Secureworks Counter Threat Unit (CTU) พบว่าแฮกเกอร์กลุ่ม Cobalt หรือที่รู้จักกันในอีกชื่อว่า "Gold Kingswood" ที่มีเป้าหมายโจมตีสถาบันการเงินทั่วโลก กำลังดำเนินการแพร่กระจายมัลแวร์ "SpicyOmelette"

SpicyOmelette เป็น javascript ที่มีความซับซ้อน มีความสามารถถูกใช้ในการ remote ทำให้แฮกเกอร์สามารถโจมตีระบบได้จากระยะไกล มัลแวร์ตัวนี้ถูกแพร่กระจายผ่านช่องทาง Phishing e-mail โดยมุ่งเป้าไปที่พนักงานในบริษัท ใน e-mail จะมีไฟล์ PDF แนบมาด้วย เมื่อเปิดไฟล์จะถูก redirect ไปยัง URL ที่ถูกชี้ไปยัง AWS ที่แฮกเกอร์เป็นคนควบคุม เมื่อเข้าหน้าเว็บที่ถูก redirect ไปนี้จะถูกทำการติดตั้ง SpicyOmelette ซึ่งหน้าเว็บดังกล่าวจะมีการ sign ด้วย trusted certificate เมื่อ SpicyOmelette ติดตั้งลงบนเครื่องของเป้าหมาย จะทำการรวบรวมข้อมูล IP, ชื่อระบบ และทำการติดตั้งไฟล์อันตรายอื่นเพิ่มเติม รวมทั้งสามารถสแกนหา antivirus ที่ติดตั้งอยู่ภายในเครื่องได้ มัลแวร์ยังสามารถเพิ่มสิทธิ์ตัวเอง (privilege escalation) ด้วยการขโมย credential อื่นๆ บนเครื่อง สามารถทำการเก็บข้อมูลเพื่อใช้ในการระบุว่าเป็นระบบที่มีความสำคัญหรือไม่ เช่น Payment Gateway หรือรูปแบบโครงสร้างของเครื่อง ATM

ก่อนหน้านี้เชื่อว่ากลุ่ม Cobalt มีส่วนเกี่ยวข้องในการขโมยเงินหลายล้านดอลลาร์จากสถาบันการเงินทั่วโลก แม้จะมีการจับกุมผู้ต้องสงสัยได้แต่ทาง CTU คาดว่ากลุ่มแฮกเกอร์ดังกล่าวจะไม่มีการหยุดกระทำการใดๆ และยังคงมีการพัฒนาการโจรกรรมต่อไปเรื่อยๆ และองค์กรการเงินยังคงอยู่ในความเสี่ยงต่อภัยคุกคามจากกลุ่มนี้อยู่

ที่มา : ZDNet

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.

Forrester หนึ่งในบริษัทผู้นำด้านการตลาดและที่ปรึกษาด้านการลงทุนที่สำคัญของโลก ออกมายอมรับเมื่อวันศุกร์ที่ผ่านมาถึงเรื่องการละเมิดความปลอดภัยที่เกิดขึ้นในช่วงสัปดาห์ที่ผ่านมา บริษัทระบุว่าถูกแฮกเกอร์โจมตี website "Forrester.

ผู้เชี่ยวชาญของ Sophos ได้พบการโจมตีในรูปแบบ phishing สำหรับบริการไปรษณีย์ออนไลน์ของประเทศอิตาลี โดยมีวัตถุประสงค์เพื่อหลอกหลวงให้เหยื่อเข้าสู่ระบบไปยังเว็บไซต์ที่แฮกเกอร์ได้สร้างขึ้นมา

ล่าสุดแฮกเกอร์ได้ส่งอีเมล์ปลอมพร้อมกับแนบไฟล์เอกสาร HTML เมื่อเหยื่อต้องการที่จะทำธุระกรรมทางการเงิน พร้อมทั้งดาวน์โหลดไฟล์เอกสาร จะต้องทำตามขั้นตอนของแฮกเกอร์ คือ ให้ผู้ใช้ใส่รหัสผ่านในกล่องข้อความที่แฮกเกอร์ได้สร้างขึ้นมา หลังจากนั้นเว็บไซต์ปลอมดังกล่าวจะแสดงขึ้นมา เพื่อให้เหยื่อเข้าสู่ระบบเพื่อทำธุรกรรมทางการเงิน

จากรายงาน รหัสผ่านที่แฮกเกอร์สร้างขึ้นมานั้น เป็นคีย์ในการถอดรหัสที่ถูกฝังอยู่ในโค้ด JavaScript จะทำให้หน้าเว็บไซต์ปลอมนั้นถูกโหลดกลับมาใช้งาน โดยมีการใช้ URL: bit.