตีกลุ่มเดียวที่ใช้ LockBit 3.0 builder ที่รั่วไหลครั้งนี้ โดยยังพบผู้โจมตีกลุ่มอื่นที่ใช้เครื่องมือนี้ รวมถึง Bl00dy และ Buhti อีกด้วย

Kaspersky ได้บันทึกว่าตรวจพบ 396 ตัวอย่างของ LockBit ที่แตกต่างกัน โดยในจำนวนนี้ 312 ตัว ถูกสร้างจาก builders ที่รั่วไหล อีกทั้งยังมีตัวอย่างทั้งหมด 77 ตัวที่ไม่มีการอ้างอิงถึง "LockBit" ในข้อความเรียกค่าไถ่

นักวิจัยระบุว่า "parameters ที่ตรวจพบหลายตัวสอดคล้องกับการกำหนดค่าเริ่มต้นของ builder โดยมีบางส่วนที่เปลี่ยนแปลงเล็กน้อย" แสดงให้เห็นว่าตัวอย่างนั้นเป็นไปได้ว่าถูกพัฒนาขึ้นเพื่อความเร่งด่วน หรือโดยผู้โจมตีที่ไม่มีความเชี่ยวชาญเท่าไร

การเปิดเผยนี้เกิดขึ้นเมื่อ Netenrich ได้สำรวจร่องรอยของ ransomware ที่เรียกว่า ADHUBLLKA ซึ่งได้มีการเปลี่ยนแบรนด์หลายครั้งตั้งแต่ปี 2019 (BIT, LOLKEK, OBZ, U2K, และ TZW) ในขณะที่กำหนดเป้าหมายไปที่กลุ่มบุคคล และธุรกิจขนาดเล็กเพื่อรับเงินค่าไถ่ที่ต่ำมากในช่วง 800 ถึง 1,600 ดอลลาร์สหรัฐจากเหยื่อ

แม้ว่าแต่ละเวอร์ชันของ ransomware จะมาพร้อมกับการปรับเปลี่ยนเล็กน้อยในรูปแบบการเข้ารหัส, ข้อความเรียกค่าไถ่ และวิธีการที่ใช้ในการสื่อสาร แต่จากการตรวจสอบพบว่าถูกเชื่อมโยงไปที่ ADHUBLLKA เนื่องจากมีความคล้ายคลึงใน source code และ infrastructure ที่ใช้

Rakesh Krishnan นักวิจัยด้านความปลอดภัยระบุว่า "เมื่อ ransomware ประสบความสำเร็จ มักจะพบว่าผู้โจมตีมักใช้ ransomware ตัวเดียวกัน โดยปรับปรุง codebase เล็กน้อย เพื่อนำร่องโปรเจกต์อื่น ๆ"

"ตัวอย่างเช่น ผู้โจมตีอาจเปลี่ยนแปลงวิธีการเข้ารหัสข้อมูล ข้อความเรียกค่าไถ่ หรือช่องทางการสื่อสาร command-and-control (C2) แล้วเปลี่ยนชื่อเป็น ransomware ตัวใหม่"

Ransomware ยังคงถูกพัฒนาอย่างต่อเนื่อง โดยมีการเปลี่่ยนแปลงวิธีการโจมตี และเป้าหมายอยู่บ่อยครั้ง เพื่อมุ่งไปหมายไปยัง Linux เช่น Trigona, Monti, และ Akira ซึ่งมีความเชื่อมโยงกับผู้โจมตีที่เกี่ยวของกับกลุ่ม Conti

Akira ยังถูกเชื่อมโยงกับการโจมตีที่ใช้ผลิตภัณฑ์ Cisco VPN เป็นช่องทางการโจมตีเพื่อเข้าถึงเครือข่ายขององค์กรโดยไม่ได้รับอนุญาต โดย Cisco ได้ยอมรับว่ากลุ่มผู้โจมตีได้ใช้ประโยชน์จาก Cisco VPNs ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication

Cisco ระบุว่า "ผู้โจมตีมักจะมุ่งเน้นไปที่ผู้ใช้งานที่ไม่ได้เปิดใช้งาน multi-factor authentication (MFA) และช่องโหว่ของซอฟต์แวร์ VPN"

เมื่อผู้โจมตีเข้าถึงฐานข้อมูลของเครือข่ายเป้าหมายได้ มันจะพยายามดึงข้อมูล credentials ผ่านการ dumps SASS (Local Security Authority Subsystem Service) เพื่อโจมตีต่อไปยังภายในเครือข่าย และเพิ่มระดับสิทธิ์หากจำเป็น

การพัฒนานี้เกิดขึ้นในช่วงเวลาที่เกิดการเพิ่มขึ้นของการโจมตีด้วย ransomware โดยกลุ่ม Cl0p ransomware ได้โจมตีองค์กรมากกว่า 1,000 แห่งโดยใช้ช่องโหว่ในแอปพลิเคชัน MOVEit Transfer เพื่อเข้าถึงระบบเบื้องต้น และทำการเข้ารหัสเครือข่ายเป้าหมาย

