Schneider Electric บริษัทชั้นนำด้านพลังงานถูกโจมตีจาก Cactus ransomware โจมตี

Schneider Electric บริษัทชั้นนำด้านพลังงาน และระบบอัตโนมัติ ได้เปิดเผยว่าถูกโจมตีจาก Cactus ransomware และขโมยข้อมูลออกไป

(more…)

รหัสผ่านที่ถูกเผยแพร่อย่างผิดพลาด อาจส่งผลให้ source code ของ Mercedes-Benz รั่วไหล

Mercedes-Benz พลาดเปิดเผยข้อมูลภายในโดยไม่ได้ตั้งใจ หลังจากปล่อยให้ private key ถูกเข้าถึงได้ออนไลน์ ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าถึง source code ของบริษัทได้ ตามข้อมูลจากบริษัทวิจัยด้านความปลอดภัยที่ค้นพบ

(more…)

เปิดเผยการโจมตีของ Atomic Stealer (AMOS) และการเพิ่มขึ้นของ Dead Cookies Restoration

Cyble Research and Intelligence Labs (CRIL) พบว่ามีการแพร่กระจายเวอร์ชันอัปเดตของ AMOS Stealer ผ่านเว็บไซต์ปลอม โดยปลอมเป็นแอปพลิเคชันบน Mac เช่น arallels Desktop, CleanMyMac, Arc Browser และ Pixelmator

(more…)

Microsoft ออกมาอธิบายกรณี Exchange Online account ถูกโจมตี

Microsoft ออกมายืนยันว่ากลุ่ม Hacker ซึ่งเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย ได้โจมตีเข้าสู่บัญชีอีเมลของผู้บริหารในเดือนพฤศจิกายน 2023 รวมถึงการโจมตีองค์กรอื่น ๆ ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ Exchange Online

(more…)

พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์

พบกลุ่ม Hacker ในชื่อ Blackwood กำลังใช้มัลแวร์ที่มีความสามารถสูงในชื่อ “NSPX30” เพื่อทำการโจมตีทางไซเบอร์ต่อบริษัท และบุคคล

(more…)

ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้

1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ

องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว

ที่มา: bleepingcomputer

 

2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด

ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github

ที่มา: microsoft

 

3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister

 

3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

หน่วยงานความมั่นคงของยูเครน National Security and Defense Council of Ukraine (NSDC) เปิดเผยความเชื่อมโยงของแฮกเกอร์รัสเซียเข้ากับความพยายามในการโจมตีระบบจัดการเอกสารของรัฐบาลยูเครนพร้อมเผยแพร่ Indicator of compromise ที่ได้จากการโจมตี ทั้งนี้ NSDC ยังไม่มีการระบุอย่างแน่ชัดว่าเป็นกลุ่มแฮกเกอร์ใด

ระบบที่ถูกแฮกนั้นเป็นระบบที่มีชื่อว่า System of Electronic Interaction of Executive Bodies (SEI EB) ซึ่งเป็นระบบที่รัฐบาลยูเครนจะใช้ในการแบ่งปันและเผยแพร่เอกสารในหน่วยงานรัฐของยูเครน โดยจากการตรวจสอบนั้น NSDC ตรวจพบการพยายามอัปโหลดไฟล์เอกสารที่มีโค้ดที่เป็นอันตรายไปยังระบบ SEI EB ซึ่งคาดว่ามีเป้าหมายในการหลอกให้มีการดาวน์โหลดและติดตั้งมัลแวร์

ยูเครนตกเป็นเป้าการโจมตีจากรัสเซียอยู่บ่อยครั้ง โดยเมื่อช่วงสัปดาห์ที่ผ่านมา ทาง NSDC ก็มีการเปิดเผยว่ารัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีในลักษณะ DDoS ต่อระบบและเว็บไซต์ของรัฐบาล อีกทั้งยังมีกรณีที่ของมัลแวร์เรียกค่าไถ่ Egregor ที่คาดว่ามีการแพร่กระจายอย่างเฉพาะเจาะจงและมีรัฐบาลรัสเซียอยู่เบื้องหลังอีกด้วย

ที่มา: bleepingcomputer

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer