ร้านค้าออนไลน์ตกเป็นเป้าหมายของแคมเปญการโจมตีใหม่โดยใช้ Vidar malware มัลแวร์ขโมยข้อมูลที่ทำให้ Hacker สามารถขโมยข้อมูลจากผู้ขายของออนไลน์ออกไปได้
BleepingComputer ได้รับรายงานว่าแคมเปญใหม่นี้ พึ่งเปิดตัวในสัปดาห์นี้โดย Hacker ได้ส่งข้อร้องเรียนไปยังผู้ดูแลร้านค้าออนไลน์ผ่านอีเมล และแบบฟอร์มติดต่อเว็บไซต์ ซึ่งอีเมลเหล่านี้หลอก (more…)
กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อนำมาใช้ในการเก็บข้อมูลที่ขโมยมา เก็บมัลแวร์ หรือไฟล์ที่เป็นอันตรายเพื่อใช้ในการโจมตีเหยื่อ และยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ เนื่องจาก Google Drive เป็นบริการพื้นที่เก็บข้อมูลที่ได้รับความไว้วางใจจากผู้ใช้งานนับล้านทั่วโลก จึงทำให้การโจมตีโดยเชื่อมโยงกับไฟล์ที่อยู่บน Google Drive อาจไม่ถูกตรวจจับ หรือป้องกัน
กลุ่ม APT29 หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Nobelium ได้ใช้กลยุทธ์ดังกล่าวในการโจมตีเมื่อเร็วๆนี้ โดยมุ่งเป้าไปที่ภารกิจทางการทูตของตะวันตก และสถานทูตต่างประเทศทั่วโลกระหว่างต้นเดือนพฤษภาคมถึงมิถุนายน 2565
นักวิเคราะห์จาก Unit 42 ผู้พบเห็นแนวโน้มการโจมตีในรูปแบบนี้ระบุว่า “สองแคมเปญล่าสุดของพวกเขาใช้ประโยชน์จากบริการจัดเก็บข้อมูลระบบคลาวด์ของ Google Drive เป็นครั้งแรก”
"การใช้งานที่แพร่หลายของบริการพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Drive บวกกับความไว้วางใจจากผู้ใช้งานหลายล้านคนทั่วโลก ทำให้ Google Drive ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์จากกลุ่ม APT"
ขณะที่ Mandiant ได้เปิดเผยในรายงานเดือนเมษายนที่มีการติดตามหนึ่งในแคมเปญฟิชชิ่งของกลุ่ม APT ว่า นี่ไม่ใช่ครั้งแรกที่กลุ่มแฮ็กเกอร์ APT29 ใช้บริการเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2) และการจัดเก็บข้อมูลต่างๆ
เช่นเดียวกับในแคมเปญที่พบโดย Unit 42 ทีมของ Mandiant ยังพบการโจมตีด้วยฟิชชิ่งของกลุ่มแฮ็กเกอร์กับพนักงานขององค์กรทางการทูตต่างๆ ทั่วโลก ซึ่งสอดคล้องกับผลประโยชน์เชิงกลยุทธ์ทางภูมิรัฐศาสตร์ของรัสเซียในปัจจุบัน และการกำหนดเป้าหมายของ APT29 ก่อนหน้านี้
เป้าหมายระดับสูงของ APT29
APT29 คือกลุ่มผู้โจมตีที่คาดว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ที่ดำเนินการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds ซึ่งนำไปสู่การเข้าถึงข้อมูลของหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่งในปี 2563
เมื่อปลายเดือนกรกฎาคม กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่าสำนักงานอัยการสหรัฐฯ 27 แห่งถูกละเมิดข้อมูลในระหว่างการถูกโจมตีของ SolarWinds
ในเดือนเมษายน พ.ศ. 2564 รัฐบาลสหรัฐฯ กล่าวโทษ SVR อย่างเป็นทางการว่ามีส่วนเกี่ยวข้องกับการเข้าถึงข้อมูลของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง
หลังจากการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds กลุ่ม APT29 ยังได้ทำการโจมตีเครือข่ายขององค์กรอื่นๆ โดยใช้มัลแวร์ที่ยังไม่เคยถูกตรวจพบมาก่อน เช่น GoldMax Linux backdoor และ TrailBlazer Malware
โดยกลุ่มยังมีการกำหนดเป้าหมายไปที่กลุ่มบริษัท I.T. supply chain จากรายงานที่ Microsoft เปิดเผยเมื่อเดือนตุลาคมว่ามีบริษัทที่โดนโจมตีสำเร็จอย่างน้อย 14 ราย หลังจากการพยายามโจมตีผู้ให้บริการในลักษณะ MSP และผู้ให้บริการระบบคลาวด์ประมาณ 140 รายตั้งแต่เดือนพฤษภาคม 2564
ที่มา: bleepingcomputer, unit42.paloaltonetworks
Nikoci นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใน Google Drive ที่สามารถทำให้ผู้โจมตีหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ได้ หลังพบผู้ใช้ได้รับผลกระทบจากการดาวน์โหลดไฟล์ที่มีมัลแวร์ซ่อนอยู่
ช่องโหว่ของ Google Drive ซึ่งยังไม่ได้รับการแก้ไขนั้นทำให้ผู้โจมตีสามารถเผยแพร่มัลแวร์ผ่าน Google Drive โดยผู้ประสงค์ร้ายสามารถใช้เมนู "Manage versions" โดยมีขั้นตอนเพียงแค่ทำการอัปโหลดไฟล์ปกติลงบน Google Drive ก่อนและหลังจากนั้นทำการอัปเดตไฟล์ใหม่ด้วยไฟล์ที่เป็นอันตรายที่มีชื่อเดียวกันเเทนไฟล์ที่ทำการอัปโหลดครั้งเเรกผ่าน "Manage versions"
จุดอ่อนของฟีเจอร์นี้อยู่ในข้อเท็จจริงที่ Google Drive จะไม่ตรวจสอบว่าไฟล์ที่อัปโหลดไปใหม่นั้นเป็นไฟล์ชนิดเดียวกันหรือไม่ ทำให้ผู้โจมตีสามารถซ่อนมัลแวร์ได้อย่างแนบเนียนและทำการกระจายมัลแวร์ไปสู่เป้าหมาย โดยช่องโหว่นี้แฮกเกอร์สามารถปรับใช้เทคนิค Spear-phishing attack เพื่อหลอกผู้ใช้ให้ทำการดาวน์โหลดและติดตั้งซอฟเเวร์ผ่านทาง Google Drive โดยไฟล์ดังกล่าวอาจเป็นไฟล์ที่่มีมัลแวร์ซ่อนอยู่
ปัจจุบัน Google ยังไม่ได้แก้ปัญหานี้ ในขณะเดียวกันเว็บเบราว์เซอร์อย่าง Google Chrome ก็มักจะเชื่อถือไฟล์ที่ดาวน์โหลดจาก Google Drive แม้ว่าไฟล์จะถูกตรวจพบโดยซอฟต์แวร์ Antivirus ตัวอื่นๆ ว่าเป็นอันตรายก็ตาม
คำแนะนำ: ก่อนที่จะดาวน์โหลดไฟล์ควรตรวจสอบที่มาของไฟล์ก่อนโหลด ทั้งนี้ควรทำการสแกนและอัปเดตฐานข้อมูล Antivirus อยู่เสมอเพื่อป้องกันมัลแวร์ที่อาจถูกซ่อนอยู่ในไฟล์
ที่มา: thehackernews.