องค์กรที่ตั้งอยู่ในสหรัฐฯ มีผู้เสียหายในอัตรา 83.9% ตามด้วยเยอรมนี (3.6%) แคนาดา (2.6%) และสหราชอาณาจักร (2.1%) โดยมีรายงานว่ามีผู้ได้รับผลกระทบจำนวนกว่า 60 ล้านคน จากแคมเปญการโจมตีขนาดใหญ่ที่เริ่มต้นในเดือนพฤษภาคม 2023

อย่างไรก็ตาม พื้นที่ที่ได้รับผลกระทบจากการโจมตีของ ransomware มีปริมาณเพิ่มขึ้นเป็นอย่างมาก แสดงให้เห็นว่ากลุ่มผู้โจมตีจะได้รับผลกำไรราว ๆ 75 ล้านถึง 100 ล้านดอลลาร์จากการพยายามโจมตีดังกล่าว

Coveware ระบุว่า "ในขณะที่แคมเปญการโจมตีช่องโหว่ของ MOVEit อาจส่งผลกระทบต่อบริษัทมากกว่า 1,000 แห่งโดยตรง แต่มีเพียงส่วนน้อยมากของผู้เสียหายที่พยายามเจรจาต่อรอง หรือพิจารณาในการยอมชำระเงิน"

ผู้ที่ยอมจ่ายเงินมีจำนวนมากกว่าแคมเปญ CloP ก่อนหน้านี้ และจ่ายเงินมากกว่าค่าไถ่เฉลี่ยระดับโลกที่ 740,144 ดอลลาร์สหรัฐ (+126% จากไตรมาส 1 ปี 2023)"

นอกจากนี้ตามรายงานของ Sophos เรื่อง "Active Adversary Report ปี 2023" ระยะเวลาเฉลี่ยสำหรับเหตุการณ์การดจมตีจาก ransomware ลดลงจาก 9 วันในปี 2022 เหลือเพียง 5 วันในครึ่งปีแรกของปี 2023 ซึ่งแสดงให้เห็นว่ากลุ่ม ransomware กำลังโจมตีได้เร็วกว่าที่เคยเป็นมา

"ใน 81% ของการโจมตีด้วย ransomware payload อยู่ในช่วงนอกเวลาทำการปกติ และสำหรับการโจมตีในช่วงเวลาทำการ มีเพียง 5 ครั้งเท่านั้นที่เกิดขึ้นในวันธรรมดา โดยการโจมตีด้วย ransomware เกือบครึ่ง (43%) ถูกตรวจพบในวันศุกร์ หรือไม่ก็วันเสาร์"

ที่มา : thehackernews

Malicious PyPI Package เปิด backdoor ให้แฮ็กเกอร์เข้าถึงเครื่องบน Windows, Linux และ Macs ได้

เมื่อวันที่ 17 พฤษภาคม พ.ศ. 2565 มีผู้ไม่หวังดีได้อัปโหลดไฟล์อันตรายชื่อ 'pymafka' ไปยัง PyPI ที่เป็นคลังโปรแกรม และไลบรารีเสริมของ Python โดยไฟล์อันตรายนี้ได้มีชื่อคล้ายกับ PyKafka ซึ่งเป็น Client ของ Apache Kafka ที่ใช้กันอย่างแพร่หลาย โดยต่างกันเพียงเปลี่ยนจาก 'K' เป็น 'M'

Sonatype ซึ่งเป็นผู้ค้นพบ pymafka ได้รายงานไปยัง PyPI ทำให้ไฟล์ดังกล่าวถูกลบออกไปจากระบบเรียบร้อย นอกจากนี้ยังมีการแจ้งไปยังนักพัฒนาที่ดาวน์โหลดไฟล์มาให้ทำการลบไฟล์ทิ้ง และตรวจสอบระบบของพวกเขาทั้งหมดที่อาจถูกฝัง Cobalt Strike Beacon และ Linux Backdoors ไว้ อย่างไรก็ตามพบว่ามีผู้ดาวโหลดไฟล์นี้กว่า 325 ครั้ง ทำให้อาจจะยังมีผู้ได้รับผลกระทบ เนื่องจากไฟล์ดังกล่าวมีการขออนุญาตเข้าถึงข้อมูลภายในของผู้พัฒนาระบบจำนวนมาก

(more…)

ทีมงาน I-SECURE ขอประมวลเหตุการณ์ช่องโหว่ ที่จัดอยู่ในระดับความรุนแรงสูงมาก พร้อมผลทดสอบการป้องกันการโจมตี ของ Log4j หรืออีกชื่อหนึ่ง Log4Shell โดยมีหมายเลขช่องโหว่เป็น CVE-2021-44228 ที่ผ่านมาตลอด 1 สัปดาห์

เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.