Infection Vector

เอกสาร Excel ที่เป็นอันตราย

ในขั้นตอนแรกของการโจมตี คือการใช้เอกสาร Excel ที่มีสคริปต์ VBA ที่รันคำสั่ง PowerShell เพื่อดาวน์โหลด 'Windows Update.

แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล

นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565

เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง

(more…)

Qualys บริษัทด้านความปลอดภัยทางไซเบอร์รายงานการพบ BitRAT malware ได้นำข้อมูลที่ขโมยมาของลูกค้าธนาคารในโคลอมเบียมาใช้ในการโจมตีด้วย Email Phishing เพื่อทำการติดตั้ง BitRAT malware ซึ่งเป็นโทรจันที่ใช้ในการควบคุม และสั่งการจากระยะไกล (Remote Access Trojan) รวมไปถึงยังมีความสามารถในการโจมตีเป้าหมายได้หลากหลายวิธี เช่น การบันทึกวิดีโอ และเสียง, การโจรกรรมข้อมูล, การโจมตีแบบ DDoS, การขุด cryptocurrency และการส่ง payload ของการโจมตีอื่น ๆ เพิ่มเติม

การโจมตีของ BitRAT

BitRAT malware จะถูกส่งไปยังคอมพิวเตอร์ของเหยื่อผ่านทางไฟล์ Excel ซึ่งฝัง macro ที่เป็นอันตรายไว้ภายใน เมื่อเหยื่อเปิดไฟล์ขึ้นมา มันจะเรียกใช้ไฟล์ INF ที่ถูกเข้ารหัสไว้ และทำการดาวน์โหลด payload จาก GitHub repository โดยใช้ไลบรารี WinHTTP บนเครื่องที่ถูกโจมตี และดำเนินการด้วยฟังก์ชัน WinExec รวมถึงการย้ายตัวดาวน์โหลดไปยัง Windows startup โฟลเดอร์ เพื่อให้มันสามารถแฝงตัวอยู่บนเครื่องเหยื่อ และทำงานได้อีกครั้งโดยอัตโนมัติหากมีการรีบูตระบบ (Persistence)

โดย BitRAT malware ถูกพบตั้งแต่เดือนสิงหาคม 2020 และได้ถูกนำมาประกาศขายบน dark web ในราคาเพียง $20 ซึ่งสามารถใช้งานได้ตลอดไป โดยพบว่ามีกลุ่ม Hackers นำมัลแวร์ดังกล่าวมาประยุกต์ใช้ร่วมกับวิธีการโจมตีของตัวเอง เช่น phishing, watering holes และ Remote Access Trojan

 

ที่มา : bleepingcomputer

แคมเปญฟิชชิ่งใหม่ที่มีการใช้ไฟล์ CSV ที่ถูกสร้างขึ้นเพื่อทำให้อุปกรณ์ของผู้ใช้ติดมัลแวร์ BazarBackdoor

ไฟล์ที่คั่นด้วยเครื่องหมายจุลภาค (CSV) เป็นไฟล์ที่มีคอลัมน์ของข้อมูลที่จะถูกคั่นด้วยเครื่องหมายจุลภาค ซึ่งในหลายกรณี ข้อความบรรทัดแรกคือส่วนหัวหรือคำอธิบายสำหรับข้อมูลในแต่ละคอลัมน์

การใช้ CSV เป็นวิธีที่นิยมในการส่งออกข้อมูลจากแอปพลิเคชัน ที่สามารถนำเข้าสู่โปรแกรมอื่นได้ ไม่ว่าจะเป็น Excel,โปรแกรมจัดการรหัสผ่านไปจนถึงซอฟต์แวร์ที่ใช้เรียกเก็บเงิน

เนื่องจาก CSV เป็นเพียงข้อความที่ไม่มีโค้ดคำสั่ง หลายคนจึงมองว่าไฟล์ประเภทนี้ไม่เป็นอันตราย และเปิดใช้งานได้อย่างไม่ต้องกังวล

อย่างไรก็ตาม Microsoft Excel ที่มีการรองรับฟีเจอร์ที่เรียกว่า Dynamic Data Exchange (DDE) สามารถใช้เพื่อรันคำสั่งที่มีเอาต์พุตป้อนลงในโปรแกรม spreadsheet ที่เปิดอยู่ รวมไปถึงไฟล์ CSV ที่ผู้ไม่หวังดีสามารถใช้ฟีเจอรืนี้เพื่อรันคำสั่งที่ดาวน์โหลด และติดตั้งมัลแวร์ได้โดยที่เหยื่อไม่สงสัย

ไฟล์ CSV ที่ใช้ DDE เพื่อติดตั้ง BazarBackdoor

แคมเปญฟิชชิ่งใหม่ที่ค้นพบโดยนักวิจัยด้านความปลอดภัย Chris Campbell กำลังถูกใช้เพื่อติดตั้งโทรจัน BazarLoader/BazarBackdoor บนไฟล์ CSV ที่เป็นอันตราย โดย BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot เพื่อให้ผู้บุกรุกเข้าถึงอุปกรณ์ภายในจากระยะไกล และยังสามารถใช้เป็นช่องทางในการเข้าถึงข้อมูลภายในเครือข่ายได้

อีเมลฟิชชิงปลอมเป็นลักษณะ "คำแนะนำการโอนเงิน" พร้อมทั้งลิงค์ไปดาวน์โหลดไฟล์ CSV ที่มีชื่อคล้ายกับ "document-21966.csv"

เช่นเดียวกับไฟล์ CSV ปกติ ไฟล์ document-21966.csv เป็นเพียงไฟล์ข้อความ โดยมีคอลัมน์ของข้อมูลคั่นด้วยเครื่องหมายจุลภาค ตามรูปภาพด้านล่าง

ผู้เชี่ยวชาญสังเกตเห็นว่าคอลัมน์ข้อมูลมีการเรียกใช้ WMIC แปลก ๆ ในคอลัมน์หนึ่งของข้อมูล ที่เรียกใช้คำสั่ง PowerShell นั่นก็คือ WmiC| เป็นคำสั่งฟังก์ชัน DDE ที่ทำให้ Microsoft Excel เปิดใช้ WMIC.exe และรันคำสั่ง PowerShell ที่ให้มา

ในกรณีนี้ DDE จะใช้ WMIC เพื่อสร้าง Process PowerShell ใหม่ที่มีการ Remote URL จากระยะไกลที่มีคำสั่ง PowerShell อื่นๆที่ดำเนินการไว้แล้ว

การเรียกใช้คำสั่ง PowerShell จากระยะไกลที่แสดงด้านล่างนี้ จะดาวน์โหลดไฟล์ picture.

อีเมลฟิชชิ่งปลอมเป็น WeTransfer โดยมีการแชร์ไฟล์สองไฟล์ให้กับเหยื่อ และลิงก์สำหรับดูไฟล์เหล่านั้น

Armorblox รายงานว่า ผู้โจมตีทำการปลอมแปลงเป็นอีเมลจากระบบของ WeTransfer เพื่อโจมตีแบบ credential phishing โดยอีเมลที่ถูกปลอมแปลงขึ้นมาจะนำไปสู่หน้าฟิชชิ่งที่มีรูปแบบของ Microsoft Excel ซึ่งเป้าหมายหลักของการโจมตีครั้งนี้ คือการขโมยข้อมูล email credentials Office 365 ของเหยื่อ

WeTransfer เป็นเว็บไซต์ให้บริการถ่ายโอนไฟล์ มักถูกใช้สำหรับการแชร์ไฟล์ที่มีขนาดใหญ่เกินไปที่จะส่งผ่านทางอีเมล

การโจมตี

อีเมลฟิชชิ่งจะถูกส่งโดย WeTransfer เนื่องจากมีชื่อผู้ส่งเป็น Wetransfer และมีชื่อไฟล์ที่แสดงการส่งผ่าน WeTransfer โดยมีความคล้ายคลึงกันกับอีเมล WeTransfer ของจริง และเนื้อหาของอีเมลยังอ้างอิงถึงองค์กรเพื่อให้ดูเหมือนถูกต้องอีกด้วย จึงสามารถหลอกผู้ใช้ที่ไม่ระวังได้อย่างง่าย

เนื้อหาอีเมลแจ้งว่า WeTransfer ได้แชร์ไฟล์สองไฟล์กับเหยื่อ และมีลิงก์สำหรับดูไฟล์เหล่านั้น เมื่อเหยื่อคลิกดูไฟล์ ลิงก์จะนำไปยังหน้าฟิชชิ่งที่คาดว่าน่าจะเป็นของ Microsoft Excel นอกจากนี้ยังมี spreadsheet ที่เบลอเป็นพื้นหลัง และแสดงแบบฟอร์มกำหนดให้เหยื่อต้องป้อนข้อมูลการเข้าสู่ระบบ

โดเมนของผู้ส่งอีเมลเป็นผู้ให้บริการเว็บโฮสติ้งชื่อ 'valueserver[.]jp.

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer