Citrix Netscaler ได้กลายเป็นเป้าหมายล่าสุดของการโจมตีในรูปแบบ Password Spray ในปีนี้ โดยมุ่งเป้าไปที่อุปกรณ์ edge networking และ cloud platform เพื่อโจมตีเครือข่ายขององค์กร

ในเดือนมีนาคม 2024 ทาง Cisco รายงานว่าพบ Hacker กำลังทำการโจมตีแบบ Password Spray บนอุปกรณ์ VPN ของ Cisco ซึ่งบางครั้งการโจมตีดังกล่าวทำให้เกิด Denial-of-Service ทำให้ Cisco ค้นพบช่องโหว่ DDoS ซึ่งได้ทำการแก้ไขไปแล้วในเดือนตุลาคม 2024

ในเดือนตุลาคม 2024 ทาง Microsoft ได้แจ้งเตือนว่า Quad7 Botnet กำลังมุ่งเป้าโจมตีอุปกรณ์เครือข่าย เช่น TP-Link, Asus, Ruckus, Axentra และ Zyxel เพื่อโจมตีแบบ Password Spray ผ่าน cloud services

รวมถึงหน่วยงานความปลอดภัยทางไซเบอร์ของเยอรมนี (BSI) ได้แจ้งเตือนถึงรายงานจำนวนมากที่ระบุว่าอุปกรณ์ Citrix Netscaler ตกเป็นเป้าหมายของการโจมตีด้วยวิธีการ Password Spray ในลักษณะที่คล้ายกัน เพื่อขโมยข้อมูล login credentials เพื่อเข้าสู่เครือข่าย

ข่าวการโจมตี Citrix Netscaler ดังกล่าวได้รับการรายงานครั้งแรกโดย Born City เมื่อสัปดาห์ที่แล้ว โดยผู้ใช้งานระบุว่าพวกเขาเริ่มประสบกับการโจมตีแบบบ Brute Force Attacks บนอุปกรณ์ Citrix Netscaler ของพวกเขามาตั้งแต่เดือนพฤศจิกายน 2024 และต่อเนื่องถึงเดือนธันวาคม 2024

ผู้ใช้งานบางรายระบุว่า ได้ถูกโจมตีเพื่อเข้าถึงข้อมูล account credentials โดยใช้ชื่อผู้ใช้ทั่วไปหลากหลายประเภทระหว่าง 20,000 ถึง 1 ล้านครั้ง โดยมีรายละเอียดดังนี้:

test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales

รวมไปถึง การโจมตีแบบ Password Spray ได้แก่ ชื่อ, ชื่อ-นามสกุล และที่อยู่อีเมล

Citrix ออกคำแนะนำการป้องกัน

Citrix ได้ออกเอกสารแจ้งเตือนด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิธีการ Password Spray ที่กำลังเพิ่มมากขึ้นในอุปกรณ์ Netscaler และได้ให้แนวทางแก้ไขเกี่ยวกับวิธีลดผลกระทบจากการโจมตีดังกล่าว

Citrix ระบุว่าการโจมตีด้วยวิธีการ Password Spray นั้นมีต้นทางจาก IP addresses ที่หลากหลาย ทำให้ยากต่อการบล็อก IP หรือการทำ rate limiting รวมถึงการพยายาม authentication จำนวนมากที่เกิดขึ้นอย่างกะทันหันอาจทำให้อุปกรณ์ Citrix Netscaler ที่กำหนดค่าไว้ให้ใช้ normal login volume เกิดการบันทึกข้อมูล log ที่มากขึ้น และทำให้ไม่สามารถใช้อุปกรณ์ได้ หรือมีปัญหาด้านประสิทธิภาพการทำงาน

ทั้งนี้การโจมตีที่ถูกพบ authentication requests จะมุ่งเป้าไปที่ pre-nFactor endpoints ซึ่งเป็น historical authentication URL ที่ใช้เพื่อความเข้ากันได้กับ legacy configurations

Citrix ได้เผยแพร่แนวทางลดผลกระทบจากการโจมตี ได้แก่:

เปิดใช้งาน multi-factor authentication (MFA) ก่อน LDAP factor
เนื่องจากการโจมตีมุ่งเป้าไปที่ IP addresses ทาง Citrix แนะนำให้สร้าง Policy เพื่อให้ authentication requests ถูกยกเลิก ยกเว้นจะพยายาม authentication กับชื่อโดเมนที่ระบุไว้
บล็อก Netscaler endpoints ที่เกี่ยวข้องกับ pre-nFactor authentication requests เว้นแต่จะจำเป็นต้องใช้สำหรับ environment ขององค์กร
ใช้ Web application firewall (WAF) เพื่อบล็อกที่ IP addresses ที่มีความเสี่ยง ที่เกิดจากพฤติกรรมอันตรายก่อนหน้า
Citrix ระบุว่าลูกค้าที่ใช้บริการ Gateway ไม่จำเป็นต้องใช้แนวทางลดผลกระทบเหล่านี้ เนื่องจากแนวทางเหล่านี้ใช้กับอุปกรณ์ NetScaler/NetScaler Gateway ที่ติดตั้งภายใน On premise หรือ On cloud เท่านั้น ซึ่งจะส่งผลกระทบเฉพาะ NetScaler firmware versions ที่สูงกว่า หรือเท่ากับ 13.0 เท่านั้น

สามารถตรวจสอบคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการใช้แนวทางลดผลกระทบเหล่านี้ได้ใน Citrix advisory

ที่มา : bleepingcomputer

Cleo ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Day ใน LexiCom, VLTransfer และ Harmony software ที่กำลังถูกใช้ในการโจมตีเพื่อขโมยข้อมูลอยู่ในปัจจุบัน

ในเดือนตุลาคม 2024 ทาง Cleo ได้แก้ไขช่องโหว่ CVE-2024-50623 (คะแนน CVSS 8.8/10 ความรุนแรงระดับ High) ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลก่อนการยืนยันตัวตนใน managed file transfer software และแจ้งเตือนให้ผู้ใช้งานอัปเดตเพื่อแก้ไขช่องโหว่โดยด่วน

นักวิจัยด้านความปลอดภัยของ Huntress ได้พบหลักฐานการโจมตี Cleo software ที่ติดตั้ง fully patch 5.8.0.21 เป็นครั้งแรกเมื่อวันที่ 3 ธันวาคม 2024 ตามมาด้วยการเพิ่มขึ้นอย่างเห็นได้ชัดของการโจมตีในวันอาทิตย์ที่ 8 ธันวาคม 2024 หลังจากที่ Hacker ค้นพบวิธี Bypass CVE-2024-50623 ได้อย่างรวดเร็ว (โดยยังไม่มี CVE-ID) ทำให้สามารถนำเข้า และดำเนินการคำสั่ง bash หรือ PowerShell ที่ต้องการได้โดยใช้ประโยชน์จากการตั้งค่า default Autorun folder

ทาง Huntress แนะนำให้ทำการย้ายระบบ Cleo ที่เชื่อมอินเทอร์เน็ตทั้งหมดไปไว้หลังไฟร์วอลล์จนกว่าจะมีการอัปเดตแพตช์ใหม่

โดยปัจจุบันช่องโหว่ Zero-Day ดังกล่าว กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่าง Kevin Beaumont เชื่อมโยงการโจมตีเข้ากับกลุ่ม Ransomware ในชื่อ Termite ซึ่งเพิ่งอ้างสิทธิ์ในการโจมตีผู้ให้บริการ software as a service (SaaS) ชื่อ Blue Yonder

รวมถึง Shodan ได้ติดตาม Cleo servers ทั่วโลก 421 แห่ง ซึ่ง 327 แห่งอยู่ในสหรัฐอเมริกา Yutaka Sejiyama นักวิจัยด้านภัยคุกคามของ Macnica ยังพบ Cleo servers 743 แห่งที่สามารถเข้าถึงได้ทางออนไลน์ (379 แห่งใช้ Harmony, 124 แห่งใช้ VLTrader และ 240 แห่งใช้ LexiCom)

การออกอัปเดตสำหรับป้องกันการโจมตีจากมัลแวร์ Malichus

ปัจจุบัน Cleo ได้ออกอัปเดตเพื่อป้องกันการโจมตีที่เกิดขึ้น และแนะนำให้ลูกค้าทำการอัปเดตเป็นเวอร์ชัน 5.8.0.24 โดยเร็วที่สุด เพื่อป้องกัน Cleo servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตจากการถูกโจมตี

Cleo แนะนำให้ลูกค้าทุกคนอัปเดต instances ของ Harmony, VLTrader และ LexiCom เป็นเวอร์ชันล่าสุด (เวอร์ชัน 5.8.0.24) ทันทีเพื่อแก้ไขช่องโหว่ หลังจากทำการอัปเดต ระบบจะบันทึกข้อผิดพลาด สำหรับไฟล์ใด ๆ ที่พบเมื่อเริ่มต้นใช้งานที่เกี่ยวข้องกับช่องโหว่ดังกล่าว และลบไฟล์เหล่านั้นออก

ทั้งนี้ Cleo แนะนำให้ผู้ที่ไม่สามารถอัปเดตได้ทันที ให้ทำการปิดการใช้งานคุณสมบัติ Autorun โดยไปที่ Options และเลือก Autorun directory ออก (วิธีนี้จะไม่ป้องกันการโจมตีขาเข้า แต่จะช่วยลด attack surface)

โดยล่าสุดพบว่า Hacker ใช้ประโยชน์จากแพตช์ที่ได้รับการอัปเดต ในการเรียกใช้เพย์โหลด Java Archive (JAR) ที่ถูกเข้ารหัส ซึ่งเป็นส่วนหนึ่งของ Java-based post-exploitation framework โดยที่ Rapid7 เป็นผู้ค้นพบขณะทำการสืบสวนการโจมตี

Huntress ยังได้วิเคราะห์มัลแวร์ในชื่อ Malichus โดยระบุว่ามัลแวร์นี้กำลังถูกนำไปใช้โจมตีเฉพาะบนอุปกรณ์ Windows เท่านั้น แม้ว่าจะรองรับ Linux ก็ตาม ตามรายงานของ Binary Defense ARC Labs ผู้โจมตีสามารถใช้ Malichus สำหรับการถ่ายโอนไฟล์ การเรียกใช้คำสั่ง และการสื่อสารบนเครือข่าย

จนถึงขณะนี้ Huntress ค้นพบบริษัทอย่างน้อย 10 แห่งที่ Cleo servers ถูกควบคุมภายหลังการโจมตีที่กำลังดำเนินอยู่นี้ และระบุว่ายังมีเหยื่อรายอื่น ๆ ที่อาจตกเป็นเหยื่อได้ รวมถึง Sophos ยังพบ IOCs บน Cleo hosts มากกว่า 50 แห่งอีกด้วย โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา ที่เป็นองค์กรค้าปลีก

การโจมตีเหล่านี้คล้ายคลึงกับการโจมตีเพื่อขโมยข้อมูลของ Clop ที่กำหนดเป้าหมายการโจมตีไปยังช่องโหว่ zero-day ใน MOVEit Transfer, GoAnywhere MFT และ Accellion FTA ในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : bleepingcomputer

พบช่องโหว่ Zero-day ใหม่ที่ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ได้ โดยการหลอกให้เป้าหมายเปิดไฟล์อันตรายใน Windows Explorer

ช่องโหว่ดังกล่าวถูกพบโดยทีม 0patch ซึ่งเป็นแพลตฟอร์มที่ให้การสนับสนุนอย่างไม่เป็นทางการสำหรับ Windows เวอร์ชันที่สิ้นสุดการสนับสนุน และได้รายงานให้ Microsoft ทราบแล้ว อย่างไรก็ตาม ยังไม่มีการออกแพตช์อย่างเป็นทางการในขณะนี้

(more…)

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

วันนี้ (10 ธันวาคม 2024) Ivanti ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ที่มีระดับความรุนแรงสูงสุดเกี่ยวกับการ authentication bypass ในโซลูชัน Cloud Services Appliance (CSA)

ช่องโหว่ด้านความปลอดภัย (CVE-2024-11639 และได้รับการรายงานโดยทีมวิจัยของ CrowdStrike) สามารถทำให้ผู้โจมตีจากภายนอกสามารถได้รับสิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA เวอร์ชัน 5.0.2 หรือเวอร์ชันก่อนหน้า โดยไม่ต้องผ่านการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ด้วยการหลีกเลี่ยงการยืนยันตัวตนด้วยช่องทาง หรือเส้นทางอื่น

(more…)

ช่องโหว่ใน Bootloader ของ Cisco NX-OS ส่งผลกระทบต่อสวิตช์มากกว่า 100 ตัว ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบ image signature ของระบบได้

โดย Cisco ได้ปล่อยแพตช์ความปลอดภัยสำหรับช่องโหว่ CVE-2024-20397 (คะแนน CVSS 5.2) ใน Bootloader ของซอฟต์แวร์ NX-OS ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อ bypass image signature ของระบบได้

ช่องโหว่ใน Bootloader ของ Cisco NX-OS Software อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนซึ่งเข้าถึงระบบได้ในระดับ physical หรือผู้โจมตีในระบบที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถ bypass image signature ของระบบ NX-OS ได้

สาเหตุของช่องโหว่นี้มาจากการตั้งค่า Bootloader ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้คำสั่ง Bootloader หลายคำสั่งเพื่อทริกเกอร์ให้เกิดช่องโหว่ได้

การโจมตีที่ประสบความสำเร็จอาจทำให้ผู้โจมตี bypass image signature ของระบบ NX-OS และโหลดซอฟต์แวร์ที่ไม่ผ่านการตรวจสอบได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Cisco ต่อไปนี้ที่ใช้ NX-OS Software กับเวอร์ชัน BIOS ที่มีช่องโหว่ โดยไม่คำนึงถึงการตั้งค่าการใช้งาน

UCS 6500 Series Fabric Interconnects (CSCwj35846)
MDS 9000 Series Multilayer Switches (CSCwh76163)
Nexus 3000 Series Switches (CSCwm47438)
Nexus 7000 Series Switches (CSCwh76166)
Nexus 9000 Series Fabric Switches ในโหมด ACI (CSCwn11901)
Nexus 9000 Series Switches ในโหมด NX-OS แบบ Standalone (CSCwm47438)
UCS 6400 Series Fabric Interconnects (CSCwj35846)
Cisco ระบุว่า ไม่มีวิธีการอื่นในการลดผลกระทบจากช่องโหว่

บริษัท PSIRT ระบุว่า ยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-20397

โดย Cisco จะไม่แก้ไขช่องโหว่สำหรับ Nexus 92160YC-X ที่หมดระยะเวลาการสนับสนุนด้านความปลอดภัย และช่องโหว่แล้ว

ที่มา : securityaffairs 

แคมเปญใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

โดยจะส่งผลให้เกิดการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ โดยมัลแวร์ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

ในเดือนกรกฎาคม McAfee รายงานว่าแคมเปญ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่าแคมเปญ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า แคมเปญล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้โจมตี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของแก๊งหลอกลวงสกุลเงินดิจิทัล Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

ผู้โจมตีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

ผู้โจมตีจะส่งอีเมลถึงผู้ใช้ที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

เมื่อผู้ใช้เข้าสู่หน้าเว็บไซต์ปลอมแล้ว ผู้ใช้จะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

หากผู้ใช้คลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้งมัลแวร์ ClickFix โดยจะมีการ Copyโค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ และดึงเพย์โหลดจากโดเมน googiedrivers[.]com

เพย์โหลดในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

Sekoia ได้ระบุว่า มัลแวร์ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

ที่มา : https://www.

โลกของเกมส่วนใหญ่จะเป็นสถานที่ที่มีการแข่งขันสูง โดยผู้เล่นหลายคนหันไปหาความช่วยเหลือจากโปรแกรมภายนอก (‘game hacks’) เพื่อให้ได้เปรียบ แม้ว่าโปรแกรมเหล่านี้บางโปรแกรมจะให้การช่วยเหลือในเกมอย่างถูกต้อง แต่ผู้ไม่หวังดีมักใช้ประโยชน์จากความสนใจของกลุ่มผู้ที่ชอบดัดแปลงเกม เพื่อนำมัลแวร์มาแพร่กระจาย หนึ่งในตัวอย่างนี้พบในชุมชนที่พัฒนาโปรแกรมโกงของเกมยอดนิยมอย่าง Roblox

Roblox เป็นแพลตฟอร์มเกมออนไลน์ และระบบสร้างเกมที่ได้รับความนิยม ซึ่งอนุญาตให้ผู้ใช้งานเล่น หรือสร้างเกมแบบผู้เล่นหลายคนได้ หนึ่งในตัวอย่างคือ Da Hood ซึ่งเป็นเกมในโครงสร้างของ Roblox โดยเกมนี้เกิดขึ้นในวัฒนธรรมแก๊งค์ ผู้เล่นสามารถเลือกที่จะเป็นตำรวจ หรืออาชญากร, เข้าร่วมกิจกรรมของแก๊งค์ หรือทำการต่อสู้กับแก๊งค์ เกมนี้ได้รับความนิยมอย่างมาก โดยปัจจุบันอยู่ในอันดับที่ 20 เกมยอดนิยมบน Roblox และมีการเข้าชมมากกว่า 2.6 พันล้านครั้ง

ผู้เล่นเกมจำนวนมาก รวมถึงผู้เล่น Roblox (และ Da Hood) เลือกติดตั้งโปรแกรมโกง (‘externals’), แฮ็ก และการปรับแต่ง (‘mods’) เพื่อเพิ่มประสบการณ์ในการเล่นเกม Mods สามารถเปลี่ยนแปลงรูปลักษณ์ หรือพฤติกรรมของเกม ในขณะที่โปรแกรมโกงอาจช่วยให้ผู้เล่นได้รับข้อได้เปรียบบางอย่างในระหว่างเล่นเกม เช่น “aimlock” ซึ่งช่วยเพิ่มความแม่นยำในเกมยิงปืน ตลอดระยะเวลาที่ผ่านมา มีชุมชนขนาดใหญ่เกิดขึ้นบนแพลตฟอร์มต่าง ๆ เช่น Reddit, YouTube และ Discord ซึ่งช่วยให้ผู้เล่นสามารถแลกเปลี่ยนเคล็ดลับ และเครื่องมือเกี่ยวกับ mods และ cheats สำหรับเกมต่าง ๆ ได้

Cheating the Cheaters: วิธีที่โปรแกรมภายนอก และ Mods ทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์

เป็นที่ทราบกันดีว่าการติดตั้งโปรแกรมโกง และ Mods เหล่านี้สามารถทำให้ผู้เล่นเสี่ยงต่อการติดมัลแวร์ ผู้ไม่หวังดีสามารถใช้แพลตฟอร์มเกมยอดนิยม, ฟอรัม และชุมชนต่าง ๆ เพื่อแพร่กระจายมัลแวร์ เช่น โปรแกรมขโมยข้อมูล (stealers), RATs (Remote Access Trojans) และ cryptominers หนึ่งในตัวอย่างของแคมเปญในลักษณะนี้ได้ถูกบันทึกไว้ในงานวิจัยของ Cisco Talos ผู้ที่ใช้โปรแกรมโกงมักถูกชักชวนให้ปิดการใช้งานแอนตี้ไวรัส และการป้องกันแบบเรียลไทม์ เพื่อให้โปรแกรมโกงสามารถทำงานได้ ซึ่งทำให้พวกเขายิ่งเสี่ยงต่อการติดมัลแวร์มากขึ้น ดังที่เราจะเห็นในตัวอย่างต่อไปนี้

การค้นพบของนักวิจัย

ในการวิจัยล่าสุดเกี่ยวกับแพ็กเกจ PyPI ที่ถูกโจมตี และเป็นอันตราย ทีมวิจัยภัยคุกคามของ Imperva ได้ระบุแคมเปญมัลแวร์ที่กำลังดำเนินอยู่ ซึ่งมุ่งเป้าไปที่ผู้ที่ใช้งานที่ใช้โปรแกรมโกงใน Roblox โดยในการตรวจสอบนี้พบข้อมูลที่สำคัญหลายประการ

แพ็กเกจ Python ที่เป็นอันตรายถูกอัปโหลดไปยัง PyPI ซึ่งมีโค้ดที่ออกแบบมาเพื่อดาวน์โหลดไฟล์ Windows ที่เป็นอันตราย
แพ็กเกจเหล่านี้ถูกสร้างขึ้นเพื่อใช้ประโยชน์จากผู้ที่ใช้โปรแกรมโกงในเกม Da Hood ของ Roblox โดยปลอมตัวเป็นโปรแกรมโกงประเภท “external” เพื่อหลอกผู้ใช้งาน
ผู้ไม่หวังดีใช้แพลตฟอร์มต่าง ๆ เช่น GitHub, Discord และ YouTube เพื่อเผยแพร่โปรแกรมโกงเหล่านี้
ในบรรดาไฟล์ Windows ที่ค้นพบมีกรณีของ Skuld Stealer และ Blank Grabber ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เป็นที่รู้จักกันดี

เราจะเปิดเผยเกี่ยวกับแคมเปญนี้ และกลยุทธ์ที่พัฒนาขึ้นเรื่อย ๆ ของกลุ่มผู้ไม่หวังดีที่มุ่งเป้าไปยังชุมชนผู้ใช้โปรแกรมโกงในเกม

การติดตามร่องรอย

ทุกอย่างเริ่มต้นด้วยแพ็กเกจที่ชื่อว่า ‘pysleek’ ซึ่งถูกตรวจจับโดยระบบตรวจสอบ เมื่อตรวจสอบเพิ่มเติม นักวิจัยพบว่าแพ็กเกจนี้ดาวน์โหลดไฟล์ไบนารีที่ชื่อว่า ‘zwerve.

ผู้ให้บริการด้านสุขภาพในรัฐเท็กซัส UMC Health System ถูกบังคับให้ย้ายผู้ป่วยบางรายไปยังสถานที่อื่น หลังจากการถูกโจมตีด้วยแรนซัมแวร์ทำให้ส่งผลกระทบต่อการดำเนินงานของโรงพยาบาล

(more…)

Cyble Research and Intelligence Lab (CRIL) ได้เปิดเผยแคมเปญที่ใช้ไฟล์ .LNK ที่น่าสงสัยเป็น attack vector ในการโจมตีเบื้องต้น โดยไฟล์นี้อาจถูกส่งผ่านอีเมล spam และดาวน์โหลดแพ็คเกจ Python ซึ่งจากนั้นจะใช้เพื่อรันสคริปต์ Python ที่ถูก obfuscated ซึ่งถูกดึงมาจากเว็บไซต์ paste